Salve a tutti,
ieri notavo il sito https://federazione.servizicie.interno.gov.it in maintanance per aggiornamento.
Oggi ho trovato un sito totalmente rinnovato e un backend molto più funzionale.
Oltre a delle indubbie migliorie grafiche e di presentazione dei contenuti, ho notato una cosa molto importante e attesa da tempo, cioè la possibilità, per soggetti privati, di qualificarsi come aggregatori.
Non trovo però nessuna notizia ufficiale, comunicato o altro sul sito.
Qualcuno di voi ha qualche notizia in merito? Se non ho capito male ci si potrebbe registrare ed operare così come oggi avviene per i soggetti aggregatori di servizi (pubblici) SPID, con tutte le conseguenze del caso (accordo per i soggetti aggregati, log, ecc).
1 Mi Piace
Nessuno sa niente???
Premesso che non ne so molto più di te, un mio cliente (che sta lavorando su un portale per la PA) recentemente ha inoltrato la sua richiesta di accreditamento come soggetto aggregatore per l’autenticazione CIE.
Sperando che i tempi siano un pochino più rapidi di quelli per l’analogo accreditamento SPID: dopo 10 mesi di quella richiesta, sta ancora aspettando un feedback…
Si @madbob, nel frattempo siamo andati avanti ed effettivamente era come avevo pensato. Sinceramente i tempi sono stati molto stretti, la nostra richiesta di accreditamento come soggetti aggregatori è stata accettata in 2 giorni. Poi (a differenza di spid) l’aggiunto degli aggregati la fai in autonomia ed avviene istantaneamente. Il portale valida i metadata caricati, un paio di minuti e hai CIE attivo
1 Mi Piace
Grazie del riscontro!
Non mi capacito di come il mio cliente invece non abbia ancora ricevuto alcun aggiornamento dopo 10 giorni dall’iscrizione per la CIE, dopo già essere stati ignorati per quasi un anno per l’accreditamento SPID…
Amici di AgID in ascolto: io vi sto mandando le pull request per aggiustare spid-cie-php, voi in cambio mi date un segnale 
?
Salve Pasquale,
anche la mia azienda (partner tecnologico di alcune PA) vorrebbe approfittare di questo nuovo scenario CIE e finalmente federarsi come soggetto aggregatore (lo siamo già per SPID), per semplificare i passaggi amministrativi per la federazione di ciascuna PA (fino ad oggi abbiamo dovuto guidare ogni PA nella pratica amministrativa, prima di essere nominati referenti tecnici e da lì essere autonomi con i metadata).
Approfitto quindi per chiederle chi, all’interno del soggetto aggregatore, effettua la federazione CIE di un nuovo aggregato? Il referente amministrativo o quello tecnico (nell’ipotesi non coincidano)?
Il soggetto aggregatore è totalmente autonomo sul portale CIE rispetto alla PA? Oppure occorrono ancora compilazioni di form e firme digitali apposte su qualche documento direttamente dalla PA aggregata da federare?
Grazie
Ciao Massimiliano,
si capisco bene cosa vuoi dire.
Per quanto riguarda l’aggregatore CIE funziona esattamente come SPID. Tu ti accrediti come aggregatore in autonomia. Poi aggreghi gli enti tuoi clienti. La PA ha rapporto solo con te. Resta l’obbligo di formalizzare l’accordo, così come avviene per SPID.
Ciao Pasquale, riprendo questo discorso dopo un paio di mesi.
A gennaio abbiamo finalmente completato l’onboarding CIE della nostra società in qualità di soggetti aggregatori privati FULL di aggregati pubblici.
Orbene ora mi accingo a caricare il metadata del mio primo aggregato CIE in SAML2: purtroppo sulla documentazione tecnica online di CIE (Regole Tecniche CIE eID SAML | 1. Federazione) al paragrafo 1.3.6 ci sono solo esempi di metadata in qualità di service provider privato oppure service provider pubblico con partner tecnologico privato.
Ho provato a caricare il metadata con lo schema che ho usato fino al 2023, ovvero come service provider pubblico con partner tecnologico privato, e come immaginavo va in errore con messaggio:
La validazione della componente tecnica non è andata a buon fine.
[ContactPerson/Extensions/Private] Elemento non presente
La sezione del metadata incriminata è questa:
<md:Organization>
<md:OrganizationName xml:lang="it">denominazione pubblica amministrazione</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">denominazione pubblica amministrazione</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">sito web pubblica amministrazione</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="administrative">
<md:Extensions>
<cie:Public/>
<cie:IPACode>codice ipa pubblica amministrazione</cie:IPACode>
<cie:Municipality>codice catastale pubblica amministrazione</cie:Municipality>
</md:Extensions>
<md:Company>denominazione pubblica amministrazione</md:Company>
<md:EmailAddress>email pubblica amministrazione</md:EmailAddress>
</md:ContactPerson>
<md:ContactPerson contactType="technical">
<md:Extensions>
<cie:Private/>
<cie:VATNumber>partita iva partner tecnologico</cie:VATNumber>
<cie:FiscalCode>codice fiscale partner tecnologico</cie:FiscalCode>
<cie:NACE2Code>codice ateco partner tecnologico</cie:NACE2Code>
<cie:Municipality>codice catastale partner tecnologico</cie:Municipality>
</md:Extensions>
<md:Company>denominazione partner tecnologico</md:Company>
<md:EmailAddress>email referente tecnico</md:EmailAddress>
</md:ContactPerson>
Suppongo ci vogliano extension per aggregatore e aggregato: la documentazione tecnica al paragrafo 1.3.4 cita questo url per le extension https://www.cartaidentita.interno.gov.it/saml-extensions ma va in 404 
Tu sei riuscito a completare l’aggiunta di aggregati SAML2?
Se sì, saresti così gentile da passarmi un esempio di tuo metadata SAML2 di aggregato (ovviamente ripulito dei dati sensibili)?
Grazie 1000!
Risolto oggi dopo aver scritto a CIE Enti.
A beneficio di tutti riporto un esempio di metadata SAML di un soggetto aggregato pubblico, trasmesso da un soggetto aggregatore privato:
<?xml version="1.0" encoding="utf-8" standalone="no"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:cie="https://www.cartaidentita.interno.gov.it/saml-extensions" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="...">
<ds:Signature>
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>...</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>...</ds:SignatureValue>
<ds:KeyInfo>
<ds:KeyValue>
<ds:RSAKeyValue>
<ds:Modulus>...</ds:Modulus>
<ds:Exponent>...</ds:Exponent>
</ds:RSAKeyValue>
</ds:KeyValue>
<ds:X509Data>
<ds:X509Certificate>...</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>...</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://.../signout-cie" ResponseLocation="https://.../signout-cie"/>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://.../signin-cie" index="0" isDefault="true"/>
<md:AttributeConsumingService index="0">
<md:ServiceName xml:lang="">urn:uuid:...</md:ServiceName>
<md:RequestedAttribute Name="name"/>
<md:RequestedAttribute Name="familyName"/>
<md:RequestedAttribute Name="dateOfBirth"/>
<md:RequestedAttribute Name="fiscalNumber"/>
</md:AttributeConsumingService>
</md:SPSSODescriptor>
<md:Organization>
<md:OrganizationName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="it">denominazione soggetto aggregato (pubblica amministrazione)</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="it">sito web soggetto aggregato (pubblica amministrazione)</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="administrative">
<md:Extensions>
<cie:Private/>
<cie:VATNumber>partita iva soggetto aggregatore (partner tecnologico privato)</cie:VATNumber>
<cie:FiscalCode>codice fiscale soggetto aggregatore (partner tecnologico privato)</cie:FiscalCode>
<cie:NACE2Code>codice ateco soggetto aggregatore (partner tecnologico privato)</cie:NACE2Code>
<cie:Municipality>codice catastale soggetto aggregatore (partner tecnologico privato)</cie:Municipality>
</md:Extensions>
<md:Company>denominazione soggetto aggregatore (partner tecnologico privato)</md:Company>
<md:EmailAddress>email referente amministrativo soggetto aggregatore (partner tecnologico privato)</md:EmailAddress>
</md:ContactPerson>
</md:EntityDescriptor>
In pratica il soggetto aggregatore (partner tecnologico privato) va specificato in:
<md:ContactPerson contactType="administrative"><md:Extensions><cie:Private/>
senza specificare anche il contactType=“technical”
Mentre il soggetto aggregato (pubblica amministrazione) si risolve solo con md:Organization.
Non esistono extensions specifiche per aggregatori e aggregati, come invece previsto per SPID.
E dal 3 aprile si potrà accedere a questo portale solo tramite CIE o SPID… che gran follia…
Ma come si fa richiesta per diventare soggetti aggregatori per la CIE?
Posto che abbiamo già un account sul portale di federazione con quale abbiamo fatto gestito richieste di attivazione CIE per alcuni clienti, ma non come soggetto aggregatore, entrando in tale portale, passo alla vista “Referente Amministrativo”, da qui premo su “Nuova pratica”, poi inizia.
A quel punto mi chiede “Soggetto privato” o “Soggetto pubblico”, ma ancora non dice che si può fare richiesta per diventare soggetto aggregatore.
Premo su “Soggetto privato” dato che la nostra azienda è un privato che gestisce rapporti con le pubbliche amministrazioni (giusto?)
Quindi mi chiede codice fiscale e partita IVA oltre alla finalità operativa tra cui, finalmente, “Soggetto aggregatore”.
Oltre non sono andato per evitare di attivare azioni sbagliate, ma è corretta questa procedura?