Integrazione tra OpenID e SPID

Ciao a tutti, sono in procinto di realizzare un sistema per gestire le identità di docenti, personale, studenti e genitori per la mia scuola.
Preciso che io ho bisogno di un sistema di identificazione e uno di autorizzazione, in modo da creare un SSO per accedere ai vari siti e servizi della scuola.

Pensavo ad un moderno OpenID Connect.

Avevo alcune domande.

  1. Perché SPID usa SAML?
  2. L’integrazione tra SPID e OpenID per permettere il login tramite SPID, è possibile?
  3. OpenID Connect è un sistema potente ed efficiente? Se così non fosse, che cosa usereste?

Ringraziando per le future risposte (spero :blush: ), porgo i miei saluti.

Buon lavoro! :sunny:

1 Mi Piace

Ciao @pif,

Non è necessario creare il sistema di identificazione perchè può essere utilizzato SPID ed è necessario implementare (oltre che l’SP SPID) solo la parte di autorizzazione.

Perchè storicamente SAML era già utilizzato da tutte le Pubbliche Amministrazioni che avevano sistemi federati ma anche perchè, pur se datato e non pensato per il mondo mobile, resta una modalità più sicura di OpenID Connect.

OpenID Connect è una delle prossime implementazioni che avvieremo quindi sarà possibile utilizzare SPID presso tutti gli IDP sia in SAML che OpenID Connect quindi anche noi lo reputiamo un ottimo sistema e sicuramente il migliore per il mondo mobile o comunque per sistemi application to application.

Buon lavoro anche a te

Umberto Rosini
Agenzia per l’Italia Digitale

3 Mi Piace

Ciao @umbros, grazie per la risposta molto esaustiva! :slight_smile:

Hai ragione, ma tieni conto che in una scuola non tutti i docenti (ahimè) hanno SPID, per non parlare delle famiglie, o addirittura degli studenti minorenni che non possono averlo. Questo è il principale motivo che mi porta a dover mettere su un IDP tutto mio.

Stavo dando un’occhiata a questo articolo, di cui cito un paragrafo.

If you are writing a new application, use OpenID Connect–skate to where the puck is going!

Io la mia app la sto creando da zero, per cui OpenID Connect (più precisamente la libreria phpoidc), mi sembra la scelta migliore, considerato anche il fatto che in futuro ci potrò integrare SPID.

Ogni suggerimento/critica costruttiva è la benvenuta!
Se interessa, sarei felice di condividere il progetto, che sicuramente verrebbe utile a molte scuole!

Buona serata. :wink:

Certo che interessa il progetto :smiley:
Riguardo IDP per i cittadini di open source c’é poco di veramente implementato disponibile coem codice sorgente se non librerie :slight_smile:

1 Mi Piace

Ciao @pif, il tema che docenti e genitori non hanno SPID lascia il tempo che trova… se non lo hanno lo fanno se vogliono avere accesso ad un sistema. Per i minorenni è un tema che stiamo trattando proprio e soprattutto per il mondo della scuola.

Quindi direi che potresti mettere su un sistema che utilizza SAML e SPID per docenti e famigliari che poi possono creare un’utenza locale per i propri figli :wink:

Se vuoi facciamo una call e ne parliamo.

Per il rilascio, mi ricollego a @Mte90, ovviamente ogni buon contributo è benvenuto. Se puoi sarò all’hackaton di developers.

Fammi sapere

Umberto Rosini
Agenzia per l’Italia Digitale

1 Mi Piace

Grazie per il tuo supporto!
La mia idea è di creare una cosa che sia compatibile con SPID, in modo che sia usufruibile da tutti coloro che lo possiedono.
A questo punto il sistema si potrebbe completamente basare su SPID per autenticazione ed autorizzazione (correggimi se sbaglio).
Non ho capito la cosa che il genitore crea un account locale per il figlio, premettendo che tutta la procedura va studiata con cura, più precisamente la connessione con la matricola dello studente e lo stesso sistema di registrazione, non tralasciando il fatto che la scuola ora come ora gli studenti me li passa tramite fogli Excel che mi concerto in CSV.

Sono molto interessato a questo progetto, che porterò alla maturità, e anche al tema SPID per i minori.

Sento il mio docente di riferimento, magari si può organizzare una call anche col capo! :wink:
Buona domenica! :slight_smile:

Ciao @pif,
SPID realizza la parte di autenticazione e potresti implementare un sistema di deleghe interne al progetto per cui il genitore entra con SPID e abilita il figlio ad accere ad una specifica sezione dell’applicazione.
Sono a disposizione in modo che posso aiutarti a discutere gli aspetti del tuo progetto :slight_smile:

Buona domenica

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao @umbros,
ti ringrazio per la tua disponibilità, prima di tutto! :blush:

La parte delle deleghe e come gli studenti accedono è da studiare, io voglio evitare il login con user/password, altrimenti faccio 2 passi avanti e 5 indietro.
Anche la gestione degli studenti e delle utenze è da vedere, per dare alla scuola un metodo per aggiornare il tutto anno per anno facilmente.

Su due piedi, giusto per capire, avrò bisogno di usare Shibboleth, o che altro applicativo?
Come web server se mi è possibile penso di utilizzare NGINX.

Per eventuali prove, e per avere un’idea di come gira, posso fare riferimento al sp-playbook?

Vorrei che ciò che faccio sia poi in pieno supporto di come si evolverà la situazione, parlo dell’integrazione con OpenID Connect.

E mentre son qua, ti chiedo come siete messi con il tema web delle scuole, che ho visto che è in costruzione.

Grazie per tutto il lavoro fantastico che state facendo!
Buona serata! :slight_smile:

Il fatto che Spid si integri a SPID ha come obiettivo finale quello di renderlo utilizzabile per qualsiasi contesto (es. homebanking, es. siti personali, es. accessi a sistemi desktop)?

Andrea