01 — Autenticación
Moderno por defecto, con nivel gubernamental donde importa.
La autenticación es la primera señal del rigor con el que se aborda el resto de la plataforma. Cybsis la trata en consecuencia.
- Claves de acceso (WebAuthn): la opción predeterminada
- Credenciales criptográficas resistentes al phishing, vinculadas al dispositivo. Las llaves de seguridad hardware como YubiKey tienen soporte nativo: el mismo flujo gestiona indistintamente tanto estas llaves como los autenticadores de plataforma (Touch ID, Windows Hello). @simplewebauthn/server v13
- TARA — paraguas estonio de eID (sector público)
- Un único flujo OIDC contra el SSO estatal de Estonia cubre todos los esquemas nacionales de eID: ID-card, Mobile-ID y Smart-ID. El usuario elige en el portal TARA; Cybsis recibe de vuelta una aserción de identidad verificada. TARA es un servicio gestionado por el Estado para autenticarse en sistemas del sector público; las implantaciones del sector privado utilizan Web eID, descrito más abajo. openid-client v6
- Active Directory / LDAP
- Enlace directo con el AD del cliente o con cualquier directorio compatible con LDAP. Para empresas que ya centralizan la identidad y no quieren un segundo almacén de usuarios. El bloqueo de cuentas se coordina con la política propia del directorio. ldapts v8 · módulo integrationAD
- Web eID — tarjeta de identidad para el sector privado
- Autenticación con la tarjeta de identidad estonia disponible para compradores del sector privado y para equipos del sector público que prefieran no pasar por TARA. Funciona mediante una extensión de navegador, con validación de certificados OCSP y desafío-respuesta vinculado a nonce. Mobile-ID y Smart-ID comerciales a través de SK ID Solutions son compatibles como módulo de integración de pago: incluido para clientes existentes y adquirido por separado para nuevas implantaciones en el sector privado. @peculiar/x509 · Validado mediante OCSP
- Claves de API de federación
- Acceso de máquina a máquina entre instancias de Cybsis. Tokens Bearer con firmas de solicitud HMAC-SHA256 y asignación de roles mediante encabezado de identidad; revocables en la instancia emisora. módulo de federación
- Contraseña (cuando no hay otra opción)
- Con hash Bcrypt, longitud mínima configurable y bloqueo de cuenta tras un número configurable de intentos fallidos dentro de una ventana móvil de 15 minutos. Preferiríamos que usara claves de acceso. bcryptjs v3
Modelo de sesión
Tokens de acceso JWT de corta duración (15 minutos, configurable) transportados en cookies httpOnly SameSite=Strict, con validación de audiencia y emisor. Los tokens de actualización son 48 bytes aleatorios, almacenados en reposo con hash SHA-256: el texto plano solo existe en la cookie del navegador. Tiempo de inactividad configurable por instancia; valor predeterminado: 60 minutos. Límites de tasa por ruta en todos los endpoints de autenticación (p. ej., contraseña: 10 solicitudes / 15 minutos; registro de passkey: 20 / 5 minutos).