Configuraciones de seguridad

Forzar a los usuarios a identificarse para ver los perfiles

Esta opción obliga a acceder al sitio con cuentas válidas (no como invitados) antes de poder ver las páginas de los perfiles de usuario. Si deshabilitas esta configuración, los usuarios podrán editar su perfil y potencialmente incluir publicidad/spam o contenido inapropiado. 

-

Forzar a los usuarios a identificarse para ver los avatares de los usuarios

Si se habilita esta opción, los usuarios deben iniciar sesión para ver las imágenes de perfil de los usuarios, y la imagen de usuario predeterminada se utilizará en todos los correos electrónicos de notificación.

-

Prevenir varios accesos por el mismo usuario

Si se activa esta opción, un usuario solo puede iniciar sesión en su cuenta desde una sola ubicación. Si hay un segundo inicio de sesión con una cuenta, el primero de ellos se desconectará automáticamente.

Habilitar múltiples inicios de sesión permite a los administradores del sitio "iniciar sesión como" un usuario conectado mientras proporcionan soporte técnico en vivo. 

Ir a Google

Si habilitas esta configuración, Google podrá ingresar a tu sitio como invitado. Además, las personas que ingresen a tu sitio a través de una búsqueda en Google iniciarán sesión automáticamente como invitados. Ten en cuenta que esto solo proporciona acceso transparente a áreas de tu sitio y cursos que ya permiten el acceso de invitados.

-

Permitir acceso público a imágenes de elementos del catálogo

Habilitar esta configuración permite a los servicios web externos acceder a las imágenes del catálogo desde su catálogo utilizando la URL de la imagen. Esto permite que estas imágenes del catálogo se muestren en el contenido del catálogo de otros sistemas. Si has configurado alguna integración, como una aplicación de Microsoft Teams, estas pueden acceder a imágenes de catálogo cuando esta configuración está habilitada.

Esta configuración está deshabilitada por defecto. Ten en cuenta que esto permite que cualquiera acceda a las imágenes de tu catálogo si tienen las URL directas.

Roles de perfil visibles

Lista de roles que son visibles en los perfiles de usuario y páginas de participantes.

-

Tamaño máximo del archivo subido

Este ajuste especifica un tamaño máximo para los archivos cargados en todo el sitio. Este ajuste está limitado por los ajustes de PHP post_max_size y upload_max_filesize (en php.ini), así como por el ajuste de Apache LimitRequestBody. A su vez, maxbytes limita el rango de tamaños que se pueden elegir a nivel del curso o de módulo. Si se elige el límite del servidor, se utilizará el máximo permitido por el servidor.

Los tamaños de los archivos de carga pueden restringirse de varias maneras: 

• Nivel de servidor 
• Nivel del sitio 
• Nivel del curso 
• Nivel de actividad

-

Cuota de usuarios

Número máximo de bytes que un usuario puede almacenar en su propia área de archivo privada. El valor por defecto es 04857600 bytes o 100MB.

-

Deshabilitar la limpieza constante

Desactiva la limpieza constante de contenido de Totara.

Puedes obtener más información sobre la desinfección de contenido en Totara 13 en adelante en la documentación del desarrollador.

Permitir etiquetas EMBED y OBJETIVO

Como medida de seguridad por defecto, los usuarios normales no tienen permitido incrustar multimedia (como Flash) dentro del texto utilizando etiquetas EMBED y OBJETIVO explícitas en su HTML (aunque aún se puede hacer de forma segura utilizando el filtro mediaplugins). Si deseas permitir estas etiquetas, habilita esta opción.

Esta opción solo aparecerá si la opción Deshabilitar limpieza consistente está habilitada.

Tiempo máximo para editar la publicación

 Esto especifica la cantidad de tiempo que los usuarios tienen para volver a editar publicaciones en foros, comentarios en el glosario, etc.   Permitir a los usuarios este período de enfriamiento después de enviar una entrada de foro/glosario les da tiempo para revisar el contenido, verificar la ortografía y la gramática.

Las publicaciones en el foro que aún se encuentren en el período de edición son visibles en el foro correspondiente, pero el mensaje no se enviará a ningún usuario suscrito hasta que el período de edición haya pasado.

Permitir caracteres extendidos en nombres de usuario

Habilita esta configuración para permitir a los usuarios usar cualquier carácter en sus nombres de usuario (tenga en cuenta que esto no afecta a sus nombres reales). El valor predeterminado es No, que restringe los nombres de usuario a caracteres alfanuméricos en minúsculas, guión bajo (_), guión (-), punto (.) o símbolo (@). 

Esta opción debe estar habilitada para que el sitio utilice direcciones de correo electrónico para los nombres de usuario.

URL con la política del sitio

Si tienes una política del sitio que todos los usuarios registrados deben ver y aceptar antes de acceder al resto del sitio, especifica aquí la URL que se le enviará; de lo contrario, deja este campo en blanco.   La URL puede apuntar a cualquier tipo de archivo en línea al que se pueda acceder sin necesidad de iniciar sesión en tu sitio de Totara.

• Se recomienda que la política del sitio esté en el mismo dominio que Totara, ya que los usuarios de Internet Explorer verán una pantalla en blanco cuando la política del sitio esté en un dominio diferente.
• La política del sitio se mostrará en un marco. Puedes verlo a través de la URL yourtotarasite.com/user/policy.php.
• Si el autoregistro basado en correo electrónico está habilitado en el sitio, se muestra un enlace a la política del sitio en la página de inscripción.

No se recomienda utilizar un recurso de Página como política del sitio, ya que el encabezado del sitio se repetirá en el iframe.

Esta opción no aparecerá si la opción Habilitar políticas del sitio está marcada en el menú Acceso rápido > Configurar características. Cualquier política vinculada aquí será sobrescrita por la nueva política del sitio.

Cuando sea posible, debes usar la funcionalidad de políticas de sitio dedicadas, que incluye características como políticas en varios idiomas, control de versiones e informes sobre el consentimiento de la política.

URL con la política del sitio para invitados

Si tu política exige que todos los invitados lean y acepten tus condiciones antes de usar el sitio, especifica aquí la URL que muestra esta información; en caso contrario, deja el campo en blanco. Esta configuración puede contener cualquier URL pública. 

El acceso de los usuarios no conectados puede evitarse con la configuración de forzarin.

Esta opción no aparecerá si la opción Habilitar políticas del sitio está marcada en el menú Acceso rápido > Configurar características. Cualquier política vinculada aquí será sobrescrita por la nueva política del sitio.

Mantener 'casing' de nombre de marca

Marque esta opción si desea que los nombres de las etiquetas conserven la carcasa original tal como la ingresaron los usuarios que las crearon. Si se selecciona esta opción, se mostrarán etiquetas como las siguientes: RUGBY, gUiTaR, totara

Si no se selecciona esta opción, todas las etiquetas se mostrarán de la siguiente manera: Rugby, Guitarra, Totara.

Para inglés, es posible que desees dejar esta configuración desactivada. En el caso de los japoneses, no se realizan cambios de ninguna manera. Para los idiomas donde este tipo de mayúsculas cambia el significado, es mejor mantener esta opción habilitada.

Perfiles solo para usuarios inscritos

Para prevenir el abuso de los creadores de spam, se ocultan las descripciones del perfil de los usuarios que aún no están inscritos en ningún curso. Los nuevos usuarios deben inscribirse en al menos un curso antes de poder añadir una descripción de perfil. 

-

Ejecución de cron solo mediante comandos

La ejecución del cron desde un navegador web puede exponer información privilegiada a usuarios anónimos. Por lo tanto, se recomienda solo ejecutar el cron desde la línea de comandos o establecer una contraseña cron para el acceso remoto.

-

Contraseña de cron para acceso remoto

Esto significa que el script cron.php no se puede ejecutar desde un navegador web sin proporcionar la contraseña utilizando la siguiente forma de URL: http://site.example.com/admin/cron.php?password=opensesame

Si se deja vacío, no se requiere contraseña.

-

Umbral de bloqueo de la cuenta

Después de un número específico de intentos de inicio de sesión fallidos, la cuenta de un usuario se bloquea y se le envía un correo electrónico que contiene una URL para desbloquear la cuenta. Configurar esto en No significa que no hay umbral y que una cuenta que intenta iniciar sesión puede hacerlo una cantidad ilimitada de veces.

-

Ventana de observación de cuenta bloqueada

Tiempo de observación para el umbral de bloqueo; si no hay intentos fallidos, el contador se restablece después de este tiempo. Este es el contador de cuánto tiempo hay que estar atento a más intentos fallidos de una cuenta que intenta iniciar sesión incluso después de haber sido bloqueada. El contador se restablecerá en cada intento y durará tanto tiempo.

-

Tiempo de duración del bloqueo

Las cuentas bloqueadas se desbloquean automáticamente después de esta duración. Una cuenta también puede ser desbloqueada por un administrador del sitio a través del menú de acceso rápido > Usuarios > Cuentas > Buscar lista de usuarios.

-

Política de contraseñas

Activar esto hará que Totara verifique las contraseñas de los usuarios contra una política de contraseñas válidas. Se recomienda encarecidamente que se establezca una política de contraseñas para forzar a los usuarios a utilizar contraseñas más fuertes que sean menos susceptibles de ser descifradas por un intruso. Utiliza la siguiente configuración para especificar tu política (serán ignoradas si configuras esto en No).

Si un usuario ingresa una contraseña que no cumple con los requisitos, se le dará un mensaje de error que indicará el problema con la contraseña ingresada.

Habilitar la política de contraseñas no afecta a los usuarios existentes hasta que decidan cambiar su contraseña o se les solicite hacerlo. Un administrador del sitio puede forzar a todos los usuarios a cambiar su contraseña usando la opción Forzar cambio de contraseña con acciones masivas de usuario.

La política de contraseñas también se puede aplicar a las claves de inscripción marcando la casilla de verificación Usar política de contraseñas en la configuración de Autoinscripción.

Longitud de la contraseña

Las contraseñas deben tener al menos esta longitud de caracteres.

-

Dígitos

Las contraseñas deben contener esta cantidad de dígitos.

-

Minúsculas

Las contraseñas deben contener al menos esta cantidad de letras minúsculas.

-

Mayúsculas

Las contraseñas deben tener al menos esta cantidad de letras mayúsculas.

-

Caracteres no alfanuméricos

Las contraseñas deben tener al menos esta cantidad de caracteres no alfanuméricos.

-

Caracteres consecutivos idénticos

Las contraseñas no deben tener más de este número de caracteres idénticos consecutivos. Introduzca 0 para deshabilitar este cheque.

-

Límite de rotación de la contraseña

Número de veces que un usuario debe cambiar su contraseña antes de poder volver a reutilizar una contraseña. Los hashes de contraseñas generadas previamente son almacenados en una base de datos local.

Esta característica puede no ser compatible con algunos plugins de autenticación externos.

Tiempo máximo para validar una solicitud de restablecimiento de contraseña

Especifica de cuánto tiempo se dispone para validar una solicitud de restablecimiento de contraseña antes de que caduque. Para la mayoría de los casos de uso, 30 minutos es un valor adecuado. 

-

Salir después del cambio de contraseña

Por defecto, los usuarios pueden cambiar su contraseña y permanecer conectados. Al activar esta configuración, se cerrarán las sesiones existentes, excepto la que especifique su nueva contraseña. Esta configuración solo se aplica a los usuarios que cambian manualmente su contraseña, no a los cambios masivos de contraseña.

-

Política de claves de inscripción de grupos

Activar esto hará que Totara verifique las claves de inscripción del grupo contra una política de contraseñas válidas.

-

Desactivar imágenes en el perfil del usuario

Desactiva la posibilidad de que los usuarios cambien las imágenes de sus perfiles.

-

Confirmar cambio de correo electrónico

Requerir un paso de confirmación por correo electrónico cuando los usuarios cambien su dirección de correo electrónico en su perfil. 

-

Recordar nombre de usuario

Habilitar si deseas almacenar cookies permanentes con nombres de usuario durante el inicio de sesión del usuario. 

Esto almacenará cookies permanentes, y en algunos países puede considerarse un problema de privacidad si se usa sin consentimiento. 

Validación estricta de campos obligatorios

Si la opción está activada, se impide a los usuarios introducir un espacio en blanco o un salto de línea en los campos obligatorios de los formularios.

-

Inicio de sesión persistente

Si esta opción está habilitada, aparecerá una opción Recordar inicio de sesión en la página de inicio de sesión. Cualquier usuario que inicie sesión puede marcar esta casilla para habilitar un inicio de sesión persistente, lo que significa que no se agotará el tiempo de espera y tendrá que volver a iniciar sesión.

Este ajuste funciona al volver a iniciar sesión sin problemas con un usuario después de que la sesión expire. Si bien cualquier formulario que se estaba completando aún debería poder enviarse cuando la nueva sesión carga alguna otra información, se puede perder, como los filtros en el generador de informes.

El usuario no podrá notar cuando se inicie la nueva sesión.

La opción Recordar inicio de sesión reemplaza a la opción Recordar nombre de usuario anterior.

Además, vale la pena destacar que cuando esta configuración está habilitada, conduce a una advertencia en el informe de seguridad. Esto se debe a que cuando se habilitan los inicios de sesión persistentes, se ignoran los tiempos de espera de la sesión estándar y se establece una cookie permanente del navegador. Esta cookie se utiliza más tarde para volver a iniciar sesión automáticamente en el usuario después del reinicio del navegador o del tiempo de espera de la sesión.