"Entra con CIE" - modalità di autenticazione mista desktop-cellulare

Grazie mille verifico subito.

@fventola89

Ho una domanda di carattere generale relativamente allo scenario “ibrido” il quale, se confrontato con quello mobile, risulta più complicato per l’utente che è costretto a 2 interazioni in più: inserire il numero della CIE e inserire l’OTP. Se il primo dei due dati mi è chiaro perché serva, perché è necessario scambiare anche un OTP? Confrontando i due scenari, mobile e ibrido, (rif. Figura 6 e Figura 7 del Manuale per i SP) se l’utente dopo aver inserito il numero di tessera inserisce il PIN (informazione che conosce solo lui) e utilizza la CIE con il lettore NFC (che ne prova il possesso) e instaura una connessione HTTP/TLS con l’IdP realizzando di fatto una 2FA, perché dobbiamo richiedergli anche un OTP? Quest’ultimo passaggio nello scenario mobile, non è richiesto, perché nello scenario ibrido sì?

Grazie,
Denis

P.S. A mio avviso, nel manuale per i SP, nello sequence diagram dello scenario ibrido sarebbe utile suddividere a livello di lifelines verticali la componente browser desktop dal quella del dispositivo mobile così da individuare meglio le connessioni che le due componenti instaurano con le componenti server.

Grazie delle segnalazioni, come scritto per il flusso ibrido sono richiesti 2 step in più, inserimento del seriale della CIE e generazione dell’OTP, per salvaguardare la sicurezza dell’autenticazione. Nel flusso ibrido, a differenza di quello mobile l’autenticazione avviene mediante 2 dispositivi. Nel flusso dobbiamo essere sicuri che l’operazione sul desktop venga effettuata dalla medesima persona che è in possesso della propria CIE, lo smartphone è utilizzato solo come lettore della carta. Il link tra desktop/mobile per quella specifica CIE avviene tramite l’inserimento del seriale, e il collegamento successivo mobile/desktop tramite l’inserimento dell’OTP.

@fventola89 [quote=“fventola89, post:103, topic:14048”]
Grazie delle segnalazioni
[/quote]

Aggiungo alle segnalazioni che anche per lo scenario mobile si potrebbe distinguere il browser dall’App CieID e che a pagina 9 ci deve essere stato qualche refuso che riporto qui sotto:

"Lo scenario “ibrido”, raffigurato nello schema inFigura 3. Schema di funzionamento dello scenario “ibrido"Figura 2. Flusso di utilizzo dello scenario mobile., prevede l’utilizzo della CIE come strumento di autenticazione per ottenere l’accesso ad un service provider. Requisito necessario per realizzare tale scenario è la disponibilità dell’utente di un terminale mobile dotato di fotocamerae diinterfaccia NFCche consenta l’interfacciamento della CIE.”

Per le segnalazioni relative alla documentazione esiste un repo git pubblico?

@fventola89

Non ho tutti i dettagli della logica lato server, per cui perdona se la domanda fosse poco centrata. Relativamente alla UX se il codice OTP fosse scambiato attraverso l’App CieID che lo comunica alla sessione lato server server (quella iniziata con la fotografia del QR code che vede associato quel browser) si potrebbe risparmiare all’utente di inserirlo?

L’OTP viene generato dal server dopo la comunicazione con la CIE e mostrato sull’app CieID, serve per unire le operazioni tra smartphone e desktop e renderle più sicure.

Ciao,
mi scuso la banalità della domanda ma non ho trovato risposta da alcuna parte.

Ho due figli minorenni e vorrei accedere al loro Fascicolo Sanitario Elettronico dal portale di Regione Lombardia; essendo loro minorenni non posso usare lo SPID e quindi volevo usare le loro CIE con la modalità mista desktop cellulare.

Ho installato l’app sul mio telefono Samsung e tutto ha funzionato alla perfezione,
però poi non riesco a trovare una modalità semplice per registrare sull’app CieID anche le carte di identità dei miei bimbi.
Sbaglio qualcosa?
Non ditemi che devo veramente disinstallare l’app, reinstallarla e ri-abbinare la carta ogni volta che voglio consultare i dati dell’altro bimbo.

Sig. Simone buonasera,

Non è necessario disinstallare l’app, però è possibile abbinare una sola Carta d’Identità Elettronica alla volta. Di conseguenza per cambiare carta deve aprire il menù accessibile dal pulsante in alto a sinistra, selezionare la voce “Gestione Carta” e rimuovere la Carta d’identità abbinata. A questo punto può abbinare una nuova carta d’identità elettronica.

2 Mi Piace

Ho provato e funziona effettivamente così, grazie.
Non so se questo sia il luogo deputato a suggerire modifiche, ma riterrei utile la possibilità di registrare più CIE di componenti dello stesso nucleo familiare in una sola sola app (perlomeno relativamente ai minori per cui non è possibile usare lo SPID).

4 Mi Piace

Anche per i “maggiorenni” sarebbe comodo, è vero che la possibilità di autenticarsi con il cellulare risolve in parte, non sempre è una soluzione fattibile, non tutti hanno un cellulare con NFC.
Poter registrare tutte le CIE di un nucleo familiare, o anche di conviventi ad esempio due persone che stanno e abitano insieme pur non essendo sposate, in modo da poter fare l’autenticazione da un solo PC, risolverebbe questo genere di problemi.
Soprattuto visto che la CIE si appresta a diventare uno dei sistemi principali per l’autenticazione ai siti istituzionali.
Ma non so se ci siano problemi di regolamenti, o di salvaguardia della privacy che lo impediscano.

1 Mi Piace

Credo che il “multi uso” di spid e cie sia il prossimo step da valutare.
Per i professionisti si parla tecnicamente di procura, per i privati di “seguire le pratiche dei figli o dei genitori anziani”. Comunque sia è un tema fondamentale per gestire le identità digitali.

4 Mi Piace

Buongiorno,

La funzionalità da lei segnalata è già in fase di sviluppo sui sistemi desktop.
Sarà disponibile a breve nelle prossime versioni.

3 Mi Piace

A me questo fatto sembra strano, molto strano. Una progettazione molto strana del FSE lombardo: davvero i minori possono accedervi in autonomia?

Confermo,
accedendo al fascicolo sanitario della Regione Lombardia a nome mio non ho alcuna possibilità di vedere il fascicolo sanitario dei miei figli minorenni.
Non posso che uscire e collegarmi nuovamente a nome loro usando la loro CiE perché loro non possono neppure avere lo SPID proprio perché minorenni.

Visto che ero decisamente fuori tema mi sono spostato nella sezione “piattaforme abilitanti”.

Gentile Fabio, è poi riuscito a risolvere?
Le sto provando tutte ma ora sono quasi esausto.
Grazie per ogni eventuale risposta.

Sapete se Globo.Signer sarà disponibile anche per dispositivi non windows?
Io uso Ubuntu Linux :roll_eyes:

Comunque ho visto questo video su Globo.Signer e mi sembra interessante

@Paolo_Del_Romano grazie del commento, purtroppo devo deluderti, Globo.Signer è sviluppato in .Net e non è previsto un porting un ambiente Linux.
Lo abbiamo sviluppato per semplificare l’operatività di chi deve lavorare nella PA con l’obiettivo di massimizzare il numero di fruitori.

1 Mi Piace

Scusi, ma non stiamo parlando dell’applicazione che classifica le foto delle vacanze con la zia. Questa applicazione si interfaccia con la mia CIE ed è giusto che sia completamente libera. Il fatto che usi un SDK aperto non basta.

Per chi fosse interessato ho creato una stanza su matrix per gestire questa assurda situazione dell’applicazione cie a codice chiuso https://matrix.to/#/#cie-android:matrix.org