Dubbio sessione individuale

Buonasera,
dopo aver letto la documentazione relativa alla gestione della sessione “individuale” non mi è chiara la seguente frase:

"…in particolare le sessioni individuali possono:

  1. non essere instaturate
  2. essere chiuse anche nel corso di validità della sessione di autenticazione che le ha originate (ovvero prima di una eventuale richiesta di Single Logout o della scadenza del timeout associato alla sessione di autenticazione"

quale attributo contiene la data di scadenza della sessione di autenticazione,
Response->SubjectConfirmationData->notOnOrAfterField ?

Da quanto ho capito, se l’utente è gia loggato con spid livello 1 e vuole loggarsi con spid livello 2 non deve essere fatta di nuovo l’autenticazione: come può l’utente in quel caso rifare l’accesso con spid livello 2 senza dover passare dalla pagina di login del service provider?(e quindi senza aver fatto il logout?)

Grazie per l’aiuto.

Dalle regole tecniche:

La sessione stabilita a seguito di un evento di autenticazione relativo al livello SPID 1 è denominata, per chiarezza di esposizione, sessione di autenticazione per distinguerla dalla sessione che un fornitore di servizi può instaurare con l’utente al fine dell’erogazione di un particolare servizio richiesto, denominata a sua volta sessione individuale

In pratica la sessione individuale è la normale sessione della tua piattaforma. Per intenderci, quella che viene creata su un qualunque sito anche quando accedi con normale login e password.
La sua durata la definisce l’amministratore del sito.

No. Viene “saltata” solo la challenge di 1° livello (ovvero l’inserimento di login e password), ma si passa direttamente alla challenge di 2° livello (la richiesta dell’OTP). Questo solo nel caso che la sessione di autenticazione sia ancora attiva sull’IDP.

Gentilmente potresti descrivermi gli step funzionali per l’utente in questo caso? Quali sarebbero? Grazie.

Ipotizziamo:

  • Sito A, richiede identificazione con SPIDL1
  • Sito B, richiede identificazione con SPIDL2

L’utente X vuole accedere al sito A.
Dallo Spid Button presente sulla home del sito A seleziona il suo IdP
L’IdP presenta la pagina per la challenge di livello 1 (form per l’inserimento di login e password).
l’Utente X inserisce le sue credenziali di 1° livello, accetta l’invio dei dati al sito A e accede al sito A.

Prima che scada/venga distrutta la sessione di autenticazione presso l’IdP, l’utente X vuole accedere anche al sito B.
Dallo Spid Button presente sulla home del sito B seleziona il suo IdP
L’IdP presenta direttamente la pagina per la challenge di livello 2 (form per l’inserimento dell’OTP).
l’Utente X inserisce l’OTP, accetta l’invio dei dati al sito B e accede al sito B.

Ok. Grazie.
Nel caso in cui il sito del service provider offra più servizi, quindi Sito A e Sito B siano sempre dello stesso SP, in quel caso l’utente deve necessariamente rifare la selezione dello spid button e quindi rifare l’autenticazione?

Il fatto di ripresentare lo spid button semplifica lato sviluppatore, perché altrimenti dovresti tenere traccia di quale IdP l’utente ha utilizzato precedentemente.
Per il resto, se vuoi passare ad un livello SPID superiore, devi necessariamente generare una una AuthnRequest e quindi fare un’ulteriore autenticazione.