Buongiorno,
chiedo se sia possibile far accedere un utente a un sito della PA via SPID utilizzando un sito terzo come “intermediario”; lo scenario sarebbe questo: il sito abc.it espone all’utente alcuni dati ricavati da un sito della PA, quest’ultimo è accessibile tramite SPID; nell’impossibilità di reindirizzare l’utente direttamente al sito della PA (altrimenti sarebbe costretto a operare su quel sito abbandonando abc.it in cui ha la parte operativa), esiste una qualche opzione per cui sia direttamente il sito abc.it che autentica l’utente sul sito della PA? Spero di essere stato abbastanza chiaro.
Grazie a chiunque possa aiutare
Cioe’ vuoi esporre all’utente di abc.it dati che estrai da un db della p.a. entrandoci col suo spid?
Se e’ cosi’ direi che dovresti trovare un accordo con la p.a., ma in tal caso puoi bypassare la parte di autenticazione SPID, magari fai autenticare l’utente con SPID su abc.it e per amore della forma passi al db della p.a. l’asserzione SAML a comprova del fatto che e’ quell’utente e non un altro a chiedere certi dati.
Buongiorno Francesco,
grazie della risposta. Ad oggi la PA ci fornisce delle API per ricavare i dati (con autenticazione via utente/password), ma ci ha espressamente detto che per via dell’autenticazione SPID tali dati non saranno più disponibili, di fatto bloccando il ns lavoro. Motivo per cui stavamo verificando le ipotesi di poter utilizzare l’autenticazione SPID per poi collegarsi al sito della PA senza necessità di far richiedere agli utenti una “doppia” autenticazione.
So bene non esserci soluzioni plausibili, ma chiedere non guasta!
Spero di aver capito male, ma in pratica l’utente Mario Rossi creava un account sul sito della PA X, e poi si loggava da voi con le stesse credenziali, che inoltravate alla PA X per ottenere dei dati inerenti a Mario Rossi? Vedo un sacco di problemi tecnici e giuridici in questo modello.
Sorvolando sulla situazione pregressa, una possibile soluzione è che la PA in questione si accrediti come gestore di attributi qualificati (soggetto previsto dalla regolamentazione tecnica SPID ma mai entrato realmente in funzione).
Proprio oggi è stata aperta la consultazione pubblica sulle linee guida sui Gestori di Attributi qualificati. E’ probabile che, una volta terminato l’iter di revisione, venga dato il via operativo a questo tipo di soggetto.
Ovviamente la mia è una discussione generica, va poi analizzata la situazione nel caso specifico.
Buongiorno Antonio,
anche a noi è venuto il sospetto che un’opeazione di “agire per conto” dell’utente SPID, anche a fronte di un suo consenso, sia giuridicamente non fattibile (l’aspetto tecnico, invece è stato risolto). Abbiamo quindi deciso di chiedere alla PA interessata di mettere a disposizione i dati di interesse dell’utente via webservice, così che si possa interagire da siti terzi.
Grazie del contributo, terremo comunque d’occhio l’aspetto degli attributi qualificati.
Saluti