Seguridad del API

Última revisión: 01 febrero 2024

Los servicios del API de Viafirma Documents requieren seguridad, pudiendo optar por mecanismos Basic Authorization y OAuth v2.

Las credenciales son gestionadas por un Administrador desde el Panel de Control, opción Aplicaciones, teniendo en cuenta los siguientes criterios de configuración:

Configuración del API

Datos básicos

datos básicos del API

  • Fecha de caducidad: una expirada el servicio consumido por estas credenciales devolverá un 401 similiar al error devuelto para credenciales no autorizadas.
  • Plataforma: el uso del API por parte de terceros será fijada como tipo Sistema externo.
  • Tipo de autenticación: a elegir entre los siguientes:
    • Basic Auth (aplicación)
    • OAuth2 (aplicación)
    • OAuth2 (usuario) Disponible a partir de v3.7.88
  • Propietario: aunque un API puede ser autorizada por N grupos, solo uno de ellos actuará como dueño, por lo que el administrador o administradores de dicho grupo será quien pueda gestionar las propiedades.

Credenciales del API

El administrador del grupo y propietario del API podrá gestionar las credenciales acorde a sus políticas de seguridad.

credenciales del API

Uso de Outh2 en tu integración

Si vas a conectar tu sistema con el API de Viafirma haciendo uso de OAuth2 como mecanismo de autenticación recuerda configurar correctamente el Grant Type en los ajustes de tu conexión. A continuación te dejamos algunas pautas de ejemplo en Postman.

Asegúrate de agregar los datos de conexión en el header:

seguridad OAuth2 en Postman

Asegúrate que el Grant type esté configurado como Client Credential, para lo cual solo necesitarás las credenciales (Client ID / Client Secret) del API gestionada desde el Panel de Control de Viafimrma. Este tipo de uso del API NO REQUIERE credenciales de usuario final, es decir, nunca uses en este tipo de uso del API credenciales de usuario.

seguridad OAuth2 en Postman

Uso de OAuth2 para usuarios finales en tu integración

Disponible a partir de v3.7.88

Solo en los casos en los que necesites integrar un sistema externo con nuestros componentes de usuario, como las bandejas, módulo de redacción, etc., debes hacer uso de APIs del tipo OAuth2 (usuario), y en cuyo caso, debes ajustar el Grant Type como Authorization Code (With PKCE).

seguridad OAuth2 en Postman

Para este caso debes tener en cuenta la siguiente configuración:

  • Grant Type: Authorization Code (With PKCE)
  • Authorize using browser: de esta forma NO debes gestionar las credenciales del usuarios final, será éste quien las facilite en la página de autenticación.
  • Auth URL: ubicada en /api/v3/oauth2/authz
  • Access Token URL: ubicada en /api/v3/oauth2/token
  • Client ID: el facilitado por el administrador de tu API
  • Client Secret: el facilitado por el administrador de tu API
  • Client Authentication: Send as Basic Auth header

Otra configuración

Ciclo de vida de los procesos de firma

Los procesos de firma generados desde el API cuentan con una configuración específica acorde al ciclo de vida, pudiendo determinar el tiempo de retención de los procesos ya finalizados así como los documentos asociados a éstos.

ciclo de vida

También se podrá gestionar el plazo de firma establecido por defecto en todos los procesos gestionados desde este API, midiéndose en minutos. Por ejemplo, para un plazo de 72 horas se debe parametrizar un valor de 4320 minutos.

results matching ""

    No results matching ""