ISEE da INPS

Ciao,
qualcuno ha provato le API dell’INPS per recuperare gli indicatori ISEE, quelle disponibili tramite PDND?

Avrei intanto una domanda preliminare: la documentazione messa a disposizione dall’INPS nel catalogo degli e-service sembra un po’ in contrasto con quella generale della PDND, per quanto riguarda l’acquisizione (tramite OAUTH2) del token JWT dalla PDND da usare poi nell’header della chiamata alle API esposte dall’INPS. Infatti, la documentazione INPS parla di catena di certificati di una CA da comunicare in fase di iscrizione…

Esperienze al riguardo?

3 Mi Piace

Ciao Francesco, non visto il dettaglio delle specifiche INPS, ma in linea generale PDND autorizza l’accesso all’API, ovvero rende riporta il consenso dell’erogatore all’utilizzo del servizio per un fruitore, ma ogni erogatore poi può richiedere il rispetto di ulteriori meccanismi di sicurezza. In generale prima di PDND, ogni erogatore di servizi richiedeva già di predisporre dei meccanismi di sicurezza, e per il momento questi rimangono tali e quali. Anche per ANPR è lo stesso, è richiesta la mutua autenticazione di fruitore ed erogatore tramite certificati. Con il tempo si spera che le cose cambino, per ora accedere con PDND richiede, almeno per i “vecchi” servizi, un doppio lavoro. Per servizi “nuovi” mi auguro che l’infrastruttura di sicurezza di PDND possa essere ritenuta adeguata.

Ok, quindi mi confermi che per INPS (e anche ANPR?) la parte di acquisizione del token JWT da PDND non va fatta?

Aggiungerei pero’ che questi servizi di ANPR e INPS tanto “vecchi” non sono, tanto che li aspettavamo da tempo immemore… quindi perché bypassare i criteri di sicurezza alla base di PDND e stabiliti nelle linee guida sull’interoperabilità, ModI o come si chiamano? @Roberto_Polli

EDIT, articolo ulteriormente: per me amministrazione fruitrice sarebbe molto meglio chiudere una volta per tutte le questioni di autenticazione e sicurezza varie con il metodo standard previsto dalla PDND e concentrare energie, risorse e sviluppo sulla parte di interrogazione dei dati messi a disposizione. Banalmente, se ogni e-service poi ha un metodo di autenticazione suo, anche solo ricordarsi di andare ad aggiornare i certificati SSL quando scadono è un incubo…

No, intendevo dire che per ora devi fare entrambe le cose, prima ti autorizza PDND e poi adotti i meccanismi di sicurezza previsti dall’erogatore in aggiunta …

ok grazie… e’ che sulla documentazione INPS non ricordo richiami al token JWT da mettere nell’header della richiesta.