Aquest lloc web ha estat traduït per un programari de traducció automàtica sense revisió posterior per traductors. Més informació en: enllaç ocultar
accesskey_mod_content
-

Cl@ve Identificació

  • Descripció Funcional

    El disseny de Cl@ve està basat en un sistema de federació d'identitats electròniques, que integra diferents elements: 

    • Proveïdors de serveis d'administració electrònica (SP): Entitats que proporcionen serveis electrònics als ciutadans i utilitzen la plataforma per a la identificació i autenticació dels mateixos.
    • Proveïdors de serveis d'identificació i autenticació (IdP): Entitats que proporcionen mecanismes d'identificació i autenticació dels ciutadans per ser utilitzats com a mitjans comuns per altres entitats. Inicialment es contempla l'existència de dos proveïdors de serveis d'identificació, l'Agència Estatal d'Administració Tributària (AEAT) que oferirà els serveis d'Identificació i autenticació  corresponents al sistema Cl@ve PINy ,la Gerència d'Informàtica de la Seguretat Social (GISS) que oferirà el serveis Cl@ve permanent, basat en l'ús d'usuari i contrasenya, reforçat amb claus d'un sol ús per SMS. El disseny de la solució contempla l'extensió a altres potencials proveïdors d'identitats, si així es considera convenient.
    • Passarel·la / Gestor d'Identificació: Sistema mediador que possibilita l'accés dels proveïdors de serveis als diferents mecanismes d'identificació i la selecció d'aquests per part de l'usuari.

    D'acord amb aquest disseny, els proveïdors de serveis únicament han d'integrar-se amb el Gestor d'Identificació, encarregant-se aquest d'establir les relacions pertinents amb els diferents sistemes d'identificació. Per a això s'estableixen relacions de confiança entre els diferents actors que s'integren entre si, suportades per l'intercanvi de certificats electrònics i l'enviament de missatges signats entre ells, que garanteixen la transmissió segura/segura de la informació durant tot el procés d'identificació i autenticació.

    Addicionalment, el sistema està preparat per integrar-se amb altres dos sistemes mediadors d'identificació:

    • @signatura : Suite de productes a la disposició de les Administracions Públiques que permet als serveis d'administració electrònica gestionar la identificació i signatura mitjançant certificats electrònics, entre ells el DNIe.
    • STORK : Plataforma d'interoperabilitat que permet el reconeixement transfronterer d'identitats electròniques, desenvolupada durant l'execució dels projectes STORK i STORK 2.0, i que servirà de base per a la construcció del futur sistema de reconeixement d'identitats electròniques previst en reglament europeu d'identificació electrònica i serveis de confiança (reglament eIDAS).

    Esquema solucion

     

     El flux d'interacció amb l'usuari s'observa en el diagrama següent:

     

     CTT Navegacion

     Tota la comunicació amb un component de la plataforma Cl@ve es realitza a través de l'intercanvi de tokens que passen prèviament pel navegador del ciutadà. D'aquesta manera cada proveïdor de serveis d'identificació només respon al ciutadà des del qual ha rebut una petició d'autenticació.

    En aquest cas genèric veiem que el SP no interactua directament amb cap IdP, sinó que ho fa exclusivament a través del navegador del ciutadà.

    Els passos de la interacció són els següents:

    • El ciutadà accedeix a un servei d'administració electrònica integrat amb Cl@ve que requereix que s'identifiqui.
    • El ciutadà és redirigit a Cl@ve, que li presenta una pantalla en la qual ha de seleccionar el mètode d'identificació que vol utilitzar. Les opcions actives en la pantalla venen condicionades pels paràmetres que el SP ha indicat en el missatge que ha enviat a Cl@ve relatius als IdP i nivells QAA permesos.
    • El ciutadà selecciona el mètode d'identificació i és redirigit a l'IdP corresponent. El ciutadà s'autentica en l'IdP seleccionat i és redirigit de nou a Cl@ve
    • De forma transparent, sense que sigui necessari interacció, el ciutadà és redirigit de nou al SP.

    En la informació que viatja a través del ciutadà sempre existeix un token SAML, i és en la creació i validació d'aquests tokens on es produeix la comunicació indirecta dels diferents components del sistema.

    Tots els tokens van signats per l'entitat emissora i el que aquesta signatura sigui validada pel component destinatari depèn que existeixi confiança entre els certificats de signatura de tots dos components. D'aquesta manera amb independència del mecanisme escollit, i en cas que tot hagi anat bé, el ciutadà acaba sortint amb el mateix resultat, un SAML signat amb les seves dades identificatives.

    Aquesta manera de funcionament és modular, és a dir, cada sistema de validació és independent dels altres, i poden ser habilitats o inhabilitats en funció de les necessitats de l'aplicació client. Aquesta modularización permet que el sistema sigui fàcilment escalable si en un futur apareixen nous mètodes d'autenticació admesos per l'Administració, i que cada sistema sigui el respatller dels altres, oferint un millor servei al ciutadà.

    Cada sistema tindrà un indicador de la qualitat assignat que identifiqui unívocament la fortalesa de cadascun dels mètodes d'autenticació suportats pel mateix (nivell d'assegurament de la qualitat de l'autenticació, QAA). L'aplicació client podrà escollir, en funció d'aquest nivell, el conjunt de sistemes d'identificació que permet.

    Descripció Tècnica

    Descripció Tècnica*

    Per a la identificació del ciutadà, el model de federació d'identitats de Cl@ve es basa en l'estàndard SAML. Per tant la manera de connexió al servei de clau no és mitjançant serveis Web, sinó mitjançant assercions SAML de navegador.

    En concret, Cl@ve es basa en la utilització del perfil SAML 2.0 definit per STORK. Aquest perfil s'utilitzarà tant per a la integració entre Cl@ve i el proveïdor de serveis, com per a la integració entre Cl@ve i el proveïdor d'identitat, tal com s'observa en la següent figura:

     Proveïdor d'identitat

    Per integrar-se amb Cl@ve, els proveïdors de serveis han de tenir la capacitat de crear tokens SAML. Per a la generació d'aquests tokens, es proporciona un paquet d'integració per SP amb un motor SAML, el STORKSAMLEngine, que ha de ser integrat en la capa d'autenticació de la lògica de negoci del SP.

    El paquet d'integració es completa amb un Servidor d'Aplicacions Demo (SP-DEMO) que integra el motor de creació de tokens SAML i facilita el desenvolupament dels mètodes d'invocació de les funcions d'enviament i recepció de tokens del motor SAML.

Punt d'Accés General
Punt d'Accés General
Responsable