Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current Restore this Version View Page History

« Previous Version 4 Next »

Vinculación de dispositivo

En el escenario de vinculación de dispositivo más simple los servicios actuales de SPIN realizarán las validaciones necesarias para garantizar que tanto el usuario como el dispositivo a vincular son válidos. Para realizar ésta operación se invoca el método /token/enable quien asociará el dispositivo a la cuenta del usuario y retornará la información necesaria para que la aplicación pueda generar el factor de autenticación.

Autenticación

Para realizar la autenticación es necesario que el dispositivo esté vinculado previamente. La generación del factor se hará directamente desde la aplicación para continuar el flujo de autenticación que sigue actualmente la plataforma mediante la generación de un token que autorice las transacciones, como se muestra a continuación.

El diagrama representa los siguientes pasos:

  1. Se verifica que el dispositivo actual se encuentre registrado para el uso de token digital.

  2. La aplicación genera de un TOTP utilizando para ello la hora actual y la semilla que se entregó en la Vinculación.

  3. El TOTP es enviado a token-service para que lo valide

  4. En caso exitoso, se construye un token de autorización para la acción protegida

  5. El token de autorización es enviado al servicio que lo valida y en caso afirmativo se ejecuta la acción protegida.

Este flujo reutiliza el mecanismo de validación mediante token que sigue actualmente la validación mediante PIN, que aparece a continuación

Otros flujos propuestos

Vinculación detallada

En caso que al momento de realizar la vinculación no se haya validado el dispositivo, se realiza una confirmación mediante el envío de un código de activación enviado al usuario mediante OTP (En el diagrama actual se propone encapsular la funcionalidad asociada al envío de OTP en un único servicio llamado otp-service). Después de verificarse el dispositivo, la vinculación seguirá como se mencionó anteriormente.

Autenticación vía OTP

Se contempló un escenario en caso que la aplicación no almacenara ninguna información sobre el token. En éste escenario, cuando un usuario desea realizar una acción protegida se solicita la generación de TOTP a token-service y posteriormente se envía al dispositivo mediante OTP para ser ingresada a la aplicación, y continuar con el flujo de autorización visto previamente. De usar éste escenario se sugiere utilizar Push Notification como mecanismo de OTP para no deteriorar la experiencia del usuario.

Versión

Fecha

Autor

Descripción del cambio

1

Héctor Villa (Unlicensed)

Versión inicial de documento. Se contemplan los componentes contemplados en una exploración inicial de la solución.

2

Héctor Villa (Unlicensed)

Se actualizan diagramas considerando validación de deviceId y registro en base de datos

3

Héctor Villa (Unlicensed)

Actualización considerando que se continuará usando el componente de OTP de Spin