Archivo de la categoría: redes sociales

Cómo Configurar Login con Office 365 (Microsoft Entra ID) en Authentik

Posted on por
Responder

Como ya vimos en la anterior entrada es bastante sencillo instalar un sistema SSO como authentik en nuestra infraestructura. De todas formas, crear un login centralizado no es más que una manera de tener que recordar menos contraseñas, pero el objetivo final es no tener que recordar más que unas pocas para poder acceder a todos los servicios, ¿qué hacemos si ya tenemos cuenta en alguno de los servicios más populares como office 365 o google? Lo suyo sería poder hacer login con estas credenciales en cualquier servicio, sea online o sea auto hospedado. Por suerte, authentik puede hacer uso de estos servicios externos de autenticación de manera «relativamente» sencilla. En este post os voy a explicar paso a paso (que sobre todo la parte a realizar con office es un poco liosa) cómo integrar el login de office 365 con authentik y así poder usarlo para acceder a nuestras aplicaciones (eso ya lo explicaremos en próximos posts).

Para poder realizar este tutorial debes tener:

  • Servidor authentik instalado y configurado (con acceso como administrador)
  • Cuenta de administrador office365 de tu organización
  • Un poco de paciencia (esto nunca viene mal)

Paso 1: registrar una aplicación de microsoft entra

Entramos como administrador en portal.office.com

Pedimos que nos muestre todas las opciones (estos de MS suelen ocultarnos cosas)

Seleccionamos la opción Identidad (nos llevará a entra)

Seleccionamos la opción Registro de aplicaciones

Y seleccionamos Nuevo registro

Y rellenamos los datos básicos (yo voy a llamar authentik a la nueva aplicación)

Hemos elegido que solo se pueda entrar con cuentas de nuestra organización, que será lo normal, aunque si queremos que cualquiera que tenga una cuenta de office365 pueda hacer logn tendremos que escoger una de las otras opciones. Atento a la ui de redirección, en principio tendrá el formato https://<direccion-de-tu-authentik>/source/oauth/callback/<nombre-de-fuente> Si no lo configuras ahora lo podrás hacer después cuando termines la configuración en authentik.

Anotamos los datos que vamos a necesitar de la aplicación y creamos un nuevo secreto:

Es muy importante que copiemos el valor del secreto que lo vamos a necesitar luego

El valor del secreto no se va a poder copiar en otro momento, mejor que lo guardes ahora.

Con esto hemos terminado (en principio) con la configuración necesaria en el portal de office. Lo que hemos hecho, básicamente, es configurar los endpoints de oauth2 que podemos consultar en la opción.

Paso 2: crear un nuevo login social

Las siguientes acciones las haremos como administrador en nuestro servidor authentik

El primer paso es crear un inicio de sesión federado

del tipo azure AD

Ahora deberemos introducir todos los datos que hemos guardado al crear la aplicación en entra:

Los endpoint serán como estos (revisar los que vimos en la pantalla del portal de office):

Cambiaremos la URL del perfil a https://graph.microsoft.com/oidc/userinfo

Y damos a terminar por ahora. Esto nos configura el método para entrar usando las credenciales de Microsoft, pero todavía nos falta un par de cosas para que sea útil del todo.

Paso 3: mapeo de atributos

Ahora necesitamos hacer la equivalencia entre los atributos que vienen de office con los que nosotros vamos a utilizar en nuestro directorio, para eso crearemos una política de expresión:

La llamamos (por ejemplo) azure-ad-mapping y ponemos este contenido:

# save existing prompt data
current_prompt_data = context.get('prompt_data', {})
# make sure we are used in an oauth flow
if 'oauth_userinfo' not in context:
  ak_logger.warning(f"Missing expected oauth_userinfo in context. Context{context}")
  return False
oauth_data = context['oauth_userinfo']
# map fields directly to user left hand are the field names provided by
# the microsoft graph api on the right the user field names as used by authentik
required_fields_map = {
  'name': 'username',
  'email': 'email',
  'given_name': 'name'
}
missing_fields = set(required_fields_map.keys()) - set(oauth_data.keys())
if missing_fields:
  ak_logger.warning(f"Missing expected fields. Missing fields {missing_fields}.")
  return False
for oauth_field, user_field in required_fields_map.items():
  current_prompt_data[user_field] = oauth_data[oauth_field]
# Define fields that should be mapped as extra user attributes
attributes_map = {
  'name': 'upn',
  'sub': 'sn',
  'name': 'name'
}
missing_attributes = set(attributes_map.keys()) - set(oauth_data.keys())
if missing_attributes:
  ak_logger.warning(f"Missing attributes: {missing_attributes}.")
  return False
# again make sure not to overwrite existing data
current_attributes = current_prompt_data.get('attributes', {})
for oauth_field, user_field in attributes_map.items():
  current_attributes[user_field] = oauth_data[oauth_field]
current_prompt_data['attributes'] = current_attributes
context['prompt_data'] = current_prompt_data
return True

Paso 4: configurar el flujo de alistamiento

Queremos que cualquiera que tenga cuenta en el dominio office pueda entrar a nuestras aplicaciones, por lo que necesitamos registrar los usuarios nuevos cuando entran por primera vez, para ello vamos a crear uun flujo nuevo.

Le ponemos un nombre

Y una vez creado, editarlo, ir a la sección d Vinculaciones de Políticas / Grupos / Usuarios y ahí a Bind existing policy

Y ahí ligar defaultsource-enrollment-if-sso

Ir ahora a vinculos de etapa -> Bind Existing stage

Añadir default-source-enrollment-write (orden 0) y default-source-enrollment-login (orden 10)

Desplegar luego la etapa con orden cero y añadir una política existente azur-ad-mapping que creamos antes:

Por último editarmos la fuente que creamos al principio (Directory -> Federation ..) y le añadimos en la configuración de flujo el flujo de inscrpción a azure-ad-enrollment (o el nombre que le hayamos puesto)

Paso 5: hacer que se vea en el login

Pues ya solo nos faltaría hacer que aparezca una opción para hacer login con este proveedor, esto se hace editando el flujo default-authentication-flow

Y editas la etapa

Y añades desde las fuentes disponibles a Fuentes seleccionadas

Ahora cuando entres en tu authentik ya te aparecerá la opción nueva para acceder. La primera vez que accedas debes aprobar unos permisos especiales a Microsoft:

Ha sido un proceso un poco largo, pero ahora ya tenéis centralizada la información de seguridad y cualquier aplicación que pueda conectarse a authentik podrá usar los usuarios de nuestro dominio… Ahora queda que lo probéis vosotros.

La verdad en tiempos del coronavirus

Posted on por
Responder

Decía Hiram Johnson en 1917 que la primera víctima de una guerra era la verdad, y esto es completamente cierto, ya que cada bando debe utilizar la propaganda para desconcertar y desmoralizar al enemigo. Hay grandes ejemplos de contraespionaje que fueron decisivos en muchas guerras – sin ir más lejos en la segunda guerra mundial cuando hicieron creer al reich que el desembarco de normandía sería por el paso de Calais (operación fortaleza) – y grandes ejemplos de propaganda en tiempos de guerra, que podemos resumir en el decálogo que ya publicaba Arthur Ponsonby en 1928:

  1. “Nosotros no queremos la guerra”.
  2. “El enemigo es el único responsable de la guerra”
  3. “El enemigo es un ser execrable”
  4. “Pretendemos nobles fines”
  5. “El enemigo comete atrocidades voluntariamente. Lo nuestro son errores involuntarios”
  6. “El enemigo utiliza armas no autorizadas”
  7. “Nosotros sufrimos pocas pérdidas. Las del enemigo son enormes”
  8. “Los artistas e intelectuales apoyan nuestra causa”
  9. “Nuestra causa tiene un carácter sagrado, divino, o sublime”
  10. “Los que ponen en duda la propaganda de guerra son unos traidores”.

A estos elementos hay que sumar la desinformación, como un elemento presente en toda competición donde la opinión pública tenga alguna participación, como ya sucedía en la antigua roma y viene sucediendo periódicamente en todas las elecciones, siendo la más descarada la campaña de Trump y el escándalo de cambridge analítica.

Sin embargo, cuando la guerra es contra un enemigo que no es humano, como es el caso actual donde nos enfrentamos a una pandemia sin precedentes, ¿qué hacemos con la información y desinformación? En otros países lo tienen claro, hay que mantener informada a la población de la evolución de la guerra, premiar a los heroes y felicitar a los voluntarios que estén apoyando los esfuerzos por superar la crisis, en España, se prefiere otro enfoque – Spain is different – y se ha optado por buscar un enemigo en casa.

Al igual que los nacionalismos perifericos eligieron el concepto de «Madrid» como el enemigo a batir, el que les impedía su tan utópica independencia y el que le robaba los recursos. Al igual que los ultraderechistas trasnochados buscaron a los emigrantes, a los diferentes como el enemigo que les quitaba los trabajos y les limitaba la asistencia médica, de la misma manera una parte mezquina de la sociedad española ha decidido que es el gobierno el enemigo a batir.

La campaña de descrédito ha sido desmesurada desde el primer momento, un gobierno de coalición es algo inédito en la democracia española y cualquier ocasión es buena para intentar romperlo y volver a ocupar el espacio de poder que la derecha española cree suyo por derecho de nacimiento. Pero tanto es así que han utilizado todas las armas a su alcance para, en lugar de aportar soluciones, propuestas o apoyo a los profesionales que están al pié del cañon intentando paliar los efectos del virus, demonizar la gestión del ejecutivo para culparles de las muertes por el coronavirus.

Nadie en su sano juicio sería capaz de algo tan abyecto como acusar a otro de la muerte de un semejante (seguramente en persona serían incapaces de hacerlo, aunque fuese por verguenza), pero no hay nada que una más que un enemigo asesino al que poder poner en el punto de mira de su guerra particular (ver los puntos de arriba), tanto en los nacionalismos, en el fascismo o en las películas de hollywood. Pero España es así, ya no es posible emitir opiniones imparciales porque eres etiquetado como de un bando o de otro, independientemente de la verdad o del mensaje que emitas. Estamos en guerra y ahora o estás con nosotros o estás contra nosotros.

Y de esta manera todo lo que se ha conseguido es eliminar cualquier atisbo de espíritu crítico. Las críticas son meras representaciones de estrategia política, cada cifra, cada gráfico, cada anuncio se convierte en un campo de batalla por saber quien es más mezquino. Si eres de un bando y te atreves a criticar a los tuyos por cualquier cosa (aunque sea verdad) te conviertes en un traidor y así, simplemente, no hay manera de avanzar. Al igual que a mi me da cosa presumir de bandera porque el símbolo de todos los españoles se lo han apropiado gente que no tiene ningún reparo en presumir de machismo, xenofobia, y homofobia y pretenden que cualquiera que ondee la bandera comparte con ellos esos valores; ahora me es imposible criticar al gobierno (que tiene cosas que mejorar) porque parecería que soy uno más de los bots lanzados por la oposición para destruir al gobierno.

Pero lo que es peor, el nivel de virulencia de esta guerra sucia en los medios es tan alto que las consecuencias pueden ser terribles para nuestro futuro. La censura real (no la que falsamente afirman que ya hay en whatsapp) puede estar a la vuelta de la esquina, mediante cambios legislativos, solo porque hay quien ha decidido que el enemigo a batir no es el virus, es el gobierno.

Negacionistas

Posted on por
Responder

Supongamos que Guillermo es una persona normal, con una carrera técnica en la que sabe un montón de lo suyo y muy poco de lo demás, obviamente no es médico ni nada similar. Un día, en base a unas molestias se pasa por el médico y después de hacerle unas pruebas le diagnostica un cancer.

Guillermo, no contento con el diagnóstico y acojonado como no podía ser de otra manera, decide visitar a otros médicos, solicitar otras opiniones a conocidos oncólogos y todos coinciden en el diagnóstico, cancer. Por suerte es tratable y solo se le pide que empiece el tratamiento cuanto antes.

Pero algo no le cuadra a Guillermo, decide que lo que los médicos han estudiado y a los pacientes que han tratado no son sinónimo de que tengan la razón, intenta documentarse y visita internet con asiduidad, por desgracia el 99% de lo que encuentra le confirma el diagnóstico y el tratamiento. Para el sería una jodienda tener que someterse al tratamiento y decide elegir al 1% que le dice que los médicos están todos compichados con las farmacéuticas para vender carísimos tratamientos contra el cancer y que, en realidad, sus síntomas se curan con agua diluida en principios mágicos…

Guillermo ha decidido que la ciencia médica ya no le sirve, que él y los cuatro iluminados de internet son más listos y ven la verdad más allá de las tramposas multinacionales de las medicinas. Así que se niega a recibir el tratamiento y decide esperar a que el cancer se cure solo con ayuda de medicinas neanthertales. No le ablanda la preocupación de su familia y amigos, él es más listo y nadie ha sabido argumentarle la forma en que las células sanas mutan en cancerígenas de una manera convincente (nada de estudios con cifras, ni causalidadades de esas que se inventan las farmaceúticas)..

Guillermo es feliz sabiendo que él es más listo que los borregos que le rodean aunque sospechosamente su grupo de afectados por la conspiración global de los falsos diagnósticos de cancer va perdiendo miembros a marchas aceleradas, aunque cada día hay nuevos miembros y él activamente evangeliza a todo el que conoce para que evite seguir el tratamiento…

Guillermo muere entre terribles dolores tras un periodo espantoso donde ha perdido el control de sus funciones motoras poco a poco. ¿FIN?

negar

La historia de Guillermo no es ficción, ahora mismo tenemos negacionistas de cualquier cosa que niegan la evidencia y la autoridad de los científicos para casi todo lo que nos ha convertido en una civilización avanzada. No es ya tener una opinión diferente, eso es muy loable, es pensar que su opinión tiene el mismo peso que décadas o cientos de años de estudios e investigaciones y todo se resume en un «Creo que la tierra es plana ¿puedes hacerme cambiar de opinión?»

Merecemos la extinción, pero ya!

Hay algunos que ya se dan cuenta…

Twitter y tus contraseñas

Posted on por
Responder

Esta mañana me he encontrado con este mensaje al abrir twitter:


Al margen del fastidio que supone, siempre, tener que cambiar una contraseña, lo importante del mensaje es que te confirma que ESTABAN GUARDANDO EN CLARO TU CONTRASEÑA. Es decir, cualquiera que haya tenido acceso a estos datos tendría tu contraseña y tu email sin tener que descifrar nada. Al margen de lo legal / ilegal / moral que sea esta práctica, esto supone que si usabas esa contraseña en cualquier otro sitio TIENES QUE CAMBIARLA YA… No solo la contraseña de twitter, sino cualquier otra cuenta en cualquier otro servicio que usase esa dirección de correo y esa contraseña o una variación de la misma.

El tener que guardar contraseñas distintas y dificilmente «deducibles» es algo que os estoy recomendando continuamente. Por eso creé nomorepass y, por eso, os ruego que empecéis a usarlo ya mismo antes de que puedan pasar cosas más peligrosas. Te explico cómo cambiar la contraseña antigua de twitter si la tenías en nomorepass (si no ya es hora de que vayas cambiando):

  1. Abre la página de twitter (te saldrá el mensaje que vemos arriba) y pincha sobre el botón Ir a configuración, te aparecerá una pantalla como esta:
  2. Pincha en el botón derecho sobre «Contraseña actual» (recuerda, cuento con que te has instalado la extensión nomorepass en el ordenador) y selecciona la opción «usar nomorepass»
  3. Te aparecerá un código qr en pantalla
  4. Selecciona, en tu móvil, la contraseña de twitter que tenías para esa cuenta y escanea el código qr
  5. Verás que la contraseña antigua se ha rellenado, es hora de editar la contraseña para poner una nueva, pulsa sobre el icono de editar en esa misma contraseña:
  6. En la pantalla de edición pulsa sobre «Generar nuevo password»
  7. Pulsa modificar
  8. Vuelve a repetir la operación de dar al botón derecho -> usar nomorepass -> escanear qr para enviar la nueva contraseña (dos veces)
  9. Si no se enciende el botón de «Guardar cambios» es porque no ha detectado que hayamos tecleado nada. Simplemente haz click en cualquiera de los campos de contraseña y escribe y borra un espacio (por ejemplo)

Y ya está, tienes la nueva contraseña segura en tu aplicación nomorepass y puedes seguir seguro en twitter (siempre que no vuelvan a guardar en claro las contraseñas nunca más)… Todo ventajas.

Cheto lo será tu padre!

Posted on por
Responder

chetosComo ya os comenté en la entrada anterior, estoy dedicando mucho tiempo a esto de jugar al ingress, explorando sus capacidades de realidad aumentada e intentando descifrar el complicado entramado social que se construye a su alrededor. Uno de estos elementos sociales son los grupos de usuarios de la misma facción en una región determinada. En mi caso me tocó Madrid, que es la comunidad en la que juego.

Les conocí cuando era nivel 6 (el nivel 8 es el máximo) y me ayudaron un par de veces dándome munición, desde que subí a nivel 7 no he vuelto a recibir ninguna ayuda suya, de todas formas lo entretenido es subir por ti mismo, por lo que tampoco lo echo de menos. Al subir al nivel 8 me invitaron a su «club del 8» donde se habla mucho más, se coordinan ataques o sirve como lugar donde desahogarse de las incidencias del juego. Después de 3 meses en ese club ayer decidí abandonarlo. La razón para ello es sencilla, se había convertido en un «salvame deluxe» para jugadores amargados.

Lo que era un juego divertido donde tenías la posibilidad de conocer a otros jugadores de ambas facciones se había convertido en un juego de secretos, insinuaciones y quejas constantes. El nivel de paranoia llegó a tales extremos que aparecían «chetos» (del inglés to cheat, el que hace trampas) por todas partes. Es cierto que el juego permitía hacer trampas «chungas» como teletransportarse y aparecer en sitios en los que no estabas (mediante técnicas como fakegps y otras) y eso afectaba mucho al juego al desilusionar a los que jugaban moviéndose fisicamente y con mucho esfuerzo. Esos chetos siguen existiendo y están haciendo mucho daño al juego. Reportarlos a Naintic parece que no funciona demasiado bien, aunque supongo que tarde o temprano se encontrará la solución técnica y desaparecerán. Pero la paranoia llegó a niveles insospechados cuando acusaron de chetos a cuentas que habitualmente iban juntas a jugar y que, como el club no los conocía personalmente, sospechaban que se trataba de un «multicuenta» y no eran dignos de compartir hagout con ellos.

Sin pruebas y en plan gallinero empezaron a atacar verbalmente a personas que solo habían cometido el error de introducir en el juego a su pareja, hermano o hijo y que, por otra parte, todavía estaban a niveles bajos que no ofrecían tampoco ningún problema para los jugadores avanzados. En fin, que sin pruebas y con el único objetivo de demostrar ante la otra facción que ellos eran más limpios y más honrados (y así evitaban que se les investigase a ellos por otro lado) habían convertido una sana comunidad de jugadores en una caza de brujas sin sentido y a cada momento que pasaba iba resultando menos interesante seguir en esa comunidad… Así que tras el abandono de uno de mis amigos del grupo por acoso, decidí dejarlo yo también. Como escuché una vez: «no dediques tu tiempo a quien no lo merece». Y en estas estamos.

Me estoy pensando muy seriamente si abandonar el juego (esto será inevitable, antes o después) o seguir a mi rollo un tiempo más hasta que me canse. Sea como sea, esto es un juego y su objetivo es pasárselo bien, si quisiera ver trapos sucios o gente insinuando, acosando, gritando y escuchándose solo a ellos mismos, encendería la tele y pondría telecinco. Para todos ellos un último mensaje: «¡cheto lo será tu padre!«.