Aquesta solució d’autenticació està pensada principalment per aplicacions que basen la seva font d’autenticació amb la solució GICAR, amb la qual cosa són aplicacions utilitzades per funcionaris, però que també són aplicacions utilitzades per ciutadans.
Aquesta solució presenta els següents punts destacables:
-
Autenticació hibrida de GICAR + Vàlid per a les aplicacions. Amb aquesta passarel·la es compatibilitza l’autenticació de GICAR i la de Vàlid, permetent que les aplicacions puguin ser accedides amb un sistema d’autenticació o l’altre.
-
No cal tocar codi de l’aplicació si ja està integrada amb GICAR. La passarel·la genera una mateixa resposta per part dels dos sistemes d’autenticació cap a les aplicacions. A partir d’ara no cal tocar el codi de les aplicacions per a poder-les autenticar contra Vàlid si aquesta ja està integrada amb GICAR. –> Estalvi a nivell de desenvolupament per part del departament.
-
Abstracció de la complexitat de Vàlid per part de les aplicacions. Encapsulament de tota la complexitat de les crides a Vàlid dins d’aquesta passarel·la, i l’aplicació només ha de recollir la resposta que aquest servei li retorna en el format que retorna GICAR l’usuari autenticat. –> Estalvi a nivell de desenvolupament per part del departament.
Aquesta solució es pot configurar de cara a que l’autenticació sigui només contra Vàlid o per a que deixi elegir als usuaris entre GICAR i Vàlid.
Funcionament de la solució:
A continuació es presenta la vista global de com funciona aquesta modalitat d’integració:
L’experiència d’usuari amb aquest contenidor seria la següent:
- L’usuari accediria a un path protegit de l’aplicació, se li presenta a l’usuari i formulari de login amb les opcions d’accedir
- Via Vàlid(idcat mòbil o certificat)
- Via GICAR
Hi ha dos possibles presentacions de la pàgina d’autenticació en aquesta modalitat:
Possibilitat 1 - Presentació més orientada a ciutadà:

Possibilitat 1 - Presentació més orientada a aplicació accedida per personal Generalitat:

-
Si l’usuari selecciona via GICAR, caldrà que introdueixi l’usuari i contrasenya de GICAR.
-
Si l’usuari selecciona via Vàlid:
- el formulari redireccionarà a Vàlid.
- L’usuari s’autenticarà en Vàlid
- introduiria el NIF i mòbil en la pantalla del Valid

- I després posaria el SMS rebut al mòbil:

-
Vàlid retornarà la petició al domini de l’aplicació
-
L’aplicació recollirà la resposta de GICAR i generarà les dades que espera l’aplicació. Per tant en aquest punt tant si l’autenticació s’hagués fet via GICAR com via Vàlid l’aplicació sempre rebria la mateixa capçalera GICAR_ID amb el DNI de l’usuari autenticat, i la capçalera GICAR, per tant això assegura compatibilitat amb totes les aplicacions actuals.
Implementació tècnica de la solució:
A GICAR l’implementació tècnica d’aquest procés es pot fer de la següent forma:
-
Si es vol la possibilitat de fer login amb Vàlid i amb GICAR, cal fer l’autenticació contra el realm gicar-anonim:
PREPRODUCCIÓ: https://preproduccio.autenticaciogicar5.extranet.gencat.cat/realms/gicar-anonim
PRODUCCIÓ: https://autenticaciogicar5.extranet.gencat.cat/realms/gicar-anonim
-
Si es vol la possibilitat de fer login només amb Vàlid, cal fer l’autenticació contra el realm gicar-anonim:
PREPRODUCCIÓ: https://preproduccio.autenticaciogicar5.extranet.gencat.cat/realms/gicar-valid
PRODUCCIÓ: https://autenticaciogicar5.extranet.gencat.cat/realms/gicar-valid
Això significa que si l’aplicació ha de seguir aquest flux, s’ha d’integrar contra els endpoints SAML o OIDC que pengen d’aquests realms (descrit amb més detall a l’apartat d’implementació tècnica).