Salve a tutti,
ieri notavo il sito https://federazione.servizicie.interno.gov.it in maintanance per aggiornamento.
Oggi ho trovato un sito totalmente rinnovato e un backend molto più funzionale.
Oltre a delle indubbie migliorie grafiche e di presentazione dei contenuti, ho notato una cosa molto importante e attesa da tempo, cioè la possibilità, per soggetti privati, di qualificarsi come aggregatori.
Non trovo però nessuna notizia ufficiale, comunicato o altro sul sito.
Qualcuno di voi ha qualche notizia in merito? Se non ho capito male ci si potrebbe registrare ed operare così come oggi avviene per i soggetti aggregatori di servizi (pubblici) SPID, con tutte le conseguenze del caso (accordo per i soggetti aggregati, log, ecc).
1 Mi Piace
Nessuno sa niente???
Premesso che non ne so molto più di te, un mio cliente (che sta lavorando su un portale per la PA) recentemente ha inoltrato la sua richiesta di accreditamento come soggetto aggregatore per l’autenticazione CIE.
Sperando che i tempi siano un pochino più rapidi di quelli per l’analogo accreditamento SPID: dopo 10 mesi di quella richiesta, sta ancora aspettando un feedback…
Si @madbob, nel frattempo siamo andati avanti ed effettivamente era come avevo pensato. Sinceramente i tempi sono stati molto stretti, la nostra richiesta di accreditamento come soggetti aggregatori è stata accettata in 2 giorni. Poi (a differenza di spid) l’aggiunto degli aggregati la fai in autonomia ed avviene istantaneamente. Il portale valida i metadata caricati, un paio di minuti e hai CIE attivo
1 Mi Piace
Grazie del riscontro!
Non mi capacito di come il mio cliente invece non abbia ancora ricevuto alcun aggiornamento dopo 10 giorni dall’iscrizione per la CIE, dopo già essere stati ignorati per quasi un anno per l’accreditamento SPID…
Amici di AgID in ascolto: io vi sto mandando le pull request per aggiustare spid-cie-php, voi in cambio mi date un segnale 
?
Salve Pasquale,
anche la mia azienda (partner tecnologico di alcune PA) vorrebbe approfittare di questo nuovo scenario CIE e finalmente federarsi come soggetto aggregatore (lo siamo già per SPID), per semplificare i passaggi amministrativi per la federazione di ciascuna PA (fino ad oggi abbiamo dovuto guidare ogni PA nella pratica amministrativa, prima di essere nominati referenti tecnici e da lì essere autonomi con i metadata).
Approfitto quindi per chiederle chi, all’interno del soggetto aggregatore, effettua la federazione CIE di un nuovo aggregato? Il referente amministrativo o quello tecnico (nell’ipotesi non coincidano)?
Il soggetto aggregatore è totalmente autonomo sul portale CIE rispetto alla PA? Oppure occorrono ancora compilazioni di form e firme digitali apposte su qualche documento direttamente dalla PA aggregata da federare?
Grazie
Ciao Massimiliano,
si capisco bene cosa vuoi dire.
Per quanto riguarda l’aggregatore CIE funziona esattamente come SPID. Tu ti accrediti come aggregatore in autonomia. Poi aggreghi gli enti tuoi clienti. La PA ha rapporto solo con te. Resta l’obbligo di formalizzare l’accordo, così come avviene per SPID.
Ciao Pasquale, riprendo questo discorso dopo un paio di mesi.
A gennaio abbiamo finalmente completato l’onboarding CIE della nostra società in qualità di soggetti aggregatori privati FULL di aggregati pubblici.
Orbene ora mi accingo a caricare il metadata del mio primo aggregato CIE in SAML2: purtroppo sulla documentazione tecnica online di CIE (Regole Tecniche CIE eID SAML | 1. Federazione) al paragrafo 1.3.6 ci sono solo esempi di metadata in qualità di service provider privato oppure service provider pubblico con partner tecnologico privato.
Ho provato a caricare il metadata con lo schema che ho usato fino al 2023, ovvero come service provider pubblico con partner tecnologico privato, e come immaginavo va in errore con messaggio:
La validazione della componente tecnica non è andata a buon fine.
[ContactPerson/Extensions/Private] Elemento non presente
La sezione del metadata incriminata è questa:
<md:Organization>
<md:OrganizationName xml:lang="it">denominazione pubblica amministrazione</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">denominazione pubblica amministrazione</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">sito web pubblica amministrazione</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="administrative">
<md:Extensions>
<cie:Public/>
<cie:IPACode>codice ipa pubblica amministrazione</cie:IPACode>
<cie:Municipality>codice catastale pubblica amministrazione</cie:Municipality>
</md:Extensions>
<md:Company>denominazione pubblica amministrazione</md:Company>
<md:EmailAddress>email pubblica amministrazione</md:EmailAddress>
</md:ContactPerson>
<md:ContactPerson contactType="technical">
<md:Extensions>
<cie:Private/>
<cie:VATNumber>partita iva partner tecnologico</cie:VATNumber>
<cie:FiscalCode>codice fiscale partner tecnologico</cie:FiscalCode>
<cie:NACE2Code>codice ateco partner tecnologico</cie:NACE2Code>
<cie:Municipality>codice catastale partner tecnologico</cie:Municipality>
</md:Extensions>
<md:Company>denominazione partner tecnologico</md:Company>
<md:EmailAddress>email referente tecnico</md:EmailAddress>
</md:ContactPerson>
Suppongo ci vogliano extension per aggregatore e aggregato: la documentazione tecnica al paragrafo 1.3.4 cita questo url per le extension https://www.cartaidentita.interno.gov.it/saml-extensions ma va in 404 
Tu sei riuscito a completare l’aggiunta di aggregati SAML2?
Se sì, saresti così gentile da passarmi un esempio di tuo metadata SAML2 di aggregato (ovviamente ripulito dei dati sensibili)?
Grazie 1000!
Risolto oggi dopo aver scritto a CIE Enti.
A beneficio di tutti riporto un esempio di metadata SAML di un soggetto aggregato pubblico, trasmesso da un soggetto aggregatore privato:
<?xml version="1.0" encoding="utf-8" standalone="no"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:cie="https://www.cartaidentita.interno.gov.it/saml-extensions" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="...">
<ds:Signature>
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>...</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>...</ds:SignatureValue>
<ds:KeyInfo>
<ds:KeyValue>
<ds:RSAKeyValue>
<ds:Modulus>...</ds:Modulus>
<ds:Exponent>...</ds:Exponent>
</ds:RSAKeyValue>
</ds:KeyValue>
<ds:X509Data>
<ds:X509Certificate>...</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>...</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://.../signout-cie" ResponseLocation="https://.../signout-cie"/>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://.../signin-cie" index="0" isDefault="true"/>
<md:AttributeConsumingService index="0">
<md:ServiceName xml:lang="">urn:uuid:...</md:ServiceName>
<md:RequestedAttribute Name="name"/>
<md:RequestedAttribute Name="familyName"/>
<md:RequestedAttribute Name="dateOfBirth"/>
<md:RequestedAttribute Name="fiscalNumber"/>
</md:AttributeConsumingService>
</md:SPSSODescriptor>
<md:Organization>
<md:OrganizationName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">sito web soggetto aggregato (pubblica amministrazione)</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="administrative">
<md:Extensions>
<cie:Private/>
<cie:VATNumber>partita iva soggetto aggregatore (partner tecnologico privato)</cie:VATNumber>
<cie:FiscalCode>codice fiscale soggetto aggregatore (partner tecnologico privato)</cie:FiscalCode>
<cie:NACE2Code>codice ateco soggetto aggregatore (partner tecnologico privato)</cie:NACE2Code>
<cie:Municipality>codice catastale soggetto aggregatore (partner tecnologico privato)</cie:Municipality>
</md:Extensions>
<md:Company>denominazione soggetto aggregatore (partner tecnologico privato)</md:Company>
<md:EmailAddress>email referente amministrativo soggetto aggregatore (partner tecnologico privato)</md:EmailAddress>
</md:ContactPerson>
</md:EntityDescriptor>
In pratica il soggetto aggregatore (partner tecnologico privato) va specificato in:
<md:ContactPerson contactType="administrative"><md:Extensions><cie:Private/>
senza specificare anche il contactType=“technical”
Mentre il soggetto aggregato (pubblica amministrazione) si risolve solo con md:Organization.
Non esistono extensions specifiche per aggregatori e aggregati, come invece previsto per SPID.
1 Mi Piace
Ma sono obbligatori NACE2Code e Municipality? E il codice IPA dell’ente non si deve mettere?
Nello scenario da me illustrato, ovvero:
Soggetto aggregatore privato
Soggetto aggregato ente pubblico
Allora:
NACE2Code del soggetto aggregatore privato è obbligatorio
Municipality del soggetto aggregatore privato è obbligatorio
IPA Code del soggetto aggregato ente pubblico NON si mette da nessuna parte
Grazie. È lo stesso scenario mio: soggetto aggregatore privato (che mi viene da definire “partner tecnologico”) e soggetto aggregato pubblico (è una pubblica amministrazione dotata di codice IPA).
Anche se dalla documentazione che ho trovato qui: Regole Tecniche CIE eID SAML | 1. Federazione il metadata strutturato a quel modo sembrerebbe essere adeguato allo scenario dove sia aggregatore che aggregato sono privati.
Concordo.
Purtroppo CIE non ha aggiornato la documentazione con esempi di metadata per tutta la matrice di nuovi scenari con Soggetto Aggregatore (pubblico o privato) e Soggetto aggregato (pubblico o privato)… bisogna andare un po’ per tentativi e/o, come ho fatto io, scrivendo a CIE Enti passandogli l’esempio di metadata non funzionante e sperando che dicano come sistemarlo.
Motivo per cui poi ho postato qui un esempio di metadata di questo scenario, non presente in documentazione 
In ogni caso, tornando ai tag, in questo scenario gli unici dati da passare del soggetto aggregato ente pubblico sono solo questi tre:
<md:Organization>
<md:OrganizationName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">sito web soggetto aggregato (pubblica amministrazione)</md:OrganizationURL>
</md:Organization>
In pratica a CIE non interessa altro dell’ente pubblico, tanto il “contratto di federazione” ce l’ha solo con il soggetto aggregatore cui ricade tutta la responsabilità della corretta gestione dell’aggregato.
1 Mi Piace
Ho appena creato le componenti tecniche sia per preproduzione che per produzione. Risultano federate ma se tento di inviare la richiesta di autenticazione appare, in entrambi i casi, l’errore “L’applicazione a cui hai acceduto non è registrata per l’utilizzo con questo servizio.” Forse bisogna attendere qualche allineamento di sistema.
Niente, avevo sbaglio io a mettere l’entityID, mettendolo con la stessa struttura richiesta da SPID con soggetto aggregatore, invece bisogna mettere l’URL di base del sito da cui si farà login, proprio come SPID e CIE senza soggetto aggregatore.
Certo che la documentazione, a cui ti rimandano sempre, è molto lacunosa e mi chiedo perché sembra che a tutti vada bene così.
Tra l’altro all’inizio non riuscivo nemmeno a creare le componenti tecniche entrando come referente tecnico, poi ho intuitivamente capito perché: l’amministratore non deve solo aggiungere i referenti tecnici, ma anche abilitarli! Ma il senso?
Quando ho chiesto aiuto ai tecnici di CIE inviando gli screenshot di ciò che vedevo e dicendo che siamo già soggetto aggregatore, hanno risposto dicendo che prima bisogna fare richiesta di per diventare soggetto aggregatore e solo dopo si avrà la possibilità di creare enti aggregati. E meno male che avevo ben scritto che siamo già soggetto aggregatore. Sembra che non abbiano nemmeno guardato gli screenshot che ho mandato altrimenti avrebbero capito che mi mancava l’abilitazione, sebbene fossi stato inserito come referente tecnico…o forse non lo sanno nemmeno loro. Lascia tutto molto a desiderare.