Pensa che le CA pubbliche stanno “chiacchierando” su abbassare a 90gg prima e 45gg in futuro, se non si automatizza la gestione dei certificati sarà un massacro.
1 Mi Piace
In realta’, la PDND e il MoDI consentono di garantire l’integrità del payload della chiamata all’e-service tramite materiale crittografico depositato dal fruitore sulla PDND (materiale self-signed, ma caricato in piattaforma previa autenticazione forte).
Il Ministero dell’interno fa così perr gl e-service di ANPR.
Poi le linee guida PDND consentono agli erogatori anche di richiedere forme di sicurezza diverse, compatibili con il ModI (che preesiste alla PDND e che dopo la PDND è stato aggiornato con la modalità del voucher PDND appunto).
La richiesta dell’INPS è quindi compatibile con il ModI e le linee guida PDND ma, nei fatti, è insostenibile.
Ho scritto al referente tecnico dell’e-service indicato nel catalogo. Vediamo cosa dice. Perché così non può funzionare e consultare l’ISEE serve a qualche migliaio di enti italiani (comuni, scuole, università, enti di assistenza ecc.)
Ciao @spadovan , è da parecchio tempo che sto cercando di capire come contattare i servizi ISEE tramite la PDND e la tua esperienza potrebbe rappresentare il pezzo mancante del puzzle (la richiesta di fruizione è già stata approvata).
Vedo che nella tua request hai inserito come header “Authorization” un JWT. E’ il JWT che ottieni dalla PDND quando richiedi il voucher?
Le operazioni di firma e di creazione del client invece come le hai svolte? Come da procedura standard della PDND ma utilizzando il certificato richiesto in precedenza all’INPS tramite il loro modulo? Tra l’altro… a chi bisogna inviare la richiesta? Nella documentazione d ice di inviarla “all’INPS”, ma a che indirizzo?
ciao Alberto, cerco di rispondere alle tue domande:
Vedo che nella tua request hai inserito come header “Authorization” un JWT. E’ il JWT che ottieni dalla PDND quando richiedi il voucher?
Si, estattamente
Le operazioni di firma e di creazione del client invece come le hai svolte? Come da procedura standard della PDND ma utilizzando il certificato richiesto in precedenza all’INPS tramite il loro modulo?
Occorre usare ws-messaging come indicato nella loro documentazione e valorizzare il tag Identity
Tra l’altro… a chi bisogna inviare la richiesta? Nella documentazione d ice di inviarla “all’INPS”, ma a che indirizzo?
noi abbiamo inviato una email a “andrea.cigliano@inps.it” poiché indicato nella documentazione in PDND, in alternativa esiste questo indirizzo: “modi.support@inps.it” modi.support@inps.it
ciao e in bocca al lupo
Ciao @spadovan , sono riuscito a contattare INPS per farmi emettere un certificato da utilizzare quando contatto i loro servizi. Il team che si occupa dell’emissione dei certificati ha risposto molto velocemente ma non mi è chiaro se sia necessario attendere una risposta anche per l’accesso ai loro sistemi dagli ip che ho specificato in fase di richiesta (uno per l’ambiente di collaudo ed uno per l’ambiente di produzione). Al momento infatti tutte le chiamate che tento di fare restituiscono un errore “Failed to connect to api.collaudo.inps.it”.
Tu ricordi se ti erano arrivate due distinte risposte, una per il certificato ed una per l’apertura della connessione?
Altra domanda: nell’header della richiesta soap (sto guardando quelle di esempio presenti nella documentazione) c’è un tag XML “MessageID”; deve contenere uno unique ID generato per ogni chiamata?
ciao Alberto, sinceramente non mi ricordo mi dispiace.
si il messageid é un unique id generato per ogni richiesta
Dopo parecchi tentativi ed email sono finalmente riuscito a interrogare il servizio di consultazione attestazione ISEE. Tuttavia inserendo un codice fiscale reale ottengo come risposta “DATI_NON_TROVATI”. Probabilmente è perchè si tratta dell’ambiente di collaudo. Sapete se esistono dei codici fiscali di test elencati da qualche parte?
@spadovan @Alberto_Pagani potreste aiutarmi a capire bene se il certificato di autenticazione da inserire nel modulo è quello generato con i tre comandi da terminale per la creazione delle chiavi di sicurezza ( il file PEM indicato in foto) o mi sono perso qualche passaggio e va richiesto all’inps come dicevate qui in chat? Se potreste indirizzarmi su come procedere ve ne sarei grato.
Se utile, questi i passaggi per recupare ISEE da PDND - la documentazione è a tratti lacunosa a tratti sbagliata, si è trattato di un terno al lotto arrivare a far funzionare il tutto
-
inserimento richiesta fruizione su PDND, in maniera da recuperare
purposeId -
richiesta INPS whitelisting indirizzo IP (IPv4 accettato, IPv6 non gestiti)
-
richiesta INPS emissione certificato da CSR
openssl genrsa -out ${OUTPUT_PRIVATE_KEY} 2048 openssl req -new -key ${OUTPUT_PRIVATE_KEY} -out ${OUTPUT_CSR_FILE} -sha256 -subj "/C=IT/ST=XXX/L=XXX/O=${RAGIONE_SOCIALE}/OU=XXXX/CN=${CN}"
in caso, conversione certificato e chiave a P12 con
openssl pkcs12 -export -out ${OUTPUT_P12_FILE} -inkey ${PRIVATE_KEY} -in ${INPUT_PEM_CRT_FILE}
- SOAP request di esempio su PDND è sbagliata, sotto esempio corretto da WSDL
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:con="http://inps.it/ConsultazioneISEE">
<soapenv:Header>
<wsa:MessageID xmlns:wsa="http://www.w3.org/2005/08/addressing">7e6416bG-f86b-495b-8f89-2d8e208aaf4b</wsa:MessageID>
<wsa:To xmlns:wsa="http://www.w3.org/2005/08/addressing">http://inps.it/ConsultazioneISEE/ISvcConsultazione/ConsultazioneIndicatore</wsa:To>
<wsa:Action xmlns:wsa="http://www.w3.org/2005/08/addressing">http://inps.it/ConsultazioneISEE/ISvcConsultazione/ConsultazioneIndicatore</wsa:Action>
<inps:Identity xmlns:inps="http://inps.it/">
<UserId>XXXXXXXXXXX</UserId>
<CodiceUfficio>1234</CodiceUfficio>
</inps:Identity>
</soapenv:Header>
<soapenv:Body>
<con:ConsultazioneIndicatore>
<con:request>
<con:TipoIndicatore>Ordinario</con:TipoIndicatore>
<con:RicercaCF>
<con:CodiceFiscale>XXXXXXXXXXXXXXXX</con:CodiceFiscale>
<con:PrestazioneDaErogare>Z9.99</con:PrestazioneDaErogare>
<con:ProtocolloDomandaEnteErogatore>2</con:ProtocolloDomandaEnteErogatore>
<con:StatodomandaPrestazione>Erogata</con:StatodomandaPrestazione>
</con:RicercaCF>
</con:request>
</con:ConsultazioneIndicatore>
</soapenv:Body>
</soapenv:Envelope>
La richiesta deve essere eseguita con protocollo TLS 1.2 e sicurezza canale ID_AUTH_CHANNEL_02, il cui certificato è quello creato al punto 3.
Lista codici prestazioni: NDC/assets/controlled-vocabularies/tipo_categoria_siuss/latest/tipo_categoria_siuss.csv at e3fa7907a97bcd603b48ebab0fb8769978a67786 · INPS-it/NDC · GitHub
NB: importante passare header HTTP Authorization: Bearer XXX con il token PDND altrimenti il firewall INPS tronca la chiamata con Connection reset sebbene la documentazione del servizio riporti diversamente
1 Mi Piace
Qualcuno alla fine ha capito se per avere l’autorizzazione alla fruizione in ambiente di produzione è comunque necessario prima fare richiesta in ambiente di collaudo? Noi abbiamo fatto richiesta di fruizione in produzione a Gennaio ed è ancora in via di approvazione.
Sicuramente ti posso dire che ISEE Residenti ha una approvazione più rapida di ISEE nazionale.
Detto ciò, noi abbiamo provveduto prima con collaudo e poi con produzione. Prova anche tu e togliti il dubbio.
Il servizio Consultazione Indicatore ISEE non mi risulta venga abilitato a nessun Comune (tranne forse alcuni molto grandi).
In alternativa ci sono i servizi Consultazione Indicatore ISEE Operatori (che però richiede il profilo AUDIT-REST-02-SAML) e Consultazione Indicatore Residenti ISEE (che però è solo per i residenti).
È corretto quello che scrivo?
Buongiorno,
anche noi stiamo cercando di integrarci tramite PDND per conto di un comune, ci hanno abilitato e-service Consultazioni ISEE Residenti (sia collaudo che produzione) ma non Consultazione ISEE Operatore o Consultazione ISEE. (Dall’ultimo messaggio INPS del 30-10-2025 sembra sia attivabile solo per comuni capoluogo di provincia). Ora per avere accesso al servizio dobbiamo mandare la scheda di adesione Modi all’INPS con gli IP che utlizzeremo per collaudo/prod? E’ necessario ancora creare un certificato e mandarlo insieme al modulo?
Sembra che per alcuni e-service serve un certificato generato da noi invece per altri serve una richiesta tramite un altro modulo per avere un certificato dall’INPS.
E’ corretto?
Grazie per l’aiuto
Buongiorno a tutti. Io sto cercando di contattare il servizio ConsultazioneAttestazione. Pur avendo seguito tutti i passi della documentazione ufficiale più anche quelli indicati nei vari commenti di questo thread ancora non riesco a ottenere una risposta se non un errore:
<?xml version='1.0' ?><env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/">
<env:Body>
<env:Fault>
<faultcode>env:Client</faultcode>
<faultstring>Internal Error</faultstring>
</env:Fault>
</env:Body>
</env:Envelope>
Per mia esperienza un “Internal Error” è un problema lato erogartore, qualcuno sa se esiste un supporto inps a cui chiedere? Ho provato sia con l’indirizzo email riportato in descrizione servizio del portale PDND che con quello di MODI.support@inps.it ma senza esito.
Grazie
Buongiorno a tutti, sto cercando di contattare il servizio ConsultazioneAttestazioneResidenti in ambiente di collaudo.
Dalla documentazione che ho a disposizione l’endpoint da contattare è il seguente:
https://api.collaudo.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneAttestazioneResidenti
L’IP da cui contatto l’endpoint è abilitato e nella richiesta includo anche il token PDND staccato in ambiente di collaudo per ConsultazioneAttestazioneResidenti.
La risposta che ottengo però è la seguente:
“There was no endpoint listening at https://api.collaudo.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneAttestazioneResidenti
that could accept the message. This is often caused by an incorrect address or SOAP action.”
Come se l’indirizzo non fosse corretto.
Mi chiedevo quindi se effettivamente l’endpoint che contatto è corretto oppure sbaglio qualcosa nella richiesta.
Qualcuno è riuscito con successo a contattare il servizio ConsultazioneAttestazioneResidenti oppure ha avuto un problema simile al mio?
Grazie in anticipo per l’aiuto.
Ho lo stesso problema verso questi due endpoint:
https://api.collaudo.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneIndicatoreResidenti https://api.collaudo.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneIndicatoreNucleoRiscontro
Ho provato a contattare oggi l’assistenza, speriamo rispondano.
Ipotizzo ci sia un filtro per IP lato INPS (se è così, io non ho comunicato il mio IP, ma anche su questo non ho avuto risposte nei giorni scorsi).
Ho anche chiesto se esiste un elenco di codici fiscali (e anche relativi protocolli DSU eventualmente) utilizzabili in ambiente di collaudo.
Ho avuto una risposta da INPS (ProgettoWelfareAsAService@inps.it).
C’è un filtro per IP e anche per client_id della PDND.
Gli enti devono compilare una scheda di adesione v8 con queste informazioni, sia per il collaudo che per la produzione (o per uno di essi).
Quando abbiamo sviluppato noi mesi fa chiedemmo e non esistevano codici fiscali di test.
Usammo un servizio mockato da noi creato per poi correggere una volta in produzione.
Confermo che non esistono codici fiscali di test, purtroppo.
Buonasera a tutti,
dopo aver tentato di contattare l’API Consultazione Indicatore Residenti ISEE, ora sto cercando di contattare l’API Consultazione Indicatore ISEE Operatori (per capirci https://api.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneAttestazione).
Questa API viene contattata tramite una web application scritta in C#.
Ho un dubbio su come devono essere popolate gli header delle richieste SOPA. A quanto ho tentato di capire dalla documentazione, questa API rispetta il profilo AUDIT-REST-02-SAML, e quindi:
-
Nell’header Authorization deve essere popolato con il token restituito dal PDND (“Bearer …”).
-
Deve poi essere generato un’altro token JWT e popolare l’header Agid-JWT-TrackingEvidence. Il suddetto token ha, per esempio, un body simile a questo:
{
“jti”: “9ee992a8-f3ba-4ca3-8fbc-c5b92aeb7946”,
“iat”: “1769445134”,
“iss”: “891262bf-f11d-4d7d-9ca0-44bed9734222”,
“sub”: “891262bf-f11d-4d7d-9ca0-44bed9734222”,
“client_id”: “891262bf-f11d-4d7d-9ca0-44bed9734222”,
“purposeId”: “52c1ef75-7f22-4a0d-8a28-4971e28f0109”,
“userID”: “BBBAAA11B226C333X”,
“userLocation”: “001”,
“LoA”: “SPID-2”,
“codice_ufficio”: “001”,
“saml_response”: “PHNhbWwycDpSZXNwb…”,
“exp”: 1769446334,
“aud”: “https://api.inps.it/pdnd/soap/ConsultazioneISEE/v2/ConsultazioneAttestazione”
}
Qualcuno è riuscito a contattare l’API Consultazione Indicatore ISEE Operatori ?? E se si, come popolate gli header delle richieste SOAP ?
Grazie in anticipo per l’aiuto.