Académique Documents
Professionnel Documents
Culture Documents
Tabla de contenidos
Introduccin ...................................................................................................................... 1 Pasos previos ..................................................................................................................... 2 Arquitectura del Mdulo Comn de Autenticacin ................................................................... 2 Mdulos de Login JAAS ..................................................................................................... 2 Mdulo Standalone ..................................................................................................... 2 Mdulo Corporativo .................................................................................................... 4 Gestin de Errores .............................................................................................................. 6 Definicin del ExceptionHandler a utilizar. .............................................................. 6 Operaciones a ejecutar ante un error .............................................................................. 6 Gestin de excepciones estndar. ................................................................................... 7 Canales de Acceso .............................................................................................................. 7 Datos de usuario suministrados por el mdulo ......................................................................... 8 Usuarios de tipo Empleado Pblico ............................................................................ 9 Usuarios de tipo Ciudadano ...................................................................................... 9 Usuarios de tipo Colaborador .................................................................................... 9 Constantes ......................................................................................................................... 9 Detalle de escenarios ......................................................................................................... 14 Ciudadano ............................................................................................................... 15 Empleado publico ..................................................................................................... 15 Colaborador ............................................................................................................. 15 glosario ........................................................................................................................... 15 A. Principals de cada escenario ..................................................................................... 17
Introduccin
El Mdulo Comn de Autenticacin es el sistema back-end que facilita la autenticacin de usuarios, de forma transparente, contra todos los sistemas de datos manejados por el Principado de Asturias. El Mdulo Comn de Autenticacin acta como un intermediario (un sistema fachada) evitando a las aplicaciones la comunicacin con mltiples sistemas y la manipulacin de datos heterogneos.
La comunicacin entre las aplicaciones y el Mdulo Comn de Autenticacin se realiza a travs de un servicio web: authService. Para facilitar el acceso a este servicio, en la distribucin del FW-PA se incluye una librera: security-client.jar. El cliente para el Mdulo Comn de Autenticacin se integra con el sistema de autenticacin del FWPA (con el Filtro de Seguridad), a travs de un mdulo JAAS (ver apartado Seguridad en el Manual de Desarrollo de Aplicaciones J2EE del FW-PA).
Pasos previos
Antes de poder utilizar el Mdulo Comn de Autenticacin , se necesita: 1. Solicitar la URL del servicio web del Mdulo Comn de Autenticacin. 2. Dar de alta la aplicacin a desarrollar en la base de datos del Mdulo Comn de Autenticacin. 3. Cargar los roles de la aplicacin y asignarlos a los usuarios que sean convenientes.
La comunicacin con el Mdulo Comn de Autenticacin (a travs del servicio web del mismo), se realiza mediante el Mdulo de Login (JAAS LoginModule): PrincastCorporativeLoginModule. Este mdulo se encargar de enviar los datos de autenticacin al Mdulo Comn y recibir la respuesta adecuada. Esta respuesta puede ser un error (excepcin de tipo JAAS LoginException) si no se pudo autenticar correctamente al usuario, o un conjunto de datos (JAAS Principal) del usuario, entre los que se incluyen: identificador principal, datos personales de carcter general, roles, etc.
Mdulo Standalone
Aquellas aplicaciones con necesidades de seguridad, que no dispongan de conectividad con los back-ends del Principado de Asturias, en concreto con el Mdulo Comn de Autenticacin, pueden utilizar el mdulo de autenticacin standalone, basado en un fichero de permisos. Como cualquier otro mdulo JAAS, el mdulo standalone se configura en el fichero config.xml. jaas-
<options> <option> <name>USERS.FILE</name> <value>WEB-INF/authorized-users.xml</value> </option> <option> <name>NO.CACHING</name> <value>false</value> </option> <option> <name>ENCODED.PASSWORDS</name> <value>false</value> </option> Para configurar un mdulo Standalone , es importante tener en cuenta: 1. La clase del mdulo es: es.princast.framework.modules.security.standalone.StandaloneLoginModule. 2. Se debe indicar la ubicacin del fichero de usuarios. Este fichero se configura bajo la opcin de nombre: USERS.FILE. Desde la versin 1.5 del FW-PA, el path de este fichero se resuelve de forma automtica utilizando la clase PrincastPathResolver. 3. Por defecto, el mdulo utiliza una cach para evitar releer el fichero de usuarios en cada acceso. Es posible deshabilitar esta cach (aunque no recomendable por motivos de eficiencia) configurando con el valor true la opcin: NO.CACHING. 4. Las contraseas, en el fichero de usuarios, se pueden escribir en plano o encriptadas. Para que el mdulo pueda trabajar con contraseas encriptadas, se debe configurar con el valor true la opcin ENCODED.PASSWORDS. Las contraseas deben estar encriptadas con el algoritmo SHA1 y una fuerza de cifrado de 160 bits.
Authorized-users.xml
A partir de la versin 1.5 del FW-PA la sintaxis del fichero authorized-users.xml cambia, no se mantiene la compatibilidad hacia atrs con versiones anteriores del fichero. En el fichero de usuarios se incluirn los datos de todos los usuarios que se autenticarn correctamente en la aplicacin, junto con sus credenciales, principals, roles y dominios.
<users> <user username="cliente" password="cliente" type="CITIZEN"> <principals> <principal name="USERNAME" value="cliente"/> <principal name="SURNAME1" value="Lopez"/> <principal name="SURNAME2" value="Otro"/> <principal name="NIF/NIE" value="12345678Z" identifier="true"/> <principal name="ID THIRD PARTY" value="12345"/> <principal name="AGENT USER TYPE" value="CITIZEN USER TYPE"/> <principal name="ORGANIZATIONAL UNIT ID" value="1001"/> <principal name="ORGANIZATIONAL UNIT NAME" value="Consejera de Infraestructuras </principals> <roles>
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del <role name="Citizen"> Comn de Autenticacin. Mdulo <domainRole name="grupo1" value="grupo1" procedure="no"/> </role> </roles> </user> </users> Se escribir una etiqueta <user> por cada uno de los usuarios. En dicha etiqueta se indicar el tipo de actor, su nombre de usuario y su contrasea. Bajo la etiqueta <principals> se detallar cualquier dato relevante acerca del usuario (nombre, apellidos, dni, etc.), en el ejemplo superior, para los nombres de los principals se han utilizado constantes de la clase SecurityConstants, de tal forma que los datos devueltos por este modulo son 100% compatibles con los que podra devolver el modulo corporativo (Mdulo Comn de Usuarios), aunque esto no es obligatorio, se puede utilizar cualquier nombre o valor para los principals. Uno de los principals puede ser marcado como identificador principal del usuario, si no se marca ninguno, se utilizar el username. Por ltimo, se enumerarn todos los roles del usuario, utilizando al etiqueta <roles>. Dentro de cada rol se especifican los dominios con el elemento <domainRole>, son agrupaciones lgicas de roles, por ejemplo un dominio puede ser todos los usuarios de la oficina de comarcal de Oviedo. El atributo procedure indica si un grupo es un procedimiento, esto sirve para las aplicaciones de tramitacin, donde es necesario saber los procedimientos que tiene cada usuario y se modelan mediante dominios con el atributo procedure="yes" (por defecto tiene valor a no).
ExceptionHandler
Junto con el modulo standalone se suministra un ExceptionHanlder especfico: es.princast.framework.modules.security. standalone.exceptions.SecurityExceptionHandler. Para ms informacin al respecto, vase el apartado siguiente: Gestin de Errores.
Mdulo Corporativo
El mdulo de login corporativo es un mdulo JAAS (LoginModule) que ejecuta las tareas de autenticacin contra el Mdulo Comn de Autenticacin, utilizando el servicio web authService. Para utilizar este mdulo, basta con escribir una entrada en el fichero jaas-config.xml para su configuracin:
<jaas> <application name="USERMGMT" controlFlag="required"> <module>es.princast.framework.modules.security.corp.client.PrincastCorporativeLog <options> <option> <name>wsURL</name> <value>http://@wsurl.host@:@wsurl.port@/Auth12F/authService</value> </option> <option> <name>canal-prompt</name> <value>tipo_acceso</value> </option> <option> <name>cliente-ip-prompt</name> <value>ip_cliente</value> </option>
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del <option> Mdulo Comn de Autenticacin. <name>tipo-persona-prompt</name> <value>tipo_persona</value> </option> <option> <name>nif-prompt</name> <value>nif</value> </option> <option> <name>cif-prompt</name> <value>cif</value> </option> <option> <name>persona-fisica-id</name> <value>F</value> </option> <option> <name>persona-juridica-id</name> <value>J</value> </option> <option> <name>canal-web-id</name> <value>web</value> </option> <option> <name>canal-certificado-id</name> <value>web</value> </option> <option> <name>canal-telefonico-id</name> <value>telefonico</value> </option> <option> <name>canal-presencial-id</name> <value>presencial</value> </option> </options> </application> </jaas> Los puntos ms importantes de esta configuracin son:
1. El nombre de la clase del mdulo de login es: es.princast.framework.modules.security.corp.client.PrincastCorporativeLoginModule 2. Bajo la opcin wsURL debe definirse la direccin del servicio web authService. 3. El resto de opciones indican los nombres de parmetros de request bajo los que se suministrarn datos del usuario a autenticar. Es conveniente copiar estos mismos valores.
Atencin
Es importante que en la aplicacin, bajo el parmetro de configuracin: app-config, se defina el mismo valor que el indicado en el atributo name de la configuracin JAAS. En este ejemplo: USERMGMT.
ExceptionHandler
Junto con el modulo standalone se suministra un ExceptionHanlder especfico: es.princast.framework.modules.security.corp.exceptions.SecurityExceptionHandler. Para ms informacin al respecto, vase el apartado siguiente: Gestin de Errores.
Gestin de Errores
Si, por cualquier motivo, en el Mdulo Comn de Autenticacin, o en el propio LoginModule JAAS, se produce un error, ste ser transmitido, en forma de una excepcin, al Filtro de Seguridad. Finalmente, existe un componente llamado ExceptionHandler que se encargar de redirigir al usuario a la pgina adecuada, en funcin del tipo de error.
Las excepciones que puede controlar el gestor estndar, junto a las operaciones a realizar en cada uno de los casos son las que se indican en la siguiente tabla:
X509CertificateExpectedException Requerido certificado digital de Redirecciona a la IP y/o puerto de cliente. certificado digital (SSL-3) InsufficientPrivilegesException El usuario est autenticado Redirecciona al forward: nopero no autorizado. No tiene roles. privilegios suficientes para acceder al recurso. RandomPwdPosRequiredException una autenticacin por Redirecciona Se requiere posiciones de contrasea. login. LoginException Error de autenticacin general. Redirecciona error. al al al forward: forward: forward:
Situacin anmala en el proceso Si el warning # Password de login. Expired, redirecciona a forward: change-password
Canales de Acceso
El Canal de Acceso define el medio por el que un usuario accede a un recurso protegido. En la mayora de los casos, este canal, ser el canal web, aunque, es posible que el acceso se realice intermediado a travs de un tramitador presencial o telefnico. El canal de acceso que se est utilizando se indicar, al Mdulo Comn de Autenticacin , utilizando el parmetro http tipo_acceso . De momento, se definen tres canales de acceso posibles: Canal web Es el canal de acceso por defecto. Supone que el usuario est entrando a la aplicacin a travs de una pgina de la propia aplicacin. Se supondr que se accede a travs de este canal cuando no exista en la peticin http el parmetro tipo_acceso, o bien, cuando ste valga la constante web. Para este canal, se permiten los niveles de seguridad 0, 1 y 2 si el actor es un ciudadano
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del (ACTOR = CITIZEN en princast-security-rules.xml), o Mdulo Comn de Autenticacin. niveles 0 y 1 si el actor es un empleado pblico (ACTOR = EMPLOYEE en princast-security-rules.xml) Canal Telefnico Este canal se utiliza para accesos intermediados a travs de un sistema CRM ( Siebel) procedentes de un call center. Para indicar el uso de este canal, se utilizar el parmetro tipo_acceso, con el valor telefonico. nicamente se permite tipo actor Ciudadano y niveles de seguridad 0 y 1. Este canal es idntico al anterior, con la salvedad de que el acceso procede de una oficina de atencin presencial y no de un call center. Se utilizar el valor presencial para el parmetro tipo_acceso. nicamente se permite tipo de actor Ciudadano y el nivel de seguridad 2.
Canal Presencial
El acceso a una aplicacin a travs del canal web se puede realizar desde cualquier ordenador conectado a la red, sin embargo, el acceso a travs de los canales intermediados (telefnico y presencial) nicamente se puede hacer desde determinados ordenadores cuyas IPs sean reconocidas por el Mdulo Comn de Autenticacin . Por lo tanto, es necesario, si se quieren utilizar estos canales, dar de alta en el Mdulo Comn de Autenticacin, todas las IPs que van a tener acceso a la aplicacin (y el canal que pueden utilizar).
Datos personales Se trata de un mapa de datos personales. En determinados (PrincastCompositePrincipal) escenarios (Colaborador) se puede devolver ms de un objeto de este tipo, aunque lo habitual es que haya slo uno. Roles (PrincastRole) Identifica el rol que tiene el usuario. Es habitual que se devuelva ms de un objeto de este tipo. Identifica los dominios de un usuario. Pueden ser de dos tipos dominios puros, es decir agrupaciones de usuarios (procedure=no). O procedimientos, que son tipos de tramites que puede hacer el usuario (procedure=yes) Se pueden incluir warnings si se da una situacin anmala en el proceso de autenticacin. Por ejemplo, la contrasea est caducada. Incluye informacind e carcter general acerca del escenario de autenticacin utilizado. Los datos que devuelve son: nivel de seguridad, canal de acceso, tipo de actor, etc.
Dominios (PrincastDomain)
Warnings (PrincastWarning)
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del En general los datos que se devuelvenComnresultado del proceso de autenticacin dependen del tipo de Mdulo como de Autenticacin. actor que se est autenticando. Los datos concretos, en funcin del tipo de actor son:
Constantes
Los datos personales, tanto de empleados como de ciudadanos, ofrecen a la aplicacin como objetos de tipo PrincastCompositePrincipal. Estos objetos son mapas de valores, en los cuales, cada entrada contiene un dato concreto de usuario. Los datos concretos que un principal de estas caractersticas puede tener son los siguientes: /**
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del * Clave que identifica el protocolo de acceso a un recurso Mdulo Comn de Autenticacin. */ public static final String PROTOCOL = "PROTOCOL"; /** * Constante que identifica identificadores de cualquier tipo. */ public static final String ID = "ID";
/** * Constante que identifica el documento de identificador de una persona fsica (N */ public static final String NIFNIE = "NIF/NIE"; /** * Constante que identifica el documento de identificador de una persona jurdica */ public static final String CIF = "CIF"; /** * Constante que identifica un nombre de una persona fsica o jurdica. */ public static final String NAME = "NAME"; /** * Constante que identifica el primer apellido de una persona fsica. */ public static final String SURNAME1 = "SURNAME1"; /** * Constante que identifica el primer apellido de una persona jurdica. */ public static final String SURNAME2 = "SURNAME2";
/** * Constante que define el nombre del identificador nico de una persona en la bas * Principado de Asturias */ public static final String ID_THIRD_PARTY = "ID THIRD PARTY"; /** * Constante que define el identificador de Unidades Organizativas */ public static final String ORGANIZATIONAL_UNIT_ID = "ORGANIZATIONAL UNIT ID"; /** * Constante que define el nombre de Unidades Organizativas */ public static final String ORGANIZATIONAL_UNIT_NAME = "ORGANIZATIONAL UNIT NAME"; /** * Constante que identifica el nombre de un agente tramitador */ public static final String PROXY_AGENT_USERNAME = "PROXY AGENT";
10
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del Mdulo Comn de Autenticacin. /** * Constante de identifica el nombre de un usuario */ public static final String USERNAME = "USERNAME"; /** * Constante que identifica un certificado digital */ public static final String X509_DIGITAL_CERTIFICATE = "javax.servlet.request.X509Certificate"; /** * Constante que identifica un conjunto de datos personales */ public static final String PERSONAL_DATA = "PERSONAL DATA"; /** * Constante que define el nivel de seguridad 0 */ public static final String SECURITY_LEVEL_0 = "0"; /** * Constante que define el nivel de seguridad 1 */ public static final String SECURITY_LEVEL_1 = "1"; /** * Constante que define el nivel de seguridad 2 */ public static final String SECURITY_LEVEL_2 = "2"; /** * Constante que identifica la contrasea de un usuario */ public static final String PASSWORD = "PASSWORD"; /** * Constante que identifica una direccin IP */ public static final String IP = "IP"; /** * Constante que identifica un tipo de actor */ public static final String ACTOR_TYPE = "ACTOR TYPE"; /** * Constante que identifica un nivel de seguridad */ public static final String LOGIN_LEVEL = "LOGIN LEVEL"; /** * Constante que identifica un conjunto de roles
11
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del */ Mdulo Comn de Autenticacin. public static final String ROLES = "ROLES"; /** * Constante que identifica un Principal primario (identificador nico) */ public static final String PRIMARY_PRINCIPAL = "PRIMARY_PRINCIPAL"; /** * Constante que identifica un conjunto de Principals secundario */ public static final String SECONDARY_PRINCIPALS = "SECONDARY_PRINCIPALS"; /** * Constante que identifica una aplicacion */ public static final String ID_APP = "ID APP"; /** * Constante que identifica un tipo de actor Empleado Pblico. */ public static final String PUBLIC_EMPLOYEE_ACTOR = "EMPLOYEE"; /** * Constante que identifica un tipo de actor Empleado Ciudadano. */ public static final String CITIZEN_ACTOR = "CITIZEN"; /** * Constante que identifica un tipo de actor Colaborador (tramitador). */ public static final String PARTNER_ACTOR = "COLABORADOR"; /** * Constante que identifica un canal de acceso */ public static final String CHANNEL = "CHANNEL"; /** * Constante que identifica el canal de acceso por Portal web. */ public static final String PORTAL_CHANNEL = "PORTAL"; /** * Constante que identifica la razn social de una persona jurdica. */ public static final String RAZON_SOCIAL = "RAZON SOCIAL"; /** * Constante que identifica al tipo de persona fsica. */ public static final String PERSONA_FISICA_TYPE = "F"; /**
12
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del * Constante que identifica al tipo de persona jurdica Mdulo Comn de Autenticacin. */ public static final String PERSONA_JURIDICA_TYPE = "J"; /** * Constante que identifica el canal de acceso presencial. */ public static final String PRESENTIAL_CHANNEL = "PRESENTIAL"; /** * Constante que identifica el canal de acceso telefnico. */ public static final String PHONE_CHANNEL = "PHONE"; /** * Constante que identifica posiciones de una contrasea. */ public static final String PASSWORD_POSITIONS = "PASSWORD_POSITIONS"; /** * Constante que indica el numero de posiciones aleatorias de uan contrasea * a utilizar en la autentificacin. */ public static final int RANDOM_POSITIONS_SIZE = 3; /** * Constante que identifica al tipo de identificador fiscal. */ public static final String IF_TYPE = "IF_TYPE"; /** * Constante que identifica el identificador fiscal NIF. */ public static final String IF_NIF_TYPE = "NIF"; /** * Constante que identifica el identificador fiscal CIF. */ public static final String IF_CIF_TYPE = "CIF"; /** * Constante que identifica el identificador fiscal NIE. */ public static final String IF_NIE_TYPE = "NIE";
/** * Constante que identifica el Principal que indica que una contrasea ha expirado */ public static final String PASSWORD_EXPIRED = "PASSWORD EXPIRED";
/** * Constante que identifica el conjunto de Principals que suponen warnings de la o */ public static final String LOGIN_WARNING = "LOGIN WARNINGS";
13
/** * Constante que identifica el conjunto de Principals que suponen datos del usuari */ public static final String USER_DATA = "USER DATA";
/** * Constante que identifica el conjunto de Principals que suponen datos del escena */ public static final String SCENARIO_DATA = "SCENARIO DATA";
/** * Constante que identifica el tipo de usuario cuyos datos contiene un Principal c * @see es.princast.framework.facilities.security.PrincastCompositePrincipal */ public static final String AUTHENTIFIED_USER_TYPE = "USER TYPE";
/** * Constante que identifica un Principal que contiene datos de un ciudadano autent */ public static final String CITIZEN_USER_TYPE = "CITIZEN USER TYPE";
/** * Constante que identifica un Principal que contiene datos de un agente tramitado */ public static final String AGENT_USER_TYPE = "AGENT USER TYPE"; /** * Constante que identifica un Principal que contiene datos de un empleado */ public static final String EMPLOYEE_USER_TYPE = "EMPLOYEE USER TYPE"; /** * Longitud mnima permitida para las contraseas */ public static final int MIN_PASSWORD_LENGTH = 8;
/** * Conjunto de caracteres no permitidos en las contraseas */ public static final String PASSWD_FORBIDDEN_CHARS = "@#~$%&/()?+`}{*^[]-_<>\\ /** * Caracter que representa un "hueco vaco" en una contrasea. */ public static final char PASSWD_EMPTY_CHAR = PASSWD_FORBIDDEN_CHARS.charAt(0);
Detalle de escenarios
Las operaciones necesarias para controlar el acceso de un usuario pueden ser sensiblemente diferentes en funcin de las circunstancias concretas de cada acceso. Un conjunto de parmetros que definen un medio de acceso comn es un escenario. En funcin del escenario de autenticacin que est en curso,
14
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del se aplicar una lgica diferente. En funcin del escenario, los datos devueltos por el mdulo pueden ser Mdulo Comn de Autenticacin. tambin diferentes.
Ciudadano
Los escenarios de ciudadano indican el acceso a un recurso protegido para el tipo de actor CITIZEN. Estos accesos estn reservados a ciudadanos, lo cuales, pueden acceder a la aplicacin a travs de cualquier canal (presencial, telefnico, web). Los recursos, para ciudadanos, pueden estar protegidos con bajo cualquier nivel de seguridad: 0, 1 2. La lgica de autenticacin puede variar en funcin del canal de acceso (parmetro tipo_canal). Los datos finales (resultado de la autenticacin) son los mismos para todos los casos.
Portal
El escenario de login de portal se aplica cuando un usuario (ciudadano) accede a un recurso protegido, directamente, a travs del portal (Internet). Se trata del escenario por defecto (parmetro tipo_canal=web o nulo). Se puede autenticar al ciudadano utilizando par NIF/contrasea o certificado digital.
Telefnico
En este escenario, el ciudadano accede al recurso a travs de un tramitador Siebel, estando el ciudadano al otro lado de la lnea telefnica. El tipo de canal (parmetro tipo_canal = telefonico) toma el valor: telefonico. Se realizar autenticacin, adems, de la direccin IP del tramitador. El control de acceso se realiza exclusivamente por el par: NIF/posiciones aleatorias de la contrasea (del ciudadano).
Presencial
En este caso, el ciudadano accede, de forma presencial, a la aplicacin a travs de un tramitador. El tipo de canal (parmetro tipo_canal = presencial) toma el valor: presencial. Se realizar autenticacin, adems, de la direccin IP del tramitador. El control de acceso se realiza, por parte del tramitador, utilizando el DNI del ciudadano.
Empleado publico
El escenario de acceso para empleados pblicos se identifica por el tipo de actor bajo el que se define el recurso: EMPLOYEE. Este escenario est reservado para recursos a los que nicamente puede acceder un empleado para realizar su trabajo diario. A propsito de este escenario, un tramitador (empleado que realiza un trabajo en nombre de un ciudadano) no se considera un empleado. En este caso, el acceso se controla nicamente con el par: usuario/contrasea.
Colaborador
Si a un recurso puede acceder un ciudadano, pudiendo estar este intermediado por un empleado o colaborador, se aplica el tipo de actor: COLABORADOR. En este tipo de escenarios se debe realizar una autenticacin doble: del tramitador y del ciudadano. La autenticacin del tramitador siempre se realiza con el par: usuario/contrasea. La del ciudadano, con el par NIF/posiciones aleatorias de contrasea o CIF/ posiciones aleatorias de contrasea (si se trata de una persona jurdica).
glosario
15
Actor
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del Usuario de que puede acceder a un recurso protegido. Un Actor Mdulo Comntipo Autenticacin. puede ser: ciudadano, empleado pblico o colaborador. El tipo de actor determinar la lgica de autenticacin empleada, as como los datos requeridos y los datos personales devueltos a la aplicacin. Nombre del servicio web delMdulo Comn de Autenticacin. El servicio authService es la fachada para acceder al mdulo. Va de acceso a un recurso protegido. El canal de acceso puede ser: web, presencial o telefnico. Las constantes de seguridad (clase SecurityConstants) son el conjunto de valores que se utilizan para nombrar parmetros de login y para identificar los datos que se devuelven a la aplicacin cuando se realiza una autenticacin correcta. Un escenario es un conjunto de parmetros que definen una lgica de autenticacin, parmetros de entrada y datos de salida comunes. Los escenarios se definen en funcin del tipo de actor, el canal de acceso y el nivel de seguridad. Tipo de excepcin java que desciende de la clase JAAS LoginException. Indica cualquier situacin controlada por la cual no se puede autenticar correctamente al usuario: contrasea equivocada, privilegios insuficientes, etc. El gestor de errores (ExceptionHandler) es el objeto en el cual se delega la manipulacin de cualquier excepcin producida durante el proceso de autenticacin. El gestor de excepciones ser capaz de redireccionar el flujo de la aplicacin a la URL adecuada para cada tipo de error. El Identificador (PrincastIdentifier) es el dato que permite identificar unvocamente al usuario autenticado. Identificador de tercero. Es un identificador interno que tienen los ciudadanos que trabajan con el Principado de Asturias. Clase que implementa el interfaz JAAS: LoginModule. Es un tipo de clase que puede realizar la autenticacin de un usuario y cargar en un objeto todos los datos que se obtengan de dicha operacin. El nivel de seguridad es un nmero que identifica el tipo de control de acceso que se aplicar a un recurso determinado. Nivel 0 = No hay control de seguridad. Nivel 1 = Control por par usuario /contrasea. Nivel 2 = Con-trol con certificado digital de cliente. Cualquier dato sobre el usuario obtenido al realizar el proceso de Login. Conjunto de datos personales del usuario autenticado. Se trata de un map que contiene pares dato-valor. Algunos de estos datos pueden ser: nombre, apellidos, NIF, unidades organizativas, etc. Conjunto de datos del escenario de autenticacin utilizado en un proceso de login. Estos datos pueden ser: nivel de seguridad, canal, actor, etc.
Constantes de Seguridad
Escenario
Excepcin de Login
Gestor de Errores
Identificador
Mdulo de Login
Nivel de Seguridad
Principal de Escenario
16
Rol Siebel
MANUAL DE DESARROLLO DE APLICACIONES J2EE. Cliente del Privilegio del usuario en una Mdulo Comn de Autenticacin. aplicacin. Sistema CRM del Principado de Asturias a travs del cual, los tramitadores pueden acceder a las aplicaciones de portal en nombre de un ciudadano. Objeto JAAS que contiene todos los Principals de un usuario autenticado. Situacin anmala en el proceso de autenticacin. Un warning no supone un error. Si se da un warning el acceso esta garantizado para el usuario.
Subject Warning
17