Con este post quiero estrenar mi nuevo blog http://luisruizpavon.com, esto no es un adios a mi blog en Geeks, ni mucho menos, haré crossposting de lo que vaya con la temática de Geeks, pero hace tiempo que tenía en la cabeza crear un blog propio y al fin lo he hecho.
Lo primero es dejar claro que todo lo que voy a contar aquí es fruto de mi propia investigación, quién se haya pegado con esto o este en este momento investigando, sabrá que la información al respecto es bastante escasa. Me gustaría que si algo de lo que digo es erroneo o hay una forma mejor de hacerlo, me deje un comentario que será muy bien recibido.
La idea es poder acceder al portal de 2 maneras diferentes:
Sin DNie: El usuario accederá al portal introduciendo su DNI y su contraseña, que fueron introducidos cuando se produjo el alta en el mismo. Con este método, los trámites que necesiten DNIe no estarán disponibles hasta que no acceda con su DNIe.
Con DNie: El usuario introducirá su DNIe en el lector, accederá al portal y este, sí previamente realizó el registro manual introduciendo todos sus datos, automaticamente será identificado.
Yo he encontrado 2 formas de hacer esto y trataré de explicar un poco por encima como funcionan:
IIS 7 + Desarrollo de componentes
Una manera de poder permitir al usuario acceder al portal con su DNIe es configurar IIS 7 para que acepte certificado de cliente (El DNIe lleva 2 certificados, el de autenticación y el de firma).
Para ello lo primero es crearnos un certificado de prueba y habilitar el SSL en nuestro sitio. Luego en la configuración SSL del sitio marcamos que acepta certificado de cliente:
Accedemos con el DNIe en el lector y nos pedirá que seleccionemos el certificado:
Uno de los problemas que me he encontrado con IIS 7, tiene que ver con la comprobación del estado de revocación del cetificado. He tratado de configurarlo tal cual explica en muchos artículo pero simpre recibo el mismo error:
403.13 (Client Certificate Revoked)
Aquí se explica detalladamente y aunque habla de IIS 6 a mí en IIS 7 introduciendo el ocsp de la policía no me funciona:
http://tiagoe.blogspot.com/2010/01/error-40313-client-certificate-revoked.html
Esto me lleva a realizar la comprobación del estado de revocación del certificado del DNIe mediante código c#, utilizando el protocolo OCSP (Online Certificate Status Protocol) qué es un método para determinar el estado de revocación de un certificado digital, en este caso para el DNIe está en esta dirección:
http://ocsp.dnie.es/
Aqúi tenéis código de ejemplo:
https://zonatic.usatudni.es/es/aprendizaje/aprende-sobre-el-dnie/58-desarrolla-con-el-dni-electronico/226-internet-information-services-iis.html?start=2
Una vez comprobado el estado de revocación del certificado y visto que es válido, necesitamos realizar la autenticación del usuario por FBA basado en los datos del certificado de autenticación del DNIe.
Usando el API de Tractis
He encontrado por casualidad esta página https://www.tractis.com de la cual no tenía ni idea de su existencia, pero la verdad es que me alegro de haberla encontrado.
Tractis Identity nos permite integrar en nuestras aplicaciones web verificaciones de identidad y permite a tus usuarios acceder a tu sitio web con cetificados electrónicos y todo esto de manera gratuita.
Lo primero que necesitamos es crearnos una cuenta para obtener un API Key:
Una vez creada, iniciamos sesión:
Una vez dentro, en la parte superior de la pantalla pinchamos sobre Identity
Vamos a crear nuestra API Key, para ello introducimos la dirección de nuestro sitio web, sí estamos en un entorno de desarrollo, para realizar pruebas, podemos añadir el nombre de nuestro sitio web al fichero hosts de nuestro sevidor y funcionará (Lo he probado), pulsamos sobre el botón Obtener API Key:
Y ya tenemos nuestra API Key para nuestro sitio web:
Para probarla basta con crearte una pequeña página HTML tal cual viene en el ejemplo que ellos ponen en su página (Lectura recomendada):
https://www.tractis.com/help/?p=3537&language=es
Para probarlo con SharePoint, podemos añadir la página al directorio _layouts:
Y nos retorna la página que le hemos indicado con la información de la validación:
Por último faltaría verificar los datos que nos han enviado desde la pasarela de Tractis para verificar que alguien no se está haciendo pasar por Tractis y nos ha metido la url a pelo en el navegador (Todo esto está en el enlace que puse anteriomente) y validarlo con nuestro sistema de autenticación, en mi caso con un FBA.
Un saludo y espero comentarios :)