Come superare la app review di Apple quando una app ha il login con SPID

Riceviamo spesso richieste di aiuto da parte di Pubbliche Amministrazioni che intraprendono progetti di applicazioni per dispositivi mobili, che ovviamente nel rispetto del CAD devono prevedere l’accesso con SPID.

Le app per iOS sono soggette al processo di app review da parte di Apple, che richiede un account demo per poter entrare nella app e provarla. Tuttavia, per le app protette da SPID questa cosa non è possibile poiché non esistono account SPID demo e non è possibile crearli.

In fase di sviluppo ovviamente è conveniente usare un IdP di test per poter usare identità fittizie (spid-testenv2 è stato sviluppato proprio con questa finalità), ma quando si invia l’applicazione ad Apple per la pubblicazione si dovrà ovviamente rimuovere l’IdP di test e nasce il problema delle credenziali demo da fornire nella richiesta di review.

La soluzione ufficiale che ci ha indicato Apple è la seguente:

Our policy is that all apps should be providing a demo account. So, on each submission that does not have a demo account, we will ask the developer to provide one. In the event they have a compelling reason they cannot provide one (e.g. GovID requirement), we will accept a new demo video for that version submission. In other words, to set expectations clearly, for apps like this, we will allow the demo video, but they will need to expect 2 submissions per version to get through review (1 that will have demo account requested, one with the video that will be reviewed instead of the app).

Quindi, in sintesi, bisogna registrare un video della app e questo sarà sufficiente.

Aggiunte, esperienze e dritte su come rilasciare app mobili basate su SPID sono assolutamente benvenute in questo thread!

Alessandro Ranellucci
Team per la Trasformazione Digitale

6 Mi Piace

Buongiorno,

riprendo questa informativa per segnalare che recentemente l’Apple Store ha annunciato una modifica piuttosto impattante relativamente alla necessità di fornire una diversa modalità per testare la app in fase di review.

Riporto un estratto dell’email “App Store Review Guideline updates now available” che in molti avranno ricevuto da Apple Developer:

We’d like to provide you with an update on the App Store Review Guidelines. These changes support new features in upcoming OS releases, better protect customers, and help your apps go through the review process as smoothly as possible. Please review the updates below.

  • Revised in Before You Submit: “Provide App Review with full access to your app. If your app includes account-based features, provide either an active demo account or fully-featured demo mode, plus any other hardware or resources that might be needed to review your app (e.g. login credentials or a sample QR code).”
    […]
  • Added to 2.1: “If you are unable to provide a demo account due to legal or security obligations, you may include a built-in demo mode in lieu of a demo account with prior approval by Apple. Ensure the demo mode exhibits your app’s full features and functionality.”

Emerge quindi che allegare un video dimostrativo dell’applicazione non sia più ritenuta una alternativa valida per l’invio in review delle app.

Avete una linea guida da consigliare per tutti i casi in cui per la app sia necessario un login SpID di Livello 2, sia nel caso in cui l’app serva un IdP che nel caso in cui serva un SP?

Posto che lo sviluppo di un “fully-featured demo mode” sia fattibile ma in maniera onerosa, ritenete possibile fornire un account SpID di demo all’Apple Store (considerando anche che l’OTP per il livello 2 arriverebbe tramite SMS su un numero che dovrebbero fornire loro)?

Grazie,
Alessio Tosi
Lepida ScpA