Gestión de la información de usuarios en aplicaciones integradas

Los usuarios gestionados por GUIA provienen de alguna de las fuentes autoritativas. Las fuentes autoritativas que actualmente están contempladas dentro del proyecto GUIA son las siguientes:

• SIRHUS. Fuente autoritativa de la Administración General de la Junta de Andalucía.
• GERHONTE. Fuente autoritativa del SAS.
• SIRHUSE. Fuente autoritativa de la Consejería de Educación.
• DIRECTORIO JUDICIAL. Fuente autoritativa de la Consejería de Justicia.

Además de las procedentes de las fuentes autoritativas, podrán incluirse identidades externas que tengan relación con la Junta de Andalucía tales como empresas públicas, proveedores, etc. Estas identidades serán añadidas y gestionadas a través de la aplicación de Gestión Operativa de GUIA, según los procedimientos y canales establecidos para ello.

El formato del identificador dependerá de si se trata de un NIF o un NIE:

• El formato del NIF es: NNNNNNNNL
• Los formatos del NIE son: XNNNNNNNNL y XNNNNNNNL

Se realizará un tratamiento especifico en GUIA sobre aquellos usuarios que tengan NIF/NIE duplicado.

Incluido el NIF se pueden utilizar como identificadores:

• NIF
• DNI
• UID (identificador único de correo corporativo JdA)
• Correo electrónico corporativo JdA
• Certificado digital

Sólo aparecerá una tupla en las tablas en el repositorio local de la aplicación que debe contener el identificador descrito para cada identidad, para poder relacionar la identidad secundaria con la identidad primaria.

En caso de que la aplicación requiera que un usuario pueda utilizar distintos privilegios, será la propia aplicación la que muestre al usuario las diversas opciones y el usuario deberá seleccionar con qué privilegio desea conectarse

Por ejemplo, una aplicación donde un usuario puede ser “Usuario Final” y “Administrador”. La aplicación deberá mostrar un menú que permita al usuario seleccionar con que perfil quiere conectarse a la aplicación.

Las aplicaciones no tendrán usuarios genéricos. Por ejemplo, para el acceso del usuario administrador de la aplicación, se asignará un rol "administrador" a los usuarios de la aplicación que corresponda, en lugar de acceder mediante una cuenta compartida. Únicamente en casos muy concretos podrán existir cuentas de servicio, necesitándose una justificación de su existencia para su inclusión.

Debe tenerse en cuenta que esta medida es imprescindible para el cumplimiento del nuevo reglamento de desarrollo de la LOPD, que en su artículo 93, "Identificación y autenticación", establece que:

• "93.2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado."

Dichos atributos (por ejemplo, Nombre, Apellidos, Teléfono, etc) se encuentran almacenados en el Directorio Corporativo. Las aplicaciones no necesitarán almacenar estos datos, únicamente deberán almacenar información de usuarios que se requiera para el negocio propio de la aplicación.

Al igual que la información de usuario, la información de roles estará disponible en el Directorio Corporativo y GUIA proporcionará los mecanismos necesarios para acceder a dicha información. La aplicación deberá proporcionar esta información para que sea incorporada en el Directorio Corporativo.

Por ejemplo, una aplicación que gestione un repositorio de software. Esta aplicación deberá almacenar en su lógica interna quién puede acceder a los distintos almacenes de software. Quién puede acceder correspondería a la lógica propia de la aplicación y únicamente requerirá identificar al usuario. El identificador de usuario, en este caso corresponde al NIF/NIE. Si la aplicación requiere más información de usuario (como por ejemplo, el nombre o los apellidos del usuario), GUIA proporcionará dicha información.

La aplicación dispondrá de la información de usuarios a través de los mecanismos proporcionados por GUIA

GUIA ofrece mecanismos para que la aplicación acceda a dicha información:

• Acceso a través de los interfaces del Directorio Corporativo. El Directorio Corporativo dispone de dos interfaces de acceso:
  • WebService. Se ha desarrollado un interfaz de acceso a través de WebService. Este interfaz permitirá a las aplicaciones el acceso a los datos del Directorio Corporativo. Este será el mecanismo de acceso por defecto que se proporcionará a las aplicaciones.
  • LDAP. Protocolo estándar de acceso a directorio. Este mecanismo de acceso requiere que la aplicación cumpla con las políticas de seguridad establecidas en el Directorio Corporativo. Este mecanismo de acceso será restringido y deberá arbitrarse qué aplicaciones tienen acceso al Directorio Corporativo a través de dicho interfaz.

GUIA no gestionará información asociada a los usuarios propia de la lógica de negocio de la aplicación, tan sólo la relacionada con el ciclo de vida de la identidad y que pueda proporcionarse desde los atributos de identidad primaria.

Por ejemplo, una aplicación que para cada usuario almacene unas preferencias de visualización de la interfaz. Dicha información sólo tendrá significado para la propia aplicación y por tanto se deberá almacenar y gestionar de forma local a la propia aplicación.