Problema gestione univocità utenti

Ciao,
non sono esperto di SPID e ho letto la documentazione tecnica in maniera rapida. Dovrei pensare a come realizzare una gestione utenti centralizzata.
Al momento non mi è chiaro come fanno gli applicativi a rendere i servizi “profilati” dopo aver effettuato l’autenticazione con un IDP.
Esempio:

  • utente accede al sito del comune “X” ed effettua l’autenticazione con SPID
  • il sistema mostra l’elenco dei dati relativi al servizio “pagamento tasse” per l’utente mostrando quelle già pagate e quelle da pagare
    Cosa viene utilizzato per recuperare i dati profilati per utente dato che
  1. il codice fiscale non è univoco per natura
  2. l’indirizzo email è univoco ma potrebbe essere stato usato su più di un IDP e cambiato nel tempo sullo stesso SPID
  3. un utente può avere più SPID code associati ma dovrebbe vedere gli stessi dati una volta loggato
    In base ai tipi di “Purpose”, nei casi di valori multipli quale delle due modalità di profilazione utente deve essere usata, compare una scelta per l’utente?
    Se viene invocato un servizio da back-end saltando l’autenticazione, come solitamente viene gestita a livello di sicurezza e gestione di profilazione del dato?

in che senso?
In Italia non c’è niente di più univoco del codice fiscale…

1 Mi Piace

che io sappia possono esserci più persone con lo stesso codice fiscale Omocodia: persone con lo stesso codice fiscale, cosa fare? - Fiscomania

No, non possono esserci due codici fiscali identici, perché l’agenzia delle entrate, nei casi di omocodia semplicemente assegna un nuovo CF all’ultimo arrivato.
Si comincia a modificare l’ultima lettera del CF, se non è sufficiente si passa agli altri caratteri.

Il concetto è che il codice fiscale di una persona è SOLO quello assegnato dall’agenzia delle entrate, che tiene conto delle probabili omocodie.

Il CF che calcoli ad esempio con i vari tool online, è veritiero nel senso che è calcolato rispettando l’algoritmo, ma non tiene conto di eventuali codici identici già assegnati.

5 Mi Piace

grazie mille per la tua risposta, non sapevo nulla a riguardo.
Per quanto riguarda invece il punto 3) immagino che è necessario implementare la gestione della sicurezza e della profilazione dati su ogni applicativo successivo al login.
Di solito che approcci o tecnologie vengono utilizzati? A parte l’id richiesta e la data della scadenza (ricevuti nella risposta di login) ci sono altre informazioni per distinguere la sessione utente in modo univoco?(token?)