5 Dubbi sull'implementazione di OpenID Connect SPID e CIE per un Aggregatore Full

SPID
1

Buongiorno,
stiamo lavorando all’implementazione di SPID e CIE basati su OpenID Connect per un aggregatore full , che funge da Relying Party (RP). Abbiamo riscontrato alcuni dubbi specifici relativi alla configurazione e alla migrazione al nuovo protocollo, e vorremmo il vostro supporto per chiarirli.

Di seguito i quesiti organizzati per tema:

1. Well-Known Configuration o Well-Known Federation?

  • Essendo Gefil un aggregatore full che opera come Relying Party (RP), dobbiamo utilizzare il file .well-known/openid-configuration o .well-known/openid-federation per la configurazione?
  • In quali casi è obbligatorio o consigliato l’uso della Federation rispetto alla configurazione tradizionale?
  • Esistono linee guida specifiche per gli aggregatori full nella gestione di SPID OpenID Connect?

2. Data Limite per la Migrazione a OpenID Connect

  • La migrazione a SPID e CIE basati su OpenID Connect è obbligatoria?
  • Se sì, qual è la data limite fissata per completare questa migrazione?
  • Come possiamo gestire i Comuni che utilizzano ancora versioni precedenti del protocollo?

3. Supporto per OpenID Connect SPID e Stato dell’Arte

  • Esiste un canale ufficiale di supporto (forum, mailing list o helpdesk) per implementare OpenID Connect SPID e CIE?
  • Gli Identity Provider (IdP) hanno già adottato completamente OpenID Connect? Ci sono differenze tra di loro nel supporto a questo protocollo?
  • Dove possiamo trovare un elenco ufficiale e aggiornato degli .well-known/openid-configuration per tutti gli IdP SPID?

4. Registrazione del Client con gli IdP

  • Per registrare il client, è obbligatorio utilizzare la modalità automatica?
  • Quali sono i passaggi corretti per completare una registrazione automatica senza errori?
  • Esistono casi in cui è permessa una registrazione manuale del client?

5. Gestione dei Token JWT

  • Quali sono le best practice per la validazione dei token JWT emessi dagli Identity Provider SPID?
  • Come gestire in modo sicuro la scadenza e il rinnovo dei token JWT durante le sessioni?

Conclusione:
Vi ringraziamo in anticipo per il supporto e per ogni indicazione utile. Nel caso sia preferibile aprire un post separato per ciascun dubbio, fatecelo sapere, e procederemo a suddividerli.

Grazie ancora per la disponibilità!
Mario Abbruscato

2

Rispondo ai punti 2, 3 e 4

  1. Per SPID non è operativa la federazione basata su OpenID Connect (OIDC). Quindi non solo non è obbligatoria, al momento non è proprio possibile eseguire una affiliazione utilizzando questo protocollo. Per CIE la federazione OIDC è operativa, ma, sebbene consigliata, al momento non mi risultano obbligatorietà.

  2. Non esiste un canale di supporto ufficiale, ma si possono ottenre informazioni da altri sviluppatori tramite questo forum, oppure tramite il canale Slack di Developers Italia. Per le altre domande vedi il punto precedente.

  3. Per CIE vale quanto definito nel Sito CIE e nei documenti linkati nella pagina. Per SPID vale quanto detto al punto 2.

1 Mi Piace
3

Buongiorno @AMGefil-strapgef ,

confermo quanto già indicato da @AGS, invece per quanto riguarda gli altri punti:

1 - occorre utilizzare .well-known/openid-federation

5 -

Per verificare la propria implementazione, inoltre, è possibile utilizzare il Validatore OIDC per RP.

1 Mi Piace
4

Buongiorno, sono interessato anche io alla possibilità di creare un RP che possa usare sia SPID che CIE ma mi sembra di capire che con protocollo OIDC al momento non sia possibile ? o sono in errore ?

Come da indicazioni fornite in risposta all’utente precedente ho provato il tool per la validazione OIDC per RP, ma non funziona; il container viene buildato regolarmente ma quando mi collego non viene visualizzato nulla.

Grazie per la disponibilità,
Salvatore Madonia.

5

Con CIE è possibile usare OIDC, con SPID no.