Comunicazione SP e IdP con SPID e SAML

Ciao a tutti,
quello che sto per chiedervi è un dubbio riguardante il corretto flusso di messaggi di request e response che le entità IdP e SP si scambiano.
Ciò che vorrei capire è se SP e IdP, nell’ambito di SPID, comunichino direttamente fra loro o meno.

Stando alle regole tecniche (Linee Guida Attribute Authority SPID | Specifiche di funzionamento) sembrerebbe come se SP e IdP comunichino direttamente fra loro.

Stando invece alla documentazione ufficiale su SAML (su cui SPID si basa) è specificato chiaramente che le due entità non comunicano mai direttamente fra loro ma vi è sempre il browser che fa da intermediario fra SP e IdP.

Quale delle due opzioni è quella corretta? Oppure sono entrambe corrette e quindi nell’ottica di SPID le due entità possono comunicare direttamente?

Grazie per chi risponderà.

Nell’implementazione SAML di SPID , le comunicazioni da SP a IdP (e viceversa) sono SEMPRE mediate dal dispositivo dell’utente (ovvero dal suo browser).

L’immagine nel documento sugli Attribute Authority è forse un pò imprecisa: si vede che la comunicazione “taglia” la linea dell’utente, sottintendendo che la comunicazione “passa” dall’utente.
Forse l’inserimento di un’ulteriore “punta di freccia” avrebbe chiarito meglio che la comunicazione va da SP ad utente, che la rimbalza all’IDP.
Considera che comunque il documento in questione sottintende la conoscenza delle regole tecniche SPID ed invece ha come focus la gestione del consenso dell’utente verso l’Attribute Authority.

1 Mi Piace