Seguo,
segnalo che l’assenza di un ambiente di test rallenta la diffusione.
nel frattempo chiedo se fosse possibile avere il dettaglio dlle asserzioni nello scenario reale di un commercialista con procura speciale per conto di un impresa o per conto di una libero professionista.
Paolo in questa prima fase di SPID l’approccio è stato quello di seguire direttamente l’onboarding delle PA che hanno fatto l’implementazione e nella maggior parte dei casi tutto è andato bene. Sono daccordissimo con te che un sistema di test che permetta di controllare e avere anche riscontro delle asserzioni prodotte sia necessario e ci stiamo lavorando.
Per quanto riguarda lo scenario di un “intermediario” vale la regola del cittadino che può essere essere anche “altro” ovvero un imprenditore, un professionista o un rappresentante o persona delegata da un’impresa o da un soggetto per eseguire delle operazioni.
Ci sono casi in cui sono presenti dei soggetti che detengono attributi qualificati e sono quindi autorità che possono rilasciare determinate informazioni certificate e sono le Attribute Authority, che nei prossimi mesi saranno attivate, che, in maniera centrale, potranno essere interrogate dai Service Provider (erogatori di servizi) per autorizzare un utente all’accesso ad un particolare servizio; esempio:
Lo stesso scenario è valido per un rappresentante/intermediario con l’unica differenza che per le procure quali quella speciale, generale, institoria o specifica (ma potremmo aprire un tema ampio anche sulla rappresentanza di persone disabili ad esempio), allo stato attuale, è un’abilitazione per servizio. Ciò vuol dire che è il Service Provider stesso che, con una propria procedura deve autorizzare l’utente, previa richiesta di documentazione o interrogazione a basi dati specifiche, ad entrare “per conto di” in un servizio esposto.
Asserzioni SAML Attribute Authority:
Attribute Query:
<samlp:AttributeQuery xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_4d38c302617b5..." Version="2.0" IssueInstant="2017-03-25T08:02:31Z"
Destination="spidIAA.spidiAADomain.it">
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> …… </ds:Signature>
<saml:Issuer Format=" urn:oasis:names:tc:SAML:2.0:nameid-format:entity "> https://
spidSP.spidSPDomain.it </saml:Issuer>
<saml:Subject>
<saml:NameID NameQualifier="http://spidIAA.spidAADomain.it"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"> TINIT-AAABBB00X00Y000Z
</saml:NameID>
</saml:Subject>
<saml:Attribute Name="NomeAttributo"/>
</samlp:AttributeQuery>
Parte dell’attribute response:
<ns2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchemainstance" >
<ns2:Attribute Name="NomeAttributo">
<ns2:AttributeValue xsi:type="xsi:string">ValoreAttributo_1</ns2:AttributeValue>
</ns2:Attribute>
</ns2:AttributeStatement>
Grazie della risposta, però non risponde alla domanda che era più semplice è molto chiara.
Nomini delle Attribuite Authority, quali sono disponibili attualmente?
Possono risolvere il caso che ho descritto?
Devo progettare un rifacimento di un servizio di un comune e mi è stato chiesto di evitare il più possibile di evitare invio di scannerizzazioni di procure per i commercialisti che sono tra gli utenti principali dei servizi.
Devo rispondere che non è possibile adesso né mai?
Oppure Per il futuro si può pensare un database delle procure speciali a livello nazionale per cui la procura viene inserita una volta sola?
Grazie della collaborazione.
Paolo
Ciao Paolo,
le prime Attribute Authority saranno disponibili a breve e ne darò giusta evidenza. Per la tua necessità non voglio di parlare di “mai” ma, per adesso, non è presente un database di procure speciali; sicuramente, però, fermo restando che l’autorizzazione della delega al servizio deve attualmente essere gestita da chi lo eroga (service provider), potremmo pensare ad un pattern operativo digitale per la gestione delle procure e importante sarà la condivisione e il vostro contributo. Muovo la tematica su un topic dedicato visto che l’argomento sarà di sicuro interesse per molti.
Grazie, però gradirei risposte più concrete e meno evasive:
però, fermo restando che l’autorizzazione della delega al servizio deve attualmente essere gestita da chi lo eroga (service provider)
Perchè “deve”?
Mi pare che in questo modo obbligate il commercialista a trasmettere tante volte la propria procura non digitale per quanti sono i gestori dei servizi.
Per non parlare poi dell’ente che si troverà a leggere documenti scannerizzati o altro con perdita di tempo.
Se questo aspetto non viene affrontato in modo digitale dall’inizio allora non sarà possibile rendere digitale il processo intero.
Se è davvero importante il contributo di chi tutti i giorni lavora negli enti allora mi aspetto una risposta concreta e non una risposta cortese ma evasiva.
So che serve tempo per fornire una risposta concreta e forse è meglio prendersi 24 di tempo e curare di più la completezza della risposta invece che dare una risposta incompleta dopo pochi minuti.
Che sia chiaro: la mia non è una critica o una polemica: è una segnalazione di chi dal lunedì al venerdì (e a volte anche di sabato) lavora per sviluppare codice per la pubblica amministrazione.
Un saluto
Buongiorno Paolo,
la risposta non è evasiva; non è possibile, per ora, fornire una tempistica sicura visto che i soggetti interessati al processo di messa in produzione di un Attribute Authority sono diversi e non è mio stile fornire tempi sui quali, magari, un’azienda costruisce un proprio piano di lavoro e poi si trova nelle difficoltà di non vedere rispettati i tempi detti.
Riguardo la contraddizione da te evidenziata definisco meglio il concetto:
Un’attribute authority è un soggetto pubblico che detiene statuariamente (e può rilasciare) attributi qualificati (Unioncamere per le imprese, i Consigli Nazionali degli Ordini… solo per fare due esempi).
Ci sono, però, dati che oggi non sono gestiti centralmente o il cui processo è ancora “manuale”;
per i primi vale una procedura centralizzata ovvero una pa/privato, per un qualsiasi servizio, può chiedere attributi per “qualificare” il soggetto che deve autorizzare. Per altri il processo non è, per ora, centralizzabile e l’unica possibilità è quella di progettare un processo digitale non centralizzato ma che diventa un pattern unico per tutte le pa.
Oltretutto il “mondo” delle deleghe non è omogeneo; posso rappresentare in toto un soggetto o solo per specifiche attività e aggiungo che anche il mondo dei servizi non è, allo stato attuale "omogeneo"e, aggiungo, quello dei permessi e deleghe è un’attività che non può basarsi su euristiche.
Il tema è caldo tanto che anche l’Europa ci sta investendo molto e ti segnalo un progetto denominato Stork 2.0 dove, tra gli altri, si affronta il tema di attributi, permessi, deleghe, procure, mandati e poteri di rappresentanza (https://www.eid-stork2.eu/).
Se mi chiedi, quindi, se, per ora, le procure devono essere gestite per servizio ti rispondo che, allo stato attuale, è così e riguardo le Attribute Authority le prime saranno quelle relative alle imprese e professionisti.
Convengo assolutamente che i processi vanno digitalizzati e trovate “soluzioni digitali”. L’intenzione è quella quindi, di architettare un pattern comune di gestione e processamento delle deleghe.
Ok, questa è una risposta più chiara.
Traduco in per almeno i prossimi 12 mesi non ci saranno Attribute Authority disponibili, poi si vedrà.
E’ corretto?
Perchè solo pubblici?
Che il mondo delle procure sia complesso ne ho piena conoscenza. E’ complesso perchè non si è mai affermato uno standard o una buona pratica.
Ecco che è necessario affrontare subito il problema, eventualmente per passaggi successivi.
Poi parli di “centralizzare” ( ne avevo parlato io per primo), ma esistono altre possibilità, facciamo un esempio: uno dei casi più ricorrenti nel mio mondo è quello del commercialista che segue un’impresa o un altro professionista.
Per ogni cliente Il commercialista oggi ha:
Ometto gli aspetti fiscali (agenzia delle entrate ha moduli e regole proprie in quanto sotto il cosidetto diritto tributario), ma per tutti gli altri casi è ipotizzabile la registrazione di UNA sola procura (generale o speciale) che contenga gli elementi più comuni.
Per la procura generale non vedo complessità.
Per le procure speciali basterebbe un modulo con indichi su quali comuni e su quali tipo di pratiche.
Ad esempio:
Settore Tributi
Urbanistica - Sviluppo del territorio
Settore Commercio - Suap
Direzione Sportello Unico Edilizia - Suer o Sued
Sono pratiche che potrebbero/dovrebbero già essere standardizzate e per cui potrebbe esistere una procura standard, nativamente digitale oppure digitalizzata presso un qualsiasi sportello di un ente qualsiasi.
Centralizzata (o distribuita, perchè no?) la procura, una volta fatta, sarebbe disponibile per tutti i comuni indicati nella lista e almeno questi casi.
Scusa, ma è un progetto che non pubblica nulla dal 2015 
Credo che sia un peccato non affrontare il problema.
Quanto ho scritto sopra non è una soluzione valida?
Ciao Vittorio,
Non mi espongo sulle tempistiche ma non saranno così lunghe.
Se parliamo di Attribute Authority sono autorità pubbliche se parliamo di Attribute Provider potrebbero essere anche altri soggetti. Per ora in SPID si parla di Attribute Authority.
Non è SPID che può decidere come gestire il mondo delle deleghe e delle procure ma SPID può fare da volano per aprire un confronto e questo tema sicuramente deve essere affrontato anche in tempi molto brevi.
Prima della soluzione è necessario esaminare il processo e l’architettura. Sono tante componenti da mettere insieme se centralizzata o distribuita è solo un particolare.
Riportavo un esempio
In realtà ho detto che questa può essere un’attività che possiamo mettere insieme e a cui può partecipare tutta la community. La tua soluzione è assolutamente valida.
Grazie per il contributo.
Attendo allora che sia analizzato il processo anche se (IMHO) questo nella sua forma più immediata appare già abbastanza chiaro:
Un saluto
Io non ho ben capito, il termine tecnico per identificare un qualunque developer che voglia implementare un autenticazione spid quale è?
Ed in tal caso le tempistiche quindi sono queste esposte?
avrei un progetto open source da portare avanti e sarei interessato
Ciao @Playrom intendi service provider?
Di quali tempistiche parli? Forse per il tuo sistema non è necessaria una Attribute Authority. Se posso aiutarti per il tuo progetto chiedi pure aprendo un apposito topic.
Salve,
dal 25 marzo ad oggi non ci sono state novità sull’argomento.
L’ambiente di test risulta non ancora pervenuto.
Una risposta sul tema delle procure risulta ancora non pervenuta.
è stato scritto dal
"le prime Attribute Authority saranno disponibili a breve e ne darò giusta evidenza. "
Che “A breve” sia un tempo superiore ai 30 giorni non è cosa accettabile.
Quindi sollecito delle risposte oneste e determinate.
Un saluto
Buonasera @paolo_pollicella il tema delle attribute authority è stato affrontato come quello delle deleghe. Ovviamente ci sono soluzioni tecnologiche che devono essere vagliate anche sotto altri aspetti e su cui non è possibile dare una tempistica.
Le risposte che vengono date sono sempre oneste e determinate, non stai parlando con un utente x ma c’è nome e cognome e non metterei la faccia su cose che non si faranno.
Ti chiedo, quindi, di pazientare.
Grazie
Da chi?
Perchè non su developers.italia?
con quali risultati?
quando?
se “è stato affrontato” è tempo passato allora è lecito aspettarsi che siano condivisi i risultato, si possonbo avere?
quali soluzioni tecnologiche?
perchè devono essere vagliate ulteriormente?
da chi?
quando inizierà l’operazione di “vaglio”?
Come mai non è possibile dare una tempistica?
Sinceramente le risposte appaiono spesso vaghe o non corrispondenti alla domanda, se ci sono dei problemi l’onestà intellettuale prevede che vengano enunciati e condivisi in dettaglio.
In ogni caso temo che non si stia comprendendo che continuare a “chiedere di pazientare” a distanza di un mese senza comunicare fino a quando e senza significa generare sfiducia nell’interlocutore.
Onestà intellettuale prevederebbe almeno di rispondere alle domande in modo puntuale e di comunicare quando saranno disponibili le tempistiche.
@paolo_pollicella ci sono delle attività che sono di competenza e non tutto può esser parte della community; sicuramente la community può servire molto per un’iniziativa di consultazione ma deve restare chiaro quali sono i ruoli per ogni iniziativa.
in Italia ci sono infrastrutture che devono essere costruite da zero o totalmente riscritte. I tempi sono quelli necessari a rendere disponibile un servizio utilizzabile e che funzioni. (anche nel mondo privato vendor che mettono a disposizione feature nella parte di “r&d” non rendono noto nulla).
Onestà intellettuale mi porta a dire che non do tempistiche se non ho sicurezze sui tempi; mi spingo anche oltre a dare indicazioni. Pertanto ti chiedo di pazientare.
Come vedi non ci si nasconde dietro un dito ma ti chiedo, gentilmente, di non fare polemica sterile, qui è un punto di confronto, un luogo dove si possono anche evidenziare mancanze ma evidenziarle in maniera costruttiva. Le community sono centri di confronto e crescita non luoghi di lotta.
Ancora una volta:
“ci sono delle attività che sono di competenza” non è una risposta alla domanda “Da chi è stato affrontato il tema delle attribute authority?”
si prega almeno di rispondere a questa domanda.
Idem per gli altri quesiti.
@paolo_pollicella il da chi è stato non è competenza esterna venirne a conoscenza. Ripeto la community può dare, in questo caso, indicazioni e partecipare anche attivamente con ipotesi e suggerimenti. E ogni suggerimento verrà analizzato e preso in considerazione.
Ciao Paolo, SPID è un progetto definito dal CAD (legge italiana) che affida ad AgID il compito di definirne le regole tecniche. Anche un successivo DPCM assegna ad AgID la competenza di regolamentare dal punto di vista tecnico lo sviluppo di SPID, e in particolare modo le Attribute Authority.
Come scriviamo nelle nostre FAQ, abbiamo cercato di chiarire fin dall’inizio che con Developers Italia non stiamo ad oggi portando un modello di crowdsourcing e open-governance nello sviluppo delle tecnologie centrali, ma ci focalizziamo sull’ecosistema software intorno a queste tecnologie, che ad oggi è completamente inesistente e che vogliamo creare con un nuovo modello di partecipazione e sviluppo open-source.
Di conseguenza, nel caso in questione, la definizione del modello di funzionamento delle attribute authority spetta ad AgID (che collabora attivamente con il Team Digitale), mentre a Developers Italia sarà demandato il compito di implementare tutto ciò che serve a supporto delle AA (ambienti di test, implementazioni di riferimento, script di validazione, e così via).
Spero di averti chiarito il contesto in cui operiamo.
Signori,
Ricapitoliamo:
Rimango in ascolto invitandovi a riflettere se davvero questo approccio al problema sia il migliore possibile e se è davvero sostenibile.
Paolo, mi risulta che hai ricevuto risposta alle tue domande. Ti confermo che il tema delle AA è in definizione e non c’è una ETA al momento. Ti confermo anche c’è l’idea di utilizzare successivamente le AA per affrontare (alcuni aspetti) di digitalizzazione di deleghe e procure, ma è un tema ancora abbastanza lontano. Per quanto concerne le tue esigenze pressanti di progettazione software, quindi, il mio consiglio è non restare in attesa di un qualcosa sul quale non è possibile fare un commitment a livello di data, ma progettare il software secondo ciò che hai a disposizione oggi.
La tua idea di “centralizzare” le procure è sicuramente interessante e (almeno per me) stimolante. Io personalmente non conosco la materia, né i vincoli normativi che ci stanno dietro. Se vuoi aiutare e stimolare lo sviluppo di SPID in questo senso (uscendo anche dai compiti più strettamente legati a Developers Italia), il mio consiglio è di produrre un documento (anche un Google Docs) in cui provi a dettagliare una architettura di come potrebbe funzionare, espandendo meglio il tuo precedente post, e postarlo qui in community per commenti anche da altri interessati all’argomento. Io posso sicuramente far leggere questo documento ai miei colleghi che seguono più da vicino questi temi, ma ti voglio chiarire fin da subito che non è possibile coinvolgerti nell’intero processo decisionale, né posso assicurarti che ci saranno dei feedback concreti e operativi sul documento; non c’è un processo ad oggi che ci permetta di gestire il brainstorming lato community su questo genere di cose. Non prenderlo come un modo per aprire un ticket su cui avrai risposta, insomma, ma l’equivalente di un blog post libero in cui lanci i tuoi suggerimenti a chi vorrà ascoltarli. Mi rendo conto che non è molto, ma può essere un inizio.
Chiudo il thread.