Seguridad del API
Última revisión: 01 febrero 2024
Los servicios del API de Viafirma Documents requieren seguridad, pudiendo optar por mecanismos Basic Authorization
y OAuth v2
.
Las credenciales son gestionadas por un Administrador desde el Panel de Control, opción Aplicaciones, teniendo en cuenta los siguientes criterios de configuración:
Configuración del API
Datos básicos
- Fecha de caducidad: una expirada el servicio consumido por estas credenciales devolverá un 401 similiar al error devuelto para credenciales no autorizadas.
- Plataforma: el uso del API por parte de terceros será fijada como tipo
Sistema externo
. - Tipo de autenticación: a elegir entre los siguientes:
- Basic Auth (aplicación)
- OAuth2 (aplicación)
- OAuth2 (usuario)
Disponible a partir de v3.7.88
- Propietario: aunque un API puede ser autorizada por N grupos, solo uno de ellos actuará como dueño, por lo que el administrador o administradores de dicho grupo será quien pueda gestionar las propiedades.
Credenciales del API
El administrador del grupo y propietario del API podrá gestionar las credenciales acorde a sus políticas de seguridad.
Uso de Outh2 en tu integración
Si vas a conectar tu sistema con el API de Viafirma haciendo uso de OAuth2 como mecanismo de autenticación recuerda configurar correctamente el Grant Type
en los ajustes de tu conexión. A continuación te dejamos algunas pautas de ejemplo en Postman.
Asegúrate de agregar los datos de conexión en el header:
Asegúrate que el Grant type esté configurado como Client Credential
, para lo cual solo necesitarás las credenciales (Client ID / Client Secret) del API gestionada desde el Panel de Control de Viafimrma. Este tipo de uso del API NO REQUIERE credenciales de usuario final, es decir, nunca uses en este tipo de uso del API credenciales de usuario.
Uso de OAuth2 para usuarios finales en tu integración
Disponible a partir de v3.7.88
Solo en los casos en los que necesites integrar un sistema externo con nuestros componentes de usuario, como las bandejas, módulo de redacción, etc., debes hacer uso de APIs del tipo OAuth2 (usuario), y en cuyo caso, debes ajustar el Grant Type
como Authorization Code (With PKCE).
Para este caso debes tener en cuenta la siguiente configuración:
- Grant Type: Authorization Code (With PKCE)
- Authorize using browser: de esta forma NO debes gestionar las credenciales del usuarios final, será éste quien las facilite en la página de autenticación.
- Auth URL: ubicada en
/api/v3/oauth2/authz
- Access Token URL: ubicada en
/api/v3/oauth2/token
- Client ID: el facilitado por el administrador de tu API
- Client Secret: el facilitado por el administrador de tu API
- Client Authentication: Send as Basic Auth header
Otra configuración
Ciclo de vida de los procesos de firma
Los procesos de firma generados desde el API cuentan con una configuración específica acorde al ciclo de vida, pudiendo determinar el tiempo de retención de los procesos ya finalizados así como los documentos asociados a éstos.
También se podrá gestionar el plazo de firma establecido por defecto en todos los procesos gestionados desde este API, midiéndose en minutos. Por ejemplo, para un plazo de 72 horas se debe parametrizar un valor de 4320 minutos.
results matching ""
No results matching ""