Dubbio su categoria IPA e Service Provide pubblico

Buongiorno, devo sviluppare un Service Provider pubblico per un ente con tipologia Enti Nazionali di Previdenza ed Assistenza Sociale in Conto Economico Consolidato e categoria Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato privati che non ha AOO ma ha 7 Unità organizzative su IPA.

Incontro difficoltà nella validazione del metadato da me creato check strict>check produzione → test 80 ottenendo il failure (The IPACode element MUST have a valid value present on IPA). Ho visto che, come per la generazione dei certificati, il validatore fa una chiamata verso IPA e cerca la presenza di AOO.

A questo punto la mia domanda è: per questo tipo di ente è possibile essere Service provider pubblici oppure devo passare da aggregatore di servizi?

Grazie mille.

Ci ho capito il giusto ma in IPA (e nella realtà di cui è rappresentazione) sopra le unità organizzative ci sono le AOO e sopra le AOO c’è l’Ente. Quest’ultimo è il soggetto per così dire giuridico, direi che è lui che fa da service provider.
IPACode dovrebbe essere il codice ente, che per il Comune di Roma per esempio è c_h501

Buonasera, quel tipo di ente non puó censire una AOO e quindi ho questo tipo di problema.
Sapete come farre, avete avuto situazioni simili?

Come ti hanno già risposto, devi fare riferimento al codice IPA dell’ente (che se è censito si IndicePA, ha già un codice IPA).

Buongiorno, il mio codice ipa é cnpaf_0
la chiamata che fa il genera certificati e il validatore spid é https://indicepa.gov.it/PortaleServices/api/aoo con questo body in POST

{
    "paginazione": {
        "campoOrdinamento": "codAoo",
        "tipoOrdinamento": "asc",
        "paginaRichiesta": 1,
        "numTotalePagine": null,
        "numeroRigheTotali": null,
        "paginaCorrente": null,
        "righePerPagina": null
    },
    "codiceFiscale": null,
    "codUniAoo": null,
    "desAoo": null,
    "denominazioneEnte": null,
    "codEnte": "cnpaf_0",
    "codiceCategoria": null,
    "area": null
}

dato che questo ente non ha aoo mi ritorna

{
    "errore": false,
    "risposta": {
        "listaResponse": [],
        "paginazione": {
            "campoOrdinamento": "codAoo",
            "tipoOrdinamento": "asc",
            "paginaRichiesta": null,
            "numeroRigheTotali": 0,
            "righePerPagina": 30,
            "paginaCorrente": 1,
            "numTotalePagine": 0
        }
    },
    "descrizioneErrore": null,
    "dettagliErrori": null
}

i servizi poi verificano il valore del campo numTotalePagine per vedere che sia 1 e quindi fallisce.

L’ente ho giá sentito IPA ed é giusto che non abbia una AOO.

Quindi va bene che stia facendo un Service providere pubblico o devo accreditarmi su spid in altro modo?

Grazie

Mi sembra che più che un problema di SPID, sia un problema di IndicePA.
Sembra infatti che la piattaforma IndicePA ipotizzi che vi sia sempre una AOO, e quindi blocchi la ricerca sui codici IPA privi di AOO.
L’esempio ce l’hai direttamente dalla maschera di ricerca dei domicili digitali presente sul sito IndicePA.
Se inserisci il codice IPA in questione, riporta 0 risultati.
Se inserisci un qualunque altro codice IPA (ad es unive, c_h501, inps), fornisce dei risultati.
Gli strumenti SPID vanno solo a rimorchio della logica di IndicePA.
Ti consiglio di mandare una mail a spid.tech@agid.gov.it spiegando la situazione e chiedendo di contattare a loro volta IndicePA.

L’endpoint dell’API chiamata lascia presagire che si tratti di una ricerca di AOO, quindi abbastanza ragionevole che non trovi AOO per un ente senza AOO.
Che un ente non abbia AOO mi suona davvero strano, per definizione stessa di AOO che a memoria dovrebbe essere nel dpr 445/2000 ma che comunque nella dottrina è questa:

> Un’Area Organizzativa Omogenea (di seguito “AOO”) è definita come un insieme di unità organizzative dell’Amministrazione che usufruiscono, in modo omogeneo e coordinato, degli stessi servizi per la gestione dei flussi documentali.

No AOO no flusso documentale: di fatto non puoi lavorare… l’IndicePA e il modo in cui è gestito sa riservare sorprese!

Salve a tutti,

sono un collega di Davide che ha aperto la segnalazione, volevo aggiungere delle informazioni che possono essere utili per fare chiarezza sulla questione.
L’endpoint segnalato di IPA viene invocato dal validatore SPID durante la validazione del codice IPA.
Lo stesso validatore è anche utilizzato dall’ambiente di demo ufficiale SPID Validator.

Gli Enti con categoria IPA Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato privati sembra che per normativa non possono censire le AOO su IPA, come descritto dal seguente spaccato di documentazione IPA che potete trovare su IpaPortale nella sezione Varie nel documento Categorie Enti :

Gli enti che appartengono alla categoria Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato privati in base all’attuale normativa devono inserire:

  • i servizi di fatturazione elettronica

e non possono inserire:

  •  le Aree Organizzative Omogenee
  • i domicili digitali

Questi due fattori (validatore e normativa ipa) combinati stanno quindi creando problemi nella validazione dei metadati del Service Provider Pubblico.

Di seguito lo spaccato del metadato in cui viene descritto il codice IPA:

...
<md:Organization>
<md:OrganizationName xml:lang="it">Cassa nazionale di previdenza e assistenza forense</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">Cassa nazionale di previdenza e assistenza forense</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">...</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="other">
<md:Extensions>
<spid:IPACode>PA:IT-cnpaf_0</spid:IPACode>
<spid:Public/>
</md:Extensions>
...

Verificando però nell’elenco dei service provider pubblici Registro SPID - Service Providers è possibile trovare enti della categoria Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato privati presenti in elenco, ad esempio la Cassa Nazionale del Notariato.

Chiediamo quindi se voi avete delle informazioni che ci possono chiarire lo scenario.

Grazie

1 Mi Piace

Dispiace, ma in effetti l’unica sembra contattare direttamente chi gestisce il validator e bypassare il problema. Provata una issue su Github in qualche repository di italia: Developers Italia · GitHub ?

Incredibile pero’. Se ho capito il validator, per vedere se un codice ente IPA esiste, controlla se esistono AOO sotto quel codice ente: un metodo poco corretto, se appunto IPA impone di avere enti senza AOO…

Validator utilizza le API messe a disposizione da IndicePA.
Avevo già notato che la maschera di ricerca che avevo citato nel precedente post, non fa altro che inviare una richiesta POST alla stessa API segnalata da @scatolone .
Ipotizzo che non vi siano delle API che permettono di fare query su codici IPA di enti senza AOO, e quindi che il cortocircuito sia interno a IndicePA.
Rinnovo il consiglio di inviare una mail ad Agid all’indirizzo già indicato: magari conosco la problematica e risolvono la cosa “a mano”.
Chiedo anche lumi a @damikael

2 Mi Piace

Buongiorno, a differenza del valore da indicare all’interno del certificato, nel metadata deve essere indicato esclusivamente il codice IPA. Il metadata deve pertanto presentarsi come nel seguente esempio:

<md:Extensions>
    <spid:IPACode>cnpaf_0</spid:IPACode>
    ...
</md:Extensions>

Chiedo di verificare la validazione indicando nel metadata il codice IPA come nell’esempio.

Michele D’Amico (@damikael)

Buongiorno,

ti ringrazio per la rapida risposta, si è corretto quello che dici ma avevamo già provato senza prefisso, impostando il metadata nel seguente modo :

<md:Extensions>
         <spid:IPACode>cnpaf_0</spid:IPACode>
         <spid:Public /> 
</md:Extensions>

Ma il validatore ci fornisce lo stesso errore:

image

Provando ad esempio però con il codice IPA del “Comune di Roma” (c_h501) il validatore non ci mostra l’errore come per il caso di cnpaf_0.

Grazie in anticipo

Occorre segnalare la problematica sul repository GitHub - italia/spid-sp-test: SAML2 SPID/CIE Service Provider validation tool
spid-sp-test è il tool utilizzato internamente da spid-saml-check per i test automatici su metadata e request.

Michele D’Amico (@damikael)

Grazie abbiamo aperto l’issue qui italia/spid-sp-test#156