Mantenere la sessione SPID su più siti

andrea441 · 18 Febbraio 2025, 8:40am

Salve,
vorrei capire se è possibile mantenere la sessione SPID attiva tra più siti web senza richiedere all’utente di autenticarsi nuovamente ogni volta.

Il caso d’uso è il seguente:

Un utente si autentica con SPID su un primo sito (sito1.it).

Accedendo a un secondo sito (sito2.it), l’utente dovrebbe essere riconosciuto automaticamente senza dover eseguire nuovamente l’autenticazione SPID.

È possibile ottenere questo comportamento? Se sì, quale sarebbe l’approccio corretto per implementarlo nel rispetto delle linee guida SPID?

Grazie per il supporto!

AGS · 18 Febbraio 2025, 9:05am

E’ possibile solo se entrambi i siti usano una identificazione SPID L1, entro 30 minuti dalla prima identificazione.
Se il sito1 utilizza SPID L2 o L3, non è possibile.
Se il sito1 utilizza SPID L1 e il sito2 SPID L2 o L3, al momento dell’accesso sul sito2, sempre se entro i 30 minuti, non viene richiesto l’inserimento del login e password, ma solo l’OTP e/o le credenziali di livello 3.

E’ spiegato nell’Avviso SPID n°3

Lucio_Chiappetti · 18 Febbraio 2025, 10:06am

Io uso la CNS non SPID, e fino a che la CNS e’ nel lettore ed e’ stato fatto il login dal browser (ossia inserito il PIN) posso passare da AdE a INPS al FSE (mi parfe dando un OK ogni volta)

damikael · 20 Febbraio 2025, 10:02am

Buongiorno @andrea441 ,
se i diversi siti sono servizi appartenenti allo stesso ente, e l’implementazione è di tipo proxy, è possibile realizzare Single Sign On tra i diversi siti-servizi mantenendo la sessione sul proxy che realizza il sistema di autenticazione in maniera centralizzata, indipendentemente dal livello. Chiaramente l’autenticazione sarà unica, pertanto tutti i siti-servizi condivideranno lo stesso livello di autenticazione.

andrea441 · 20 Febbraio 2025, 10:44am

Ciao Michele
grazie per la risposta.
Quindi, se ci trovassimo su un ente X con accesso SPID di livello L2 e un utente effettuasse l’accesso, nel caso in cui fosse necessario collegarsi a un altro ente, non sarebbe possibile mantenere la continuità del servizio, corretto?

damikael · 20 Febbraio 2025, 2:37pm

Corretto, come spiegava anche @AGS, se sono enti diversi (quindi non è possibile l’implementazione da proxy) e la prima autenticazione è a livello 2, non esiste sessione sull’IdP, pertanto non è possibile mantenere la sessione applicativa.