sto completando con un cliente la pratica di Integrazione CIE sul portale digitale 2026. Mi sono bloccato nel momento in cui mi viene richiesta l’integrazione con OpenID Connect come di seguito:
a) chiedi al tuo fornitore se usa saml2 o openidconnect per ENTRA CON CIE
b) se caso saml2 devi fare il corso o far passare a oidc
c) se caso oidc senti il tuo account manager per capire come mai non riesci a risolvere quanto sopra
Ti ringrazio intanto molto per la risposta. In realtà scrivevo per conto del cliente ma ho fornito io CIE/SPID. Domanda magari scontata, hai per caso un riferimento su come passare a oidc? Se esiste della documentazione tecnica o un link da poter verificare.
ti ringrazio intanto per il costante supporto. Temo di essermi un attimo perso nella documentazione da te linkata.
Attualmente io (faccio le veci di fornitore IT per una azienda operante nel settore pubblico) ho già una configurazione con SAML2 funzionante in ambiente di prod (metadata validato, certificati validati e tutto quello che serve). Ci sono ulteriori operazioni “burocratiche” (per le quali è necessario validare o registrare qualcosa tra ente pubblico e Agid) da fare poter validare anche la parte oidc?
Esiste magari una guida step by step per l’onBoarding tramite oidc?
Leggevo dei Trust Mark, quelli sono sempre pari alla chiave “eyJhbGc…”? Ti ringrazio ancora per l’aiuto.
si tratta dello stesso documento che mi hai condiviso nella scorsa risposta. Non sono riuscito a comprendere se ci sono degli step autorizzativi da fare per cui potrebbero volerci dei tempi burocratici.
Esiste magari una guida step by step per l’onBoarding tramite oidc?
SAML2 e OIDC sono due protocolli completamente diversi,
per ottenere la federazione in CIE su protocollo OIDC, occorre realizzare un sistema di autenticazione basato su protocollo OIDC, conforme alle regole tecniche condivise da @Andrea_Tironi1 .
Ai link:
in fondo alle pagine, tra le risorse elencate, trovi anche SDK OIDC resi disponibili dalla community degli sviluppatori.
Realizzato il sistema, occorre entrare sul portale di federazione CIE (https://federazione.servizicie.interno.gov.it/) in qualità di referente tecnico per l’ente e registrare una nuova componente tecnica su protocollo OIDC indicando il riferimento all’entity configuration del Relying Party implementato.
ti ringrazio moltissimo per il supporto. Sei stato veramente chiaro, avevo già intenzione di utilizzare una delle SDK OICD indicate in quelle pagine.
Solo una domanda in merito all’ultimo punto: “Realizzato il sistema, occorre entrare sul portale di federazione CIE” questo è chiarissimo io ho già seguito una pratica per CIE SAML2 sul quel portale, occorre fare qualcosa invece per SPID?
Ciao @mar.rossini
nel primo campo devi mettere il tuo client_id, non il link all’Entity Configuration, ci pensa il server CIE a recuperarla (attenzione alla gestione della slash finale, nel caso tu usassi il componente java ed avessi il client_id con la slash, devi gestire il mapping della request).
ti ringrazio intanto per la risposta. Per client_id intendi OrganizationName della RP?
In più, per poter generare quel json, poniamo il tuo caso Java, devo avviare in locale l’app come da indicazioni, impostare i parametri relativi alla mia RP ed effettuare IN LOCALE l’onboarding? Altrimenti temo proprio mi sia sfuggito come generare quella chiave di federazione
Ci sono alcune precondizioni prima di fare onboarding, alcune sono scritte nella pagina che ti ho linkato, in breve devi avere esposto in Internet il tuo Relaying Party con un FQDN e un cert TLS valido, possibilmente da IP italiani (altrimenti devi chiedere lo sblocco e i tempi si allungano) e fare attenzione ai campi contacts, le cui mail devono corrispondere a quella inserita nella pratica amministrativa.
Nel tuo caso con Aspnetcore nella webapp di esempio, popoli i campi appositi in appsettings.json
La generazione delle chiavi spetta a te e (nelle lib java e python invece le chiavi vengono generate per agevolare l’implementazione). Attenzione a non includere i dati relativi al certificato x509 (i claim x5c, x5t), dovresti generare chiavi raw, altrimenti avresti un errore in onboarding. Se non sai come fare, potresti provare ad usare https://mkjwk.org/
Quando hai fatto il tutto, l’EC in formato JWT viene generata dinamicamente dalla webapp collegandosi a: https://whatever/.well-known/openid-federation
La versione json sta qui: https://whatever/.well-known/openid-federation/json
Dentro ritroverai la chiave di federazione in formato jwks e potrai copiarla ed incollarla nella pagina di onboarding secondo la modalita’ descritte nella pagina che ti ho linkato.
Confesso che non sto utilizzando la lib aspnetcore, quindi non so darti al momento un aiuto concreto nell’eventuale risoluzione di problemi implementativi, ma posso almeno indirizzarti se necessario.