HomeGuidesAPI Reference
Guides

e-Identitātes platformas komponentes

Autorizācijas serveris

OAuth 2.0 autorizācijas serveris (AS) nodrošina piekļuves pilnvaras pakalpojuma sniedzēja lietojumprogrammām, lai tās varētu piekļūt integrācijas platformas tīmekļa resursiem. Autorizācijas serveris izsniedz piekļuves pilnvaras tikai šādos gadījumos:

  • Tīmekļa resursa īpašnieks pilnvaro Pakalpojumu sniedzēja lietojumprogrammu piekļūt resursam.
  • Pakalpojumu sniedzēja lietojumprogramma ir tā tīmekļa resursa īpašnieks, kuram tā pieprasa piekļuvi.
  • Pakalpojumu sniedzēja lietojumprogrammai ir administratīvās atļaujas piekļūt tīmekļa resursam.

Autorizācijas serveri pārbauda arī piekļuves marķierus, kurus Pakalpojumu sniedzēja lietojumprogrammas iekļauj kā autorizācijas metodi integrācijas platformas pakalpojumiem nosūtītajos pieprasījumos.

Pieejas atslēga
Piekļuves marķieris ir rekvizīti, kas parāda atļauju veikt vienu vai vairākas darbības tīmekļa resursā noteiktā laika periodā.

Identitātes sniedzējs

Identitātes sniedzējs (IdP) autentificē domēna lietotāju identitāti. OAuth 2.0 autorizācijas serveri izmanto IdP, lai autentificētu galalietotāju, pirms tiek aicināts lietotājs autorizēt pakalpojumu sniedzēja lietojumprogrammas piekļuvi saviem resursiem. Kad autentifikācijas process ir pabeigts, galalietotājam ir sesija identitātes nodrošinātājā, kurā ir viņa identitātes dati, sasniegtais autentifikācijas līmenis un informācija par autentifikācijas procesu, piemēram, izmantotās autentifikācijas metodes. Izmantojot šo informāciju, IdP turpmākajos autentifikācijas procesos var izlemt, vai tieši piemērot vienoto pierakstīšanos (SSO) vai izpildīt papildu autentifikācijas metodes.

Lietotāja informācijas sniedzējs

Galalietotāja informācijas nodrošinātājs (UserInfo) ir OAuth 2.0 resursu serveris, kas nodrošina uzticamu informāciju par integrācijas platformas autentificēto galalietotāju identitāti.

Elektroniskā paraksta nodrošinātājs

Elektroniskā paraksta nodrošinātājs (eSigP) ir OAuth 2.0 resursu serveris, kas nodrošina uzticamu informāciju par galalietotāju parakstīšanas identitātēm un piekļuvi digitālā paraksta ģenerēšanai, izmantojot šo identitāti paredzētās atslēgas. Tas nodrošina arī pamata parakstīšanas identitātes un paraksta ierīču pārvaldības pakalpojumus.

Piekļuve eSigP pakalpojumiem tiek veikta, izmantojot REST API. Autorizāciju veic autorizācijas serveris, izmantojot OAuth 2.0.

Parakstīšanas identitāte

Parakstīšanas identitāte ir datu kopa, ko apstrādā integrācijas platforma, lai pārvaldītu noteiktas paraksta atslēgas atlasi un lietošanu. Katra parakstīšanas identitāte satur informāciju par galalietotāju, kuram pieder atslēga, X.509 sertifikātu, kas saistīts ar šo atslēgu, un etiķetes, kas ļauj tos atlasīt.

LVRTC pārvalda parakstīšanas identitātes serverī. Šajā gadījumā paraksta atslēga ir HSM, kurai piekļuve ir eSigP. Paraksta atslēga atrodas Thales HSM ierīcē, kas akreditēta kā kvalificēta elektroniskā paraksta/zīmoga izveides ierīce. Ir jāiesniedz parole, ko var validēt tikai pats HSM. Līdz ar to attiecīgajai atslēgai atbilstošā parakstīšanas identitāte tiek uzskatīta par kvalificētu servera parakstīšanas identitāti.

Servera parakstīšanas identitātes iespējošana

Servera parakstīšanas identitātes iespējošana ir veids, kā ar identitāti saistītā paraksta atslēga tiek padarīta pieejama elektroniskā paraksta ģenerēšanai. Elektroniskā paraksta nodrošinātāja parakstīšanas identitātes iespējošanas mehānismam ir nepieciešama autentifikācija, iesniedzot piekļuves pilnvaru. Šim piekļuves pilnvaram ir jābūt identitātes īpašnieka pilnvarojumam, lai izmantotu paraksta atslēgas visām servera parakstīšanas identitātēm, kas subjektam pieder noteiktā shēmā. Ja servera parakstīšanas identitāte ir kvalificēta parakstīšanas identitāte, lai to iespējotu, ir jāievēro šādi papildu nosacījumi:

  • Uzrādītais piekļuves marķieris ir saistīts ar servera parakstīšanas identitāti, kas atbilst paraksta atslēgai. Tādējādi var iespējot tikai šo parakstīšanas identitāti; nevis neviena cita, kas īpašniekam ir tajā pašā shēmā.
  • Piekļuves pilnvara ir saistīta ar konkrētiem datiem. Tādējādi iespējošana notiek tikai tāpēc, lai šos datus varētu parakstīt; ne par citu datu parakstīšanu.
  • Tiek iesniegta paraksta atslēgas iespējošanas parole, kuru var pārbaudīt tikai Thales HSM.

eParaksts mobile

eParaksts mobile ir lietotne iOS un Android mobilajām ierīcēm elektronisko parakstu ģenerēšanai. Šie paraksti tiek izmantoti identitātes autentifikācijai: eParaksts mobile ģenerē XAdES parakstu uz biļetes, kas kalpo kā autentifikācijas izaicinājuma dati (challenge), ko galalietotājs izmanto, lai pierādītu savu identitāti.

Parakstu ģenerēšanai izmantotās kriptogrāfiskās atslēgas tiek glabātas mobilajā ierīcē, kurā ir instalēta lietotne eParaksts mobile. Piekļuve šīm atslēgām ir aizsargāta ar PIN vai pirkstu nospiedumu. Tas ar augstu uzticamības līmeni garantē, ka eParaksts mobile izmantotās parakstu atslēgas vienmēr ir ekskluzīvā parakstītāja kontrolē.

eParaksts mobile ģenerētajiem parakstiem vienmēr ir nepieciešams tiešs galalietotāja apstiprinājums, un tie tiek ģenerēti pēc jebkuras lietojumprogrammu kopas pieprasījuma, kurai galalietotājs piekļūst vai nu ar to pašu mobilo ierīci, kurā ir instalēts eParaksts mobile, vai ar citu. Šīs lietojumprogrammas nekad nesazinās tieši ar eParaksts mobile, bet gan dara to, izmantojot eSigP vai citu lietojumprogrammu, kas sazinās ar eSigP (piemēram, eSignSP).