Introducción

AUTENTICAR es el servicio brindado por la plataforma PAEC - Plataforma de Autenticación Electrónica Central de la Nación - que oficia de intermediario entre una aplicación cliente (AC) y los proveedores de autenticación (IdP) elegidos para autenticar la identidad de los usuarios de sus sistemas.

Es importante el entendimiento de los siguientes conceptos:

Aplicación Cliente

Se considera Aplicación Cliente (AC) a cualquier sistema o aplicación que utiliza los servicios de AUTENTICAR para resolver las autenticaciones de sus usuarios.

Esta AC puede estar desarrollada en cualquier tecnología y de ésta dependerá su adaptación.

Proveedor de Autenticación

Se entiende por Proveedor de Autenticación (IdP) a cualquier sistema, servicio o aplicación que brinda los servicios de autenticación de usuarios a través de PAEC.

Dominio de Autenticación

Un Dominio de Autenticación en PAEC es un conjunto de configuraciones que agrupa AC con IdPS en distintos Mecanismos de autenticación. Una propiedad interesante de un dominio de autenticación es que toda AC que esté agrupada en el mismo dominio tendrá SSO con el resto de las AC del grupo.

La interacción entre las partes es la que se muestra en el siguiente diagrama:

Dominio de Autenticación con SSO

Un Dominio de Autenticación con SSO en PAEC permite que si un usuario se autentica en una AC del grupo e inicia sesión, al acceder a otra AC del grupo no tenga que iniciar sesión nuevamente porque ya va a estar autenticado.

El flujo de autenticación en este caso se detalla a continuación. En el ejemplo, dos aplicaciones web desarrolladas en distintas tecnologías pertenecen al mismo dominio de autenticación en PAEC que delega el servicio a AFIP como IdP.

Referencias:

  1. El usuario ingresa primero a la aplicación cliente de PAEC e intenta autenticarse.
  2. La aplicación cliente, redirige a PAEC para dar inicio al proceso de autenticación consultando el estado de sesión en el dominio configurado.
  3. PAEC delega la acreditación de identidad al Proveedor de Autenticación redirigiendo a su sitio.
  4. El Proveedor de Autenticación valida las credenciales y devuelve el resultado de la autenticación a PAEC siempre que la misma haya sido exitosa.
  5. PAEC devuelve el resultado de la autenticación redirigiendo la aplicación cliente.
  6. La aplicación cliente le muestra el resultado al usuario y da acceso convenientemente.
    Si luego de concluido estos pasos el usuario ingresa a la aplicación desarrollada en PHP, no deberá autenticarse nuevamente dado que ya se encontrará autenticado.

Dominio de Autenticación con SLO

Un Dominio de Autenticación con SLO en PAEC permite que si un usuario cierra sesión en una AC del dominio, al acceder a otra AC del grupo tenga que autenticarse nuevamente.
Tomando el ejemplo del dominio con SSO,

Referencias:

  1. El usuario cierra sesión en la aplicación desarrollada en JAVA.
  2. La aplicación cliente, envía el cierre de sesión a PAEC.
  3. PAEC cierra sesión en el dominio.
  4. La AC cierra la sesión del usuario en la aplicación.
    Si luego de concluido estos pasos el usuario ingresa a la aplicación desarrollada en PHP, deberá autenticarse nuevamente dado que al haberse cerrado sesión en el dominio ya no se encuentra autenticado.
    Volver