Integración en Aprovisionamiento
- Área: GUIA: Gestión Unificada de Identidades de Andalucía
- Tipo de pauta: Directriz
- Carácter de la pauta: Recomendada
Mediante el aprovisionamiento de identidades a las aplicaciones estas pueden hacer uso de esta información con la seguridad de que las identidades que maneja están actualizadas y son coherentes con el resto de sistemas de información de la administración andaluza.
Aunque las identidades están disponibles para ser consultadas por las aplicaciones, el aprovisionamiento permite a una aplicación mantener un estado actualizado para todas ellas. En caso de requerir mantener información de usuarios en su repositorio de datos no es preciso realizar costosas exploraciones del Directorio de identidades en busca de nuevos usuarios autorizados para incorporarlos a sus datos ni comprobar los roles y la existencia de usuarios contra el Directorio en cada acceso.
El aprovisionamiento de identidades desde GUIA a las aplicaciones contempla el alta, baja y modificación de cuentas de usuario sobre dichas aplicaciones. Estas operaciones se realizarán mediante un conector de OIM que se encargará de comunicar a la aplicación las operaciones realizadas.
Para que las aplicaciones realicen en sus repositorios locales de usuarios las operaciones que ordena GUIA, tendrán que facilitar una fachada de servicio web que será invocada por el módulo instalado en OIM.
Pautas
| Título | Carácter |
|---|---|
| Despliegue del Servicio Web de Aprovisionamiento | Recomendada |
| Seguridad en el Funcionamiento del Servicio Web | Recomendada |
| Uso del Servicio Web de Roles | Recomendada |
Despliegue del Servicio Web de Aprovisionamiento
Para ser integrada en aprovisionamiento una aplicación debe publicar el servicio web definido para tal propósito
Para la mayoría de las aplicaciones integradas en la infraestructura de GUIA es suficiente poder realizar la autenticación de usuarios y la comprobación de los roles de usuarios en la aplicación. En este caso no necesitarían disponer de un repositorio local de usuarios.
En caso de que la aplicación necesite conservar repositorio de usuarios deberá ofrecer la capacidad de ser informado desde la infraestructura de GUIA de todo cambio en el estado de los usuarios que tienen acceso a la aplicación. Así el servicio web definido para el aprovisionamiento de las aplicaciones contempla las siguientes operaciones:
- Alta de usuarios
- Baja de usuarios
- Activación de usuarios
- Desactivación de usuarios
- Cambios en atributos de un usuario
- Cambios en la contraseña de un usuario
Seguridad en el Funcionamiento del Servicio Web
Es responsabilidad de la aplicación comprobar la firma de OIM en las llamadas al servicio web de aprovisionamiento.
Para garantizar la integridad y autenticidad de la comunicación GUIA firmará los mensajes que envía a este Servicio Web. Es responsabilidad de la aplicación que publica el servicio de aprovisionamiento validar dicha firma.
GUIA firma el contenido del “body” del mensaje SOAP de la llamada al Servicio Web. Para realizar la firma GUIA utiliza un certificado digital del tipo X.509 v3.
Uso del Servicio Web de Roles
Para la gestión y consulta de roles se debe emplear el servicio web de roles definido.
Con el sistema de roles se pretende que GUIA registre los roles de las identidades en las distintas aplicaciones. De esta forma existirán una serie de roles en GUIA que previamente han tenido que ser acordados con cada aplicación. Estos roles serán consultados por las aplicaciones en GUIA, y a partir de ellos podrán comprobar sus permisos internamente en cada sistema.
Los roles se actualizan en el directorio a través de OIM. De esta forma se proporcionan como parte del API del Directorio los métodos que permiten modificar esta información de roles en OIM. Las operaciones contempladas serán: asignar rol a usuario, desasignar rol a usuario y consultar los roles de un usuario. Esta información se replicara automáticamente en el Directorio.
Para consultar esta información sobre roles las aplicaciones accederán al Directorio usando la interfaz de Servicios Web. En el directorio esta información estará en forma de grupos, donde cada rol será un grupo compuesto por los usuarios que poseen ese rol.
Se proporcionan los siguientes mátodos:
- Aprovisionar recurso a una identidad: Este método se encarga de aprovisionar una aplicación a una determina identidad.
- Obtener los roles de una aplicación: Mediante este método se puede conocer con que roles cuenta una aplicación.
- Asignar Rol: Este método se encarga de añadir un rol a una identidad en una determinada aplicación.
- Desasignar Rol: Este método se encarga de quitar un rol a una identidad en una determinada aplicación.
- Obtener Roles: Este método obtiene los roles de una identidad para una determinada aplicación.
Las especificaciones concretas en cuanto a nombres de métodos, parámetros, etc. se encuentran en el recurso asociado.
Contenidos relacionados
Recursos
| Código | Título | Tipo | Carácter |
|---|---|---|---|
| RECU-0441 | API del servicio web para integración en aprovisionamiento | API | Recomendado |
| RECU-0440 | API del Servicio Web de Roles | API | Recomendado |
