Plataforma de Identificación,

Autenticación y Firma
 Introducción a Cl@ve

• Cl@ve es la plataforma común del Sector Público

Administrativo Estatal para la identificación, autenticación y
firma electrónica mediante el uso de claves concertadas,
abierta a su utilización por parte de todas las
Administraciones Públicas.
• Aprobada en el Acuerdo de Consejo de Ministros del 19 de
septiembre de 2014
• Proyecto colaborativo impulsado por la DTIC alineado con las
medidas CORA
• Técnicamente se apoya en los resultados del proyecto
europeo STORK
 Identificación y Autenticación
Esquema general

Comunicación mediante
redirecciones del navegador STORK
(aserciones SAML)

Intermediador de
eID extranjeros

Gestor de
Servicio de e- identidades –
Admon Proveedores de
Cl@ve servicios de
AEAT
identificación (IdP)
Comunicación
mediante
redirecciones
GISS
del navegador
Proveedor del @firma (aserciones
servicio (SP) SAML)
Intermediador de
DNIe y certificados
 Círculos de confianza

IdP

STORK
IdP
Intermediador de
eID extranjeros
Servicio de e-
Admon
Gestor de
Servicio de e- identidades – AEAT
Admon Cl@ve
Proveedores de
Servicio de e-
identidad (IdP)
Admon

GISS
Proveedores de
servicio s(SP) @firma
IdP
Intermediador de
DNIe y certificados IdP
 SAML

 Usado en sistemas de federación de identidades

 Framework basado en XML para reunir y organizar información de
seguridad e identidad e intercambiarla entre diferentes dominios
➢ Integra tecnologías de seguridad ya existentes en lugar de inventar
nuevas tecnologías
➢ Sus perfiles ofrecen interoperabilidad para una variedad de casos de uso,
pero se pueden ser extendidos para casos adicionales
 Base de SAML: aserciones acerca de sujetos
➢ Autenticación
➢ Atributos
➢ Derechos de acceso
 SAML 2.0 (OASIS): Integra SAML 1.0 y 1.1, Liberty Alliance, y
Shibboleth
Conceptos SAML

• SAML SOAP Binding (based on SOAP 1.1)

• Reverse SOAP (PAOS) Binding
• HTTP Redirect (GET) Binding
• HTTP POST Binding
• HTTP Artifact Binding
• SAML URI Binding
 Datos personales manejados por la
interfaz de STORK
Datos personales manejados por la interfaz STORK
Interfaz STORK Datos de registro
Nombre Descripción / Observaciones
Tipo de Documento Identificativo Valor inicial: DNI/NIE

En este modelo de datos se debe contemplar que en el

Atributo personal Valores y comentario
futuro se puedan tener identificaciones distintas del
eIdentifier Identificador nacional de otros países. DNI/NIE. Por ejemplo, ciudadanos de otros países.
NIF/NIE
givenName Nombre del ciudadano Nombre La identificación del ciudadano debe ser los que figura en
inheritedFamilyName / adoptedFamilyName (cada país tendrá Apellido1 la DGP, responsable de emitir los DNI/NIE. Para cumplir
surname en el surname uno de estos casos como el apellido Apellido2 este requisito, se utilizará el servicio SVDI de la DGP desde
comúnmente usado) Fecha de validez del DNI/NIE la aplicación de Registro.
Indicador de Permanente
inheritedFamilyName Apellido de nacimiento
Teléfono Aunque actualmente sólo se permiten teléfonos españoles
Apellido adoptado (para casos en que el apellido cambia al (9 posiciones), el modelo contemplará números de otros
adoptedFamilyName
contraer matrimonio, por ejemplo) países (15 posiciones)
gender Género Email
Tipo de Registro • Telemático a partir de una carta de invitación
nationalityCode Código del país de nacionalidad

maritalStatus Estado civil • Con certificado electrónico, equivalente al

presencial
dateOfBirth Fecha de nacimiento
• Presencial
countryCodeOfBirth Código del país de nacimiento Identificación del Organismo Identificador del Organismo que realiza el Registro. Se
utiliza el identificador asignado en el Directorio de
age Edad
Organismos DIR3
isAgeOver ¿La edad es mayor de X años? Identificación del Funcionario NIF del funcionario que realiza el Registro en su modalidad
Presencial.
textResidenceAddress Dirección en varias líneas de texto de la dirección postal. Estado • Alta

canonicalResidenceAddress Dirección en formato canónico • Renuncia

residencePermit Permiso de residencia
• Revocado
eMail Correo electrónico

title Título • Baja-Fallecido

TimeStamp TimeStamp del momento en el que se realiza el último
pseudonym Seudónimo movimiento
citizenQAAlevel Nivel con el que se autenticó el usuario. Código de Activación El código de referencia será un código de 8 posiciones
numéricas.
fiscalNumber Número fiscal
En la base de datos se almacenará el HASH del código.
 Niveles de identificación

• Niveles de aseguramiento de la calidad de la autenticación, en

base a:
– Como se verifica la identidad de la persona antes de darle el mecanismo de
identificación. Requiere registro fiable.
– Aspectos técnicos de los medios de autenticación…
• El proveedor del servicio define el nivel de calidad en la
autenticación que requiere para su servicio
• Recogidos en el Reglamento Europeo eIDAS:
– Básico
– Sustancial
– Alto
• Obligatoriedad de reconocimiento de credenciales extranjeras con
nivel mayor o igual al requerido para las nacionales
 Niveles de identificación

• Niveles influidos por el proceso de registro:

– Presencial
– Con certificado reconocido
– No presencial
• Ejemplos basados en el QAA de STORK
– Alto: Certificados electrónicos (contienen
los datos de identidad). Nivel alto
– Sustancial: Usuario/contraseña + doble factor
(clave de un solo uso/tarjeta coordenadas)
– Básico: Usuario/contraseña
 Información intercambiada

• El proveedor del servicio define

– Qué proveedores de identidad deben ser intermediados por
Cl@ve
– El nivel de calidad de la credencial (QAA) que se debe usar para
autenticarse en su servicio
• El proveedor de servicio recibe como respuesta
– Resultado del proceso de autenticación (OK, KO)
– Datos de identidad: identificador (DNI), nombre y apellidos
– Datos del proceso de autenticación: QAA, proveedor de
identidad
• El proveedor de identidad recibe datos de identificación del
proveedor del servicio
– País, sector, proveedor de servicio, aplicación del proveedor
 Navegación

Con interacción con el usuario

Sin interacción con el usuario

1
2 Portal Ae
SP Identificarse

5
Cl@ve
Cl@ve
DNIe / Certificado STORK
3
Usuario/Contraseña PIN24H

Navegador 4
del usuario IdP IdP
Usuario
Pwd

Mensajes SAML
2 - Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP
3 - Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve
4 – Respuesta de la identificación, firmada por IdP
5 – Respuesta de la identificación, firmada por Cl@ve
Integración de cl@ve en las Sedes
Electrónicas

Acceso con

https://prespanishpeps.redsara.es/SPProxy/lanzarPeticion.jsp
 Interfaces y componentes

Paquete de integración Java Implementación

STORK para proveedores .NET de referencia del
SP de servicios PHP IdP PEPS de STORK
Java
SP pack PEPS

SAML SAML
engine
SAML 2.0 perfil STORK Cl@ve SAML 2.0 perfil STORK
engine

Demo Demo
SP IdP

Interfaz Interfaz
específica específica

Capa de Sistema propio de

autenticación identificación y
autenticación
Aplicación de PIN24H
negocio Usuario/Contraseña