Aquest lloc web ha estat traduït per un programari de traducció automàtica sense revisió posterior per traductors. Més informació en: enllaç ocultar
accesskey_mod_content
-

cl@ve Identificació

  • RoadMap:
    • En el segon semestre finalitzarà el suport de cl@ve 1, per la qual cosa els organismes i entitats han de migrar a cl@ve 2 al llarg del primer semestre 2020. cl@ve 2 suporta l'autenticació europea a través del node eIDAS.
    • cl@ve 2 proporcionarà identificadors homogenis i persistents (DNI, NIE, o NIF amb lletres L i M) per a aquelles persones que s'identifiquen a través del node eIDAS.
    • Suport a SMS internaciones en el registre amb Cl@ve .
    • Es permetrà el registre en Cl@ve d'estrangers i espanyols sense DNI, amb la utilització d'identificadors NIF L i M.
    • Nou servici que permetrà a les aplicacions mòbils la identificació nativa a través de Cl@ve .

     

    Descripció Funcional

    El diseño de cl@ve está basado en un sistema de federación de identidades electrónicas, que integra diferentes elementos: 

    • Proveïdors de servicis d'administració electrònica (SP): Entidades que proporcionen servicis electrònics als ciutadans i utilitzen la plataforma per a la identificació i autenticació dels mateixos.
    • Proveïdors de servicis d'identificació i autenticació (IdP): Entidades que proporcionen mecanismes d'identificació i autenticació dels ciutadans per a ser utilitzats com a mitjans comuns per altres entitats. Inicialment es contempla l'existència de dos proveïdors de servicis d'identificació, l'Agència Estatal d'Administració Tributària (AEAT) que oferirà els servicis d'Identificació i autenticació  corresponents al sistema Cl@ve PINy ,la Gerència d'Informàtica de la Seguretat Social (GISS) que oferirà el servicis Cl@ve permanent, basat en l'ús d'usuari i contrasenya, reforçat amb claus d'un sol ús per SMS. El disseny de la solució contempla l'extensió a altres potencials proveïdors d'identitats, si així es considera convenient.
    • Pasarela / Gestor d'Identificació: Sistema mediador que possibilita l'accés dels proveïdors de servicis als diferents mecanismes d'identificació i la selecció d'estos per part de l'usuari.

    D'acord amb este disseny, els proveïdors de servicis únicament han d'integrar-se amb el Gestor d'Identificació, encarregant-se este d'establir les relacions pertinents amb els diferents sistemes d'identificació. Per a açò s'establixen relacions de confiança entre els diferents actors que s'integren entre si, suportades per l'intercanvi de certificats electrònics i l'enviament de missatges firmats entre ells, que garantixen la transmissió segura de la informació durant tot el procés d'identificació i autenticació.

    Addicionalment, el sistema està preparat per a integrar-se amb altres dos sistemes mediadors d'identificació:

    • @firma : Suite de productes a la disposició de les Administracions Públiques que permet als servicis d'administració electrònica gestionar la identificació i firma mitjançant certificats electrònics, entre ells el DNIe.
    • STORK : Plataforma d'interoperabilitat que permet el reconeixement transfronterer d'identitats electròniques, desenvolupada durant l'execució dels projectes STORK i STORK 2.0, i que servirà de base per a la construcció del futur sistema de reconeixement d'identitats electròniques previst en reglament europeu d'identificació electrònica i servicis de confiança (reglament eIDAS).

    Esquema solucion

     

     El flux d'interacció amb l'usuari s'observa en el diagrama següent:

     

     CTT Navegacion

     Toda la comunicació amb un component de la plataforma Cl@ve es realitza a través de l'intercanvi de tokens que passen prèviament pel navegador del ciutadà. D'esta manera cada proveïdor de servicis d'identificació només respon al ciutadà des del qual ha rebut una petició d'autenticació.

    En este cas genèric veiem que el SP no interactua directament amb cap IdP, sinó que ho fa exclusivament a través del navegador del ciutadà.

    Els passos de la interacció són els següents:

    • El ciutadà accedix a un servici d'administració electrònica integrat amb Cl@ve que requerix que s'identifique.
    • El ciutadà és redirigit a Cl@ve, que li presenta una pantalla en la qual ha de seleccionar el mètode d'identificació que vol utilitzar. Les opcions actives en la pantalla venen condicionades pels paràmetres que el SP ha indicat en el missatge que ha enviat a Cl@ve relatius als IdP i nivells QAA permesos.
    • El ciutadà selecciona el mètode d'identificació i és redirigit a l'IdP corresponent. El ciutadà s'autentica en l'IdP seleccionat i és redirigit de nou a Cl@ve
    • De forma transparent, sense que siga necessari interacció, el ciutadà és redirigit de nou al SP.

    En la informació que viatja a través del ciutadà sempre existix un token SAML, i és en la creació i validació d'eixos tokens on es produïx la comunicació indirecta dels diferents components del sistema.

    Tots els tokens van firmats per l'entitat emissora i el que eixa firma siga validada pel component destinatari depèn que existisca confiança entre els certificats de firma de tots dos components. D'esta manera amb independència del mecanisme triat, i en cas que tot haja anat bé, el ciutadà acaba eixint amb el mateix resultat, un SAML firmat amb les seues dades identificatives.

    Esta manera de funcionament és modular, és a dir, cada sistema de validació és independent dels altres, i poden ser habilitats o inhabilitats en funció de les necessitats de l'aplicació client. Esta modularización permet que el sistema siga fàcilment escalable si en un futur apareixen nous mètodes d'autenticació admesos per l'Administració, i que cada sistema siga el respatler dels altres, oferint un millor servici al ciutadà.

    Cada sistema tindrà un indicador de la qualitat assignat que identifique unívocament la fortalesa de cadascun dels mètodes d'autenticació suportats pel mateix (nivell d'assegurament de la qualitat de l'autenticació, QAA). L'aplicació client podrà triar, en funció d'este nivell, el conjunt de sistemes d'identificació que permet.

    Descripció Tècnica

    Descripció Tècnica*

    Per a la identificació del ciutadà, el model de federació d'identitats de Cl@ve es basa en l'estàndard SAML. Per tant la manera de connexió al servici de clau no és mitjançant servicis Web, sinó mitjançant assercions SAML de navegador.

    En concret, Cl@ve es basa en la utilització del perfil SAML 2.0 definit per STORK. Este perfil s'utilitzarà tant per a la integració entre Cl@ve i el proveïdor de servicis, com per a la integració entre Cl@ve i el proveïdor d'identitat, tal com s'observa en la següent figura:

     Proveïdor d'identitat

    Per a integrar-se amb Cl@ve, els proveïdors de servicis han de tindre la capacitat de crear tokens SAML. Per a la generació d'estos tokens, es proporciona un paquet d'integració per a SP amb un motor SAML, el STORKSAMLEngine, que ha de ser integrat en la capa d'autenticació de la lògica de negoci del SP.

    El paquet d'integració es completa amb un Servidor d'Aplicacions Demo (SP-DEMO) que integra el motor de creació de tokens SAML i facilita el desenvolupament dels mètodes d'invocació de les funcions d'enviament i recepció de tokens del motor SAML.

Responsable

Enllaços d'interésSoluciones Relacionades