Esta páxina web foi traducida por un software de tradución automática sen revisión posterior por tradutores. Máis información en: enlace ocultar
accesskey_mod_content
-

cl@ve Identificación

  • RoadMap:
    • No segundo semestre finalizará o soporte de cl@ve 1, polo que os organismos e entidades deben migrar a cl@ve 2 ao longo do primeiro semestre 2020. cl@ve 2 soporta a autenticación europea a través do nodo eIDAS.
    • cl@ve 2 proporcionará identificadores homoxéneos e persistentes (DNI, NIE, ou NIF con letras L e M) para aquelas persoas que se identifican a través do nodo eIDAS.
    • Soporte a SMS internaciones no rexistro con Cl@ve .
    • Permitirase o rexistro en Cl@ve de estranxeiros e españois sen DNI, coa utilización de identificadores NIF L e M.
    • Novo servizo que permitirá ás aplicacións móbiles a identificación nativa a través de Cl@ve  .

     

    Descrición Funcional

    El diseño de cl@ve está basado en un sistema de federación de identidades electrónicas, que integra diferentes elementos: 

    • Provedores de servizos de administración electrónica (SP): Entidades que proporcionan servizos electrónicos aos cidadáns e utilizan a plataforma para a identificación e autenticación dos mesmos.
    • Provedores de servizos de identificación e autenticación (IdP): Entidades que proporcionan mecanismos de identificación e autenticación dos cidadáns para ser utilizados como medios comúns por outras entidades. Inicialmente contémplase a existencia de dous provedores de servizos de identificación, a Axencia Estatal de Administración Tributaria (AEAT) que ofrecerá os servizos de Identificación e autenticación  correspondentes ao sistema Cl@ve PINy ,a Xerencia de Informática da Seguridade Social (GISS) que ofrecerá os servizos Cl@ve permanente, baseado no uso de usuario e contrasinal, reforzado con claves dun só uso por SMS. O deseño da solución contempla a extensión a outros potenciais provedores de identidades, se así se considera conveniente.
    • Pasarela / Xestor de Identificación: Sistema intermediador que posibilita o acceso dos provedores de servizos aos distintos mecanismos de identificación e a selección destes por parte do usuario.

    De acordo con este deseño, os provedores de servizos unicamente teñen que integrarse co Xestor de Identificación, encargándose este de establecer relaciónelas pertinentes cos distintos sistemas de identificación. Para iso establécense relacións de confianza entre os distintos actores que se integran entre si, soportadas polo intercambio de certificados electrónicos e o envío de mensaxes asinadas entre eles, que garanten a transmisión segura da información durante todo o proceso de identificación e autenticación.

    Adicionalmente, o sistema está preparado para integrarse con outros dous sistemas intermediadores de identificación:

    • @firma : Suite de produtos a disposición das Administracións Públicas que permite aos servizos de administración electrónica xestionar a identificación e firma mediante certificados electrónicos, entre eles o DNIe.
    • STORK : Plataforma de interoperabilidade que permite o recoñecemento transfronteirizo de identidades electrónicas, desenvolvida durante a execución dos proxectos STORK e STORK 2.0, e que servirá de base para a construción do futuro sistema de recoñecemento de identidades electrónicas previsto en regulamento europeo de identificación electrónica e servizos de confianza (regulamento eIDAS).

    Esquema solucion

     

     O fluxo de interacción co usuario obsérvase no diagrama seguinte:

     

     CTT Navegacion

     Toda a comunicación cun compoñente da plataforma Cl@ve realízase a través do intercambio de tokens que pasan previamente polo navegador do cidadán. Desta maneira cada provedor de servizos de identificación só responde o cidadán desde o que recibiu un pedimento de autenticación.

    Neste caso xenérico vemos que o SP non interactúa directamente con ningún IdP, senón que o fai exclusivamente a través do navegador do cidadán.

    Os pasos da interacción son os seguintes:

    • O cidadán accede a un servizo de administración electrónica integrado con Cl@ve que require que se identifique.
    • O cidadán é redirixido a Cl@ve, que lle presenta unha pantalla na que debe seleccionar o método de identificación que quere utilizar. As opcións activas na pantalla veñen condicionadas polos parámetros que o SP indicou na mensaxe que enviou a Cl@ve relativos aos IdP e niveis QAA permitidos.
    • O cidadán selecciona o método de identificación e é redirixido ao IdP correspondente. O cidadán autentícase no IdP seleccionado e é redirixido de novo a Cl@ve
    • De forma transparente, sen que sexa necesario interacción, o cidadán é redirixido de novo ao SP.

    Na información que viaxa a través do cidadán sempre existe un token SAML, e é na creación e validación deses tokens onde se produce a comunicación indirecta dos distintos compoñentes do sistema.

    Todos os tokens van asinados pola entidade emisora e o que esa firma sexa validada polo compoñente destinatario depende de que exista confianza entre os certificados de sinatura de ambos os compoñentes. Deste xeito con independencia do mecanismo escollido, e no caso de que todo haxa ido ben, o cidadán acaba saíndo co mesmo resultado, un SAML asinado cos seus datos identificativos.

    Este modo de funcionamento é modular, é dicir, cada sistema de validación é independente dos demais, e poden ser habilitados ou inhabilitados en función das necesidades da aplicación cliente. Esta modularización permite que o sistema sexa facilmente escalable se nun futuro aparecen novos métodos de autenticación admitidos pola Administración, e que cada sistema sexa o respaldo dos demais, ofrecendo un mellor servizo ao cidadán.

    Cada sistema terá un indicador da calidade asignado que identifique unívocamente a fortaleza de cada un dos métodos de autenticación soportados polo mesmo (nivel de aseguramiento da calidade da autenticación, QAA). A aplicación cliente poderá escoller, en función deste nivel, o conxunto de sistemas de identificación que permite.

    Descrición Técnica

    Descrición Técnica*

    Para a identificación do cidadán, o modelo de federación de identidades de Cl@ve baséase no estándar SAML. Por tanto o modo de conexión ao servizo de clave non é mediante servizos Web, senón mediante aserciones SAML de navegador.

    En concreto, Cl@ve baséase na utilización do perfil SAML 2.0 definido por STORK. Este perfil utilizarase tanto para a integración entre Cl@ve e o provedor de servizos, como para a integración entre Cl@ve e o provedor de identidade, tal como obsérvase na seguinte figura:

     Provedor de identidade

    Para integrarse con Cl@ve, os provedores de servizos deben ter a capacidade de crear tokens SAML. Para a xeración destes tokens, proporciónase un paquete de integración para SP cun motor SAML, o STORKSAMLEngine, que debe ser integrado na capa de autenticación da lóxica de negocio do SP.

    O paquete de integración complétase cun Servidor de Aplicacións Demo (SP-DEMO) que integra o motor de creación de tokens SAML e facilita o desenvolvemento dos métodos de invocación das funcións de envío e recepción de tokens do motor SAML.

Responsable

Ligazóns de intereseSoluciones Relacionadas