Gobierno de España Autentica

Motivación y Objetivos

En el marco de sus competencias, la Dirección General de Modernización, Procedimientos e Impulso de la Administración Electrónica (en adelante DGMAPIAE) viene prestando un conjunto de servicios horizontales a las Administraciones Públicas, con el fin de favorecer el avance de la administración electrónica tanto en las relaciones interadministrativas a través de la Red SARA, como hacia el ciudadano, a través de Internet. Estos servicios se prestan mediante un conjunto de aplicaciones y se apoyan en repositorios de usuarios, para su acreditación ante los diferentes sistemas, en algunos casos dispersos e inconexos.

Con el fin de ahorrar costes, reutilizar recursos, realizar un mantenimiento de las aplicaciones sostenible y eficaz, contando con un conjunto más compacto de servicios horizontales, se ha puesto en marcha el proyecto de "Directorio de las Administraciones Públicas – AUTENTICA" , el cual, consolidando las iniciativas ya existentes, a destacar, Directorio Común de Unidades y Oficinas - DIR3, Registro Central de Personal, Portal Funciona Portales de Entidades Locales y de Comunidades Autónomas, Portales de la DGMAPIAE, proyecto Cl@ve y Correo Multidominio, debe establecer un modelo para consolidar los diferentes repositorios de usuarios que utilizan los servicios comunes u horizontales que se prestan a través de la Red SARA e Internet.

Se trata de que, en última instancia, se implemente un repositorio horizontal de autenticación que pueda ser provisto y consumido por las Administraciones Públicas. Dicho repositorio prestará un servicio, igualmente horizontal, de aprovisionamiento de usuarios y servirá para la autenticación de los mismos en la utilización que estos hacen de los servicios del Cloud SARA.

Se pretende establecer los criterios para la definición del Directorio de las Administraciones Públicas (AUTENTICA) y de sus diferentes módulos y servicios de provisión, autenticación y single sign on, de acuerdo a un conjunto discreto de escenarios que se entiende abarcan las principales necesidades de los potenciales consumidores.

Los resultados presentados se recogen en un documento y son fruto del estudio realizado. Se adjunta, mediante anexos a dicho documento, un resumen de los trabajos realizados.


Descripción de las Funcionalidades

Las funcionalidades y servicios que se pretenden ofrecer a través de AUTENTICA son las siguientes:

  • F1: Servicio de autenticación mediante certificado electrónico y claves concertadas
    • Servicio de autenticación a través de certificado electrónico:
    • Las aplicaciones podrán consumir el servicio de autenticación horizontal contra la plataforma @firma. Dicho servicio también comprueba la existencia del usuario en el repositorio, por ejemplo, en el caso de que una aplicación desee consumir este servicio:

      • La aplicación redireccionará al usuario hacia una página web que formará parte del sistema de AUTENTICA. Una vez hecho esto, la aplicación no tendrá que hacer nada más, únicamente esperar la respuesta.
      • Automáticamente y de manera transparente el sistema detectará el certificado instalado en el navegador.
      • Realizará las siguientes comprobaciones:
        1. Comprobación contra la plataforma @firma para verificar la validez del certificado.
        2. Comprobación de la existencia del usuario en el repositorio.
        3. Comprobación del tipo de colectivo al que pertenece el usuario.
      • Una vez realizadas las comprobaciones se procederá a dar respuesta a la aplicación y esta podrá permitir o denegar el acceso. La gestión de la autenticación se explica en la sección correspondiente.
    • Servicio de autenticación de usuarios a través de claves concertadas:
    • Las aplicaciones adscritas a la iniciativa dispondrán de una clave concertada que, una vez validada por parte del proveedor que la emitió, servirá para verificar la identidad del usuario que intenta acceder a la aplicación.

    En el caso de que el sistema no detectase el certificado electrónico en el navegador, automáticamente se mostrará el sistema de autenticación mediante usuario y contraseña (F3), descrita en un apartado posterior.

  • F2: Servicio de integración con Single Sign On (SSO)
  • Las aplicaciones sindicadas a un SSO podrán acceder entre sí, siempre y cuando el usuario que acceda no forme parte del colectivo de ciudadanos y la aplicación se encuentre federada con el CAS. Esto significa que una aplicación, aun no perteneciendo sus usuarios al colectivo de ciudadanos, aun estando sus usuarios en el repositorio común y aun contando éstos con certificado electrónico válido, no podrán tener acceso al SSO, salvo que la aplicación se haya dado de alta en el CAS.

    • Se lleva a cabo el proceso descrito en la funcionalidad F1.
    • El sistema comprueba si la aplicación se encuentra federada con el CAS.
    • El sistema comprueba la procedencia del usuario.
    • Una vez realizadas las comprobaciones:
      • Si la aplicación se encuentra federada con el CAS y el usuario no forma parte del colectivo de ciudadanos, el sistema sólo solicitará autenticación de usuarios una única vez, manteniendo con dicha autenticación el acceso a las demás aplicaciones federadas con el CAS.
      • Si la aplicación no se encuentra federada con el CAS o el usuario forma parte del colectivo de ciudadanos, el sistema no permitirá Single Sign On entre aplicaciones, por lo que para que el usuario pueda acceder a cualquier aplicación sindicada con el CAS deberá autenticarse de nuevo.
  • F3: Servicio de autenticación y/o registro mediante usuario/contraseña
  • Las aplicaciones podrán consumir el servicio de autenticación mediante usuario y contraseña, es decir, una aplicación que necesite autenticar a un usuario y éste no disponga de certificado electrónico, podrá llevar a cabo dicha autenticación informando su usuario y su contraseña, dado de alta previamente:

    • La aplicación accederá a una página web que formará parte del sistema de AUTENTICA. Ésta le mostrará un formulario con los campos de usuario y contraseña para su validación.
    • Una vez informados ambos campos, el sistema realizará las comprobaciones oportunas y permitirá o denegará el acceso al sistema. La gestión de la autenticación mediante usuario y contraseña se explica en la sección correspondiente.
  • F4: Servicio de consumo directo del repositorio
  • Posibilidad de realizar una conexión con el repositorio mediante el modulo de aprovisionamiento, de tal forma que se podrán realizar búsquedas de usuarios según unos filtros de búsqueda determinados, obteniendo un listado de resultados. Así mismo, se podrá acceder al detalle de un usuario obteniendo la información alojada en el LDAP del repositorio.

  • F5: Servicio de integración con el sistema de aprovisionamiento horizontal de usuarios
  • Utilización del sistema de aprovisionamiento de usuarios de AUTENTICA, donde se podrá gestionar todo el ciclo de vida de los usuarios: altas, bajas y modificaciones de usuarios por parte de un administrador, ya sea del MINHAP-SGAD, o delegado en las condiciones que se determinen, así como el autoregistro por parte de los usuarios (previa verificación y validación si procede por parte de un administrador del MINHAP-SEAP).

  • F6: Módulo de interoperabilidad
  • Para aquellos casos en los que se desestime el uso de las funcionalidades nativas de AUTENTICA, por motivos técnicos, funcionales o de personalización, AUTENTICA ofrece un catálogo de servicios web que contempla las siguientes funcionalidades:

    • Alta de usuario
    • Modificación de usuario
    • Baja de usuario
    • Autoregistro
    • Autenticación de usuario a través de usuario y contraseña
    • Obtención de datos (perfil completo)
    • Obtención del tipo de usuario
    • Obtención de la situación administrativa del usuario
    • Obtención de la existencia o no de un usuario en el repositorio común

Beneficios del Sistema

A continuación se relacionan los beneficios con esta iniciativa:

  • Es un servicio horizontal para todas las AAPP ofrecido a través de la Red SARA, lo que favorece un mejor aprovechamiento de las infraestructuras y servicios comunes.
  • Debe proporcionar un repositorio de usuarios normalizado.
  • Ofrece una capa horizontal de autenticación con certificado electrónico lo cual favorece la interoperabilidad y la seguridad del sistema.
  • Proporciona un módulo de aprovisionamiento horizontal de usuarios con un conjunto de medidas de seguridad establecidas por defecto, lo cual sienta las bases para que el contenido del repositorio se enriquezca y se mantenga.
  • Consolida y sincroniza iniciativas de amplia utilización por las Administraciones Públicas: DIR3, Portal de Entidades Locales, Portal de Comunidades Autónomas, Registro Central de Personal, Portal Funciona, Servicios ofrecidos al ciudadano por Internet a través de los Portales de la Dirección General, lo que proporciona claras sinergias.
  • Ofrece diferentes escenarios de uso y/o integración, y un modulo de interoperabilidad basado en servicios Web, con lo que se proporciona un marco flexible para su uso.