Buongiorno,
uno user si autentica con SPID per usare un’applicazione del fornitore di servizio A, iscritto al registro dei service provider SPID.
L’applicazione chiama un’API esposta dal fornitore di servizio B, anch’esso iscritto al registro dei service provider SPID, con modalità compatibili a quelle descritte dalle Linee Guida AGID sull’Interoperabilità per la PA (https://docs.italia.it/italia/piano-triennale-ict/lg-modellointeroperabilita-docs/it/bozza/index.html)
L’implementazione dell’API B richiede che gli venga passato lo user in input, per applicare una policy di accesso alle risorse che dipende dall’identità dello user, ad esempio basata su un approccio di tipo Attribute Based Access Control (ABAC).
La prima cosa che viene in mente è usare un ID Token che permetta al fornitore di servizio B di ricevere l’identità dello user ed un set di API di security per verificarlo.
Le API SPID, ed in particolare quelle che implementeranno le linee guida per l’integrazione con OpenID Connect (https://docs.italia.it/AgID/documenti-in-consultazione/lg-openidconnect-spid-docs/it/bozza/index.html) permettono uno scenario tipo quello descritto?
In caso contrario, e specialmente se l’implementazione dello scenario descritto che poggia su OpenID Connect non è nemmeno prevista in prospettiva, quale sarebbe il modo migliore per implementarlo allo stato attuale?
Grazie e cordiali saluti,
Corrado Tamietti