El disseny de Cl@ve està basat en un sistema de federació d'identitats electròniques, que integra diferents elements:
- Proveïdors de serveis d'administració electrònica (SP): Entitats que proporcionen serveis electrònics als ciutadans i utilitzen la plataforma per a la identificació i autenticació dels mateixos.
- Proveïdors de serveis d'identificació i autenticació (IdP): Entitats que proporcionen mecanismes d'identificació i autenticació dels ciutadans per ser utilitzats com a mitjans comuns per altres entitats. Inicialment es contempla l'existència de dos proveïdors de serveis d'identificació, l'Agència Estatal d'Administració Tributària (AEAT) que oferirà els serveis d'Identificació i autenticació corresponents al sistema Cl@ve PINy ,la Gerència d'Informàtica de la Seguretat Social (GISS) que oferirà el serveis Cl@ve permanent, basat en l'ús d'usuari i contrasenya, reforçat amb claus d'un sol ús per SMS. El disseny de la solució contempla l'extensió a altres potencials proveïdors d'identitats, si així es considera convenient.
- Passarel·la / Gestor d'Identificació: Sistema mediador que possibilita l'accés dels proveïdors de serveis als diferents mecanismes d'identificació i la selecció d'aquests per part de l'usuari.
D'acord amb aquest disseny, els proveïdors de serveis únicament han d'integrar-se amb el Gestor d'Identificació, encarregant-se aquest d'establir les relacions pertinents amb els diferents sistemes d'identificació. Per a això s'estableixen relacions de confiança entre els diferents actors que s'integren entre si, suportades per l'intercanvi de certificats electrònics i l'enviament de missatges signats entre ells, que garanteixen la transmissió segura/segura de la informació durant tot el procés d'identificació i autenticació.
Addicionalment, el sistema està preparat per integrar-se amb altres dos sistemes mediadors d'identificació:
- @signatura : Suite de productes a la disposició de les Administracions Públiques que permet als serveis d'administració electrònica gestionar la identificació i signatura mitjançant certificats electrònics, entre ells el DNIe.
- STORK : Plataforma d'interoperabilitat que permet el reconeixement transfronterer d'identitats electròniques, desenvolupada durant l'execució dels projectes STORK i STORK 2.0, i que servirà de base per a la construcció del futur sistema de reconeixement d'identitats electròniques previst en reglament europeu d'identificació electrònica i serveis de confiança (reglament eIDAS).
El flux d'interacció amb l'usuari s'observa en el diagrama següent:
Tota la comunicació amb un component de la plataforma Cl@ve es realitza a través de l'intercanvi de tokens que passen prèviament pel navegador del ciutadà. D'aquesta manera cada proveïdor de serveis d'identificació només respon al ciutadà des del qual ha rebut una petició d'autenticació.
En aquest cas genèric veiem que el SP no interactua directament amb cap IdP, sinó que ho fa exclusivament a través del navegador del ciutadà.
Els passos de la interacció són els següents:
- El ciutadà accedeix a un servei d'administració electrònica integrat amb Cl@ve que requereix que s'identifiqui.
- El ciutadà és redirigit a Cl@ve, que li presenta una pantalla en la qual ha de seleccionar el mètode d'identificació que vol utilitzar. Les opcions actives en la pantalla venen condicionades pels paràmetres que el SP ha indicat en el missatge que ha enviat a Cl@ve relatius als IdP i nivells QAA permesos.
- El ciutadà selecciona el mètode d'identificació i és redirigit a l'IdP corresponent. El ciutadà s'autentica en l'IdP seleccionat i és redirigit de nou a Cl@ve
- De forma transparent, sense que sigui necessari interacció, el ciutadà és redirigit de nou al SP.
En la informació que viatja a través del ciutadà sempre existeix un token SAML, i és en la creació i validació d'aquests tokens on es produeix la comunicació indirecta dels diferents components del sistema.
Tots els tokens van signats per l'entitat emissora i el que aquesta signatura sigui validada pel component destinatari depèn que existeixi confiança entre els certificats de signatura de tots dos components. D'aquesta manera amb independència del mecanisme escollit, i en cas que tot hagi anat bé, el ciutadà acaba sortint amb el mateix resultat, un SAML signat amb les seves dades identificatives.
Aquesta manera de funcionament és modular, és a dir, cada sistema de validació és independent dels altres, i poden ser habilitats o inhabilitats en funció de les necessitats de l'aplicació client. Aquesta modularización permet que el sistema sigui fàcilment escalable si en un futur apareixen nous mètodes d'autenticació admesos per l'Administració, i que cada sistema sigui el respatller dels altres, oferint un millor servei al ciutadà.
Cada sistema tindrà un indicador de la qualitat assignat que identifiqui unívocament la fortalesa de cadascun dels mètodes d'autenticació suportats pel mateix (nivell d'assegurament de la qualitat de l'autenticació, QAA). L'aplicació client podrà escollir, en funció d'aquest nivell, el conjunt de sistemes d'identificació que permet.