Wiki

ID Uruguay

Introducción

Los servicios electrónicos que ofrece el estado uruguayo están, al igual que los servicios físicos, segregados en los diferentes organismos que lo componen. Estos servicios requieren diferentes niveles de seguridad y garantías de identidad, de acuerdo a la criticidad de la información que manejan o a las acciones que pueden sucederse una vez consumidos por los ciudadanos.
ID Uruguay tiene un esquema llamado Single Sign On, que tiene como objetivo la formación de una Federación de Identidades de los diferentes organismos en torno a un único proveedor de identidades (Identity Provider - IdP). 
El objetivo del ID Uruguay es que los usuarios cuenten con un único conjunto de credenciales, y un único punto para autenticarse. Una vez que el ciudadano se crea un usuario en ID Uruguay, automáticamente puede ir a cualquiera de los organismos que la integran sin necesidad de volver a iniciar sesión o proveer credenciales adicionales, haciendo que el esquema de autenticación sea totalmente centrado en el ciudadano.

Objetivo

El propósito de este artículo es describir las características de ID Uruguay para dar un panorama funcional de la aplicación.
Se detallan qué necesidades de los Organismos cubre la plataforma una vez realizada la integración, así como también los requerimientos que se deben cumplir para concretarla.
Adicionalmente, se hace una introducción a los distintos procedimientos que deben respetar los organismos que deseen integrarse con ID Uruguay.

Descripción general

ID Uruguay es un producto que brinda servicios de autenticación a todos aquellos Proveedores de Servicio (Service Provider – SP), que mediante una integración técnica, deseen unirse a la federación.
Muchas veces el concepto de autenticación está relacionado con la autorización, debido a que para la mayoría de los casos es transparente para el usuario. Justamente por ello, y porque este producto se limita exclusivamente a la autenticación de usuarios, es necesario diferenciar estos conceptos y el registro de usuarios.

  • Registro: Es el proceso en el cual un ciudadano se registra en el sistema, es una pre-condición para la autenticación con usuario y contraseña.
  • Autenticación: Es un procedimiento por el cuál se verifica que un usuario es quién dice ser.
  • Autorización: Es el paso siguiente a la autenticación, y consiste en asegurar que cierta funcionalidad es solamente accesible a aquellos usuarios que tienen los permisos correspondientes.

Por lo tanto, ID Uruguay finaliza su rol una vez que autentica al usuario y le comunica al SP que éste es quien dice ser mediante el protocolo seguro de integración utilizado. Como consecuencia, el SP otorga los accesos que considere pertinentes para cada caso en particular en forma autónoma.
Para hacer uso de ID Uruguay cada ciudadano debe registrarse en el mismo, salvo en el caso de autenticación con Cédula de Identidad Electrónica, que es un caso particular de autenticación con certificado electrónico y no es necesario que el ciudadano se registre.
Cada ciudadano que se registre en ID Uruguay tendrá su cuenta de usuario asociada a credenciales básicas (usuario y contraseña), y por lo tanto, puede establecer una sesión autenticándose con las mismas. Adicionalmente, los usuarios pueden firmar electrónicamente un formulario para acceder a un nivel superior que garantiza su identidad dentro del sistema.

Autenticación de usuarios

La autenticación de los usuarios se puede encaminar por dos vías claramente definidas: autenticación mediante el uso de la Cédula Electrónica o autenticación mediante usuario y contraseña.

Autenticación mediante Cédula Electrónica


Los ciudadanos pueden utilizar su Cédula Electrónica para autenticarse con la plataforma. Para esto es necesario contar con un lector de tarjetas inteligentes, dónde se inserta la cédula, y colocar el PIN una vez que se solicita el mismo. El resto de los componentes necesarios para utilizar este medio se instalan automáticamente en el navegador del usuario la primera vez que se utilice el servicio.
Es considerable destacar que este procedimiento además de otorgar un elevado nivel de autenticidad al usuario, ya que es un método de dos factores; algo que tengo (cédula) y algo que sé (PIN), también será cada vez más popular por la obligatoriedad que supone contar con cédula de identidad a todos los uruguayos mayores de 18 años. Y si bien hoy en día no todos los ciudadanos cuentan con una Cédula Electrónica, se estima que en el corto plazo se abarque gran parte de la población.

Autenticación mediante Usuario y Contraseña


Los ciudadanos se pueden autenticar además utilizando un usuario y contraseña que conocerán luego de haberse registrado. Existen diferentes vías de registro como se verá a continuación.

Vías de registro

Procedimientos de registro
El IdP soporta dos modalidades de aprovisionamiento de usuarios:
Registro presencial, para el caso en que el ciudadano se dirige a un Agente de Registro en forma presencial y es éste, a través de una interfaz especialmente delegada para él y siguiendo el Registro Presencial en ID Uruguay, quien lo registra en el sistema.

Auto-Registro, mediante un portal al que el ciudadano ingresa en forma anónima e ingresa sus datos. Se le envía una confirmación al mail ingresado y al aceptarla, se crea la cuenta básica del usuario en el IdP. Este portal de auto-aprovisionamiento está disponible a través de Internet en https://mi.iduruguay.gub.uy/registro.

Certificado, Una vez activada la cuenta, también es posible firmar digitalmente un contrato utilizando Firma Electrónica Avanzada que asegura una garantía de identidad de Certificado, la cual es equivalente a la Presencial. Ambas garantías se detallan en la siguiente sección. En el Manual de Auto-Registro de Usuarios a ID Uruguay se encuentra toda la información de referencia para esto.

Documentos de identidad aceptados
Se aceptan todos los documentos nacionales de identidad emitidos por países de América del Sur. Para el resto del mundo es obligatorio el uso de pasaporte.

Garantías de identidad

Como resulta evidente observar, el auto-registro de ciudadanos da comodidad a los mismos, pero no otorga a priori demasiadas garantías respecto a la identidad de la persona dueña de la cuenta de usuario básica. Es por esto que además de los datos ingresados, el sistema asigna automáticamente dos campos más que indican el nivel de validación de identidad con el que se cuenta en un momento dado:

  • CERTIFICADO, que es una bandera que se pone true sólo si se realizó validación de identidad con certificado electrónico en algún momento, y
  • PRESENCIAL, que es también una bandera que se pone a true sólo si se realizó validación de identidad presencial en algún momento.

En el momento que se activa la cuenta del usuario, o a posteriori, éste puede realizar una autenticación con su certificado electrónico de persona física para elevar su garantía de identidad a CERTIFICADO. En este punto, dentro del portal de autogestión, el sistema le solicita una firma electrónica avanzada para firmar un contrato, y verifica que los datos del país, tipo y número de documento coincidan con los de su certificado. De ser así, el sistema le registra la bandera CERTIFICADO en ese momento, y guarda una copia del certificado electrónico utilizado como parte de la información de la cuenta de usuario.
De forma similar, una vez registrado el usuario, este puede solicitar elevar sus privilegios para validación presencial. La persona deberá concurrir en forma presencial a una de las oficinas habilitadas a registrar usuarios del portal del estado uruguayo con el documento de identidad o pasaporte con el que se registró. Allí un funcionario verificará la identidad de la persona siguiendo el Procedimiento de Registro Presencial de ciudadanos. Este procedimiento también se sigue para realizar el registro presencial completamente, sin la condición de haberse auto-registrado previamente.
Por otra parte, para el caso particular de autenticación mediante uso de Cédula Electrónica, los ciudadanos tienen una garantía de identidad al mismo nivel que CERTIFICADO.

Requerimientos de integración con ID Uruguay

Como en todo proceso de integración, los Organismos que quieran hacer uso de ID Uruguay deberán tomar una serie de consideraciones. En esta sección se presenta un resumen de los cambios que implica para los Organismos el uso de ID Uruguay.

Definición de los Agentes de Registro
El Agente de Registro es el encargado de realizar el registro presencial de los usuarios, así como también subir la identidad de los usuarios a un nivel PRESENCIAL en el caso de que se trate de alguien auto-registrado.
Para ejecutar el registro presencial de ciudadanos, el Agente de Registro sigue el Registro Presencial en ID Uruguay , donde se detallan todos los pasos que deberá seguir el Agente para la creación de un nuevo usuario.
Además de registrar usuarios, los Agentes de Registro están capacitados para evacuar eventuales dudas que presenten los ciudadanos que se dirijan a ellos.
El Organismo interesado deberá definir al menos un funcionario como Agente de Registro.
El procedimiento para la creación de los Agentes de Registro es el siguiente:

  • Los funcionarios que vayan a cumplir el rol de Agente de Registro deben autoregistrarse en ID Uruguay, en caso de que tengan Cédula de Identidad electrónica deben firmar el documento de términos y condiciones de uso para tener un nivel de confianza de "Certificado"
  • Para el caso de los funcionarios que no posean Cédula de Identidad electrónica, deben completar el formulario de "Habilitación de usuarios para aplicaciones del Estado", firmarlo y entregárselo al responsable de la integración por parte del Organismo
  • El responsable de la integración del Organismo debe solicitar al responsable de la integración por parte de AGESIC que se le asigne el rol de Agente de Registro a los funcionarios designados, indicando tu CI. Para el caso de los funcionarios que hayan tenido que completar el formulario de "Habilitación de usuarios para aplicaciones del Estado", debe adjuntar el mencionado documento escaneado en el correo electrónico de solicitud
  • El responsable de la integración de AGESIC solicita los permisos correspondientes y notifica cuando los funcionarios tengan el rol de Agente de Registro.

Definición de usuarios aceptados
Los usuarios aceptados por ID Uruguay son todos aquellos ciudadanos que poseen un documento de identidad nacional emitido por algún país de América del Sur, o los que cuenten con pasaporte de cualquier país del mundo.
A su vez, cada organismo puede definir si aplica controles adicionales para el uso de su aplicación.

Mesa de Ayuda de Nivel 1
Todo aquel que se desee integrar con el Sistema necesita contar con personal capacitado para dar soporte de primer nivel, tanto a los usuarios, como a los Agentes de Registro en caso de que fuera necesario.

Integración de aplicaciones
Para concretar la integración con el sistema es necesario que los Proveedores de Servicio adapten sus aplicaciones según los requerimientos tecnológicos de ID Uruguay. El detalle de la integración técnica se encuentra en el siguiente link: Integración con servicio de autenticación.

Marco Jurídico
Para ejecutar el proceso de integración con la plataforma se debe firmar un Contrato de Adhesión que podrá encontrar adjunto a esta página con nombre "Habilitación de usuario para ID Uruguay.pdf.

Vías de soporte y capacitación

Manuales del Sistema

Manual para Agentes de Registro
Se cuenta con un Manual de Uso del Sistema de ID Uruguay, donde se detallan las funcionalidades de la consola para administración de usuarios.
Manual para Ciudadanos
En el Manual de Autoregistro a ID Uruguay se detalla con imágenes cuales son los pasos para el auto registro de usuarios en el sistema.
FAQ (Frequently Asked Questions)
Las FAQ son preguntas frecuentes y sus respuestas acerca del sistema. Las preguntas con sus respectivas respuestas están divididas entre las de los ciudadanos y de los agentes
Flujo de Soporte al Sistema de ID Uruguay

El flujo siempre comienza con alguna consulta disparada por los ciudadanos. Si éste se encuentra en el ámbito de una aplicación de los organismos, su consulta entra por medio de la mesa de ayuda del mismo. Para el caso de que la consulta surja desde la pagina de ID Uruguay, el canal de resolución es por Atención Ciudadana.
Mesa de Ayuda de Organismo
Una vez aquí, o bien se resuelve el problema o se escala hacia el soporte de AGESIC, en caso de fallas técnicas, o a Atención Ciudadana, en caso de que la mesa de ayuda del organismo no cuente con los recursos como para resolver el problema.
Atención Ciudadana
Este canal recibe tanto consultas desde las mesas de ayuda de los organismos como de ciudadanos. En caso de que alguna entrada se clasifique como falla técnica se deriva hacia el Soporte de AGESIC, lo mismo sucede para problemas no detectados como técnicos pero de alta complejidad y que no se le encuentre solución.
Soporte AGESIC
A este nivel deben llegar fallas exclusivamente técnicas de funcionamiento del sistema, a las cuales se les busca solución directamente con el responsable del servicio en caso de ser necesario.
Caso particular de consultas de Agentes de Registro
Para el caso particular de consultas que salgan directamente de los Agentes de Registro, el canal de entrada debe ser la mesa de ayuda de su organismo, luego el flujo sigue el cauce natural explicado anteriormente.

Políticas de gestión de cuentas

  • El usuario tiene 30 días a partir del registro para activar la cuenta utilizando el link de activación que es enviado a su correo electrónico. Luego de vencido el plazo, el link deja de funcionar y la cuenta se elimina, por lo tanto si desea registrarse debe repetir el procedimiento de registro.
  • Políticas de contraseña: debe tener entre 8 y 20 caracteres y la misma no puede contener el nombre de usuario

Anexos

Caracteristicas tecnicas

ID Uruguay - Integración con OpenID Connect

ID Uruguay - Integración con SAML

Registro Presencial en ID Uruguay

Manual de Autoregistro a ID Uruguay

ID Uruguay - Preguntas Frecuentes Ciudadanos

ID Uruguay - Preguntas frecuentes Agentes

El Contrato de Adhesión a ID Uruguay está como adjunto a esta página

1416 Accesos
Promedio (0 Votos)