menu di navigazione del network

Registro SPID e discovery service

Buongiorno,

vorrei implementare un discovery service per acquisire automaticamente l’elenco degli IDP.

Esiste un servizio SOAP o REST che restituisce tale elenco?
In caso negativo devo basarmi sulla pagina:
http://www.agid.gov.it/infrastrutture-architetture/spid/identity-provider-accreditati

?

Grazie

Ciao @Valerio_Mozzambani,
si https://registry.spid.gov.it

Umberto Rosini
Agenzia per l’Italia Digitale

Ho provato a consultare l’elenco dei Comuni fornitori di servizi (https://registry.spid.gov.it/service-providers), mi pare che il contenuto dell’entityId sia un po’ disomogeneo e comunque sembrerebbe che spesso non sia valido.

  • Come devono essere interpretate le informazioni pubblicate?
  • Perché alcuni record sono duplicati?
  • Perché mancano numerosi comuni che sono sicuro siano stati attivati?

Comune di Alatri https://sportellotelematico.comune.alatri.fr.it/ Risponde
Comune di Bari https://www.comune.bari.it/sp 404
Comune di Bergamo https://spidsp.comune.bergamo.it No https e poi errore
Comune di Bergamo https://spidsp.comune.bergamo.it No https e poi errore
Comune di Borgo San Lorenzo https://wifi.comune.borgo-san-lorenzo.fi.it/auth/module.php/saml/sp/metadata.php/comuneborgosanlorenzo-sp Metadati
Comune di Chiampo portal.comune.chiampo.vi.it Non valido
Comune di Cigliano https://spid.ciglianodigitale.it:4431/shibboleth 404
Comune di Cigliano https://spid.ciglianodigitale.it:4431/shibboleth 404
Comune di Codogno https://servizionline.comune.codogno.lo.it Risponde
Comune di Como https://istanzeonline.comune.como.it/simplesaml/module.php/saml/sp/metadata.php/como-sp Metadati
Comune di Desio https://www.comune.desio.mb.it/serviziSPID 404
Comune di Diamante https://diamante.gov.it Risponde
Comune di Diamante https://diamante.gov.it Risponde
Comune di Firenze https://identificazione.055055.it:443/lineacomune-spid Forbidden
Comune di Firenze https://servizionline.comune.fi.it/spidsimplesaml/module.php/saml/sp/metadata.php/ssocdf-sp Metadati
Comune di Genova https://vm-siracssotest.comune.genova.it/sirac-sso/metadata Metadati
Comune di Mantova https://www.sut.comune.mantova.gov.it/ Risponde
Comune di Milano https://www.comune.milano.it/sps/ComuneMilanoSPID/saml20 404
Comune di Pisa www.comune.pisa.it Risponde
Comune di Poggibonsi https://sit.spid.comune.poggibonsi.si.it/metadata/poggibonsi_pratiche_edilizie-sp Metadati
Comune di Roma https://www.comune.roma.it/federation Risponde
Comune di Rosignano Marittimo https://www.comune.rosignano.livorno.it/serviziSPID Risponde una pagina TestSPID
Comune di San Bonifacio https://www.comune.sanbonifacio.vr.it/serviziSPID 404
Comune di Siena cig:comune:siena:it Non è un URL
Comune di Treviglio https://www.sportellounicotreviglio.it/ Risponde
Comune di Treviglio https://www.sportellounicotreviglio.it/ Risponde
Comune di Venezia https://spid.venezia.it Risponde
Comune di Verona https://spid.comune.verona.it Risponde
Comune di Viterbo https___spid.comune.viterbo.it Non è un URL

Pur non essendo autorevole credo che non si tratti dell’elenco degli enti attivati bensì l’elenco dei service provider da trustare, mi spiego meglio:
è possibile che N enti espongano servizi all’utenza tramite un intermediario (quindi trovi un solo entityID per n enti)
è possibile che 1 ente esponga servizi per tramite diversi N sistemi di integrazione (quindi trovi N enityID per 1 ente)

Riguardo ai campi abbiamo:
*denominazione dell’ente
*enityID : che è un identificativo e non necessariamente un indirizzo dove è pubblicato qualcosa
*codice ipad dell’ente che eroga un sp

insomma si tratta di dati utili alla configurazione ma non alla ricerca di servizi o a determinare quali enti offrano servizi tramite spid.

non lo so

Una motivazione può essere che il dato NON elenca i comuni attivi ma gli enti che espongono SP

1 Like

Ciao @emmedi, ciao @Luca_Bonuccelli,
confermo quanto detto da Luca, ci sono organizzazioni tra cui Regione Toscana, Emilia Romagna che offrono servizi ad altre amministrazioni, pertanto queste amministrazioni che sono “aggregate” non sono presenti.
La duplicazione è dovuta a delle eccezioni per alcuni SP che stanno rientrando nella logica del solo metadata.
Il Registro SP, tra l’altro, è ad uso degli Identity Provider mentre quello utile agli SP il registro IDP.

Sto terminando la modifica del registro con ulteriori informazioni.

Ciao
Umberto Rosini
Agenzia per l’Italia Digitale

@umbros questi sono Enti nostri clienti che hanno attivato SPID (singolarmente):

Sono presenti sul Registro per gli IDP.

Umberto Rosini
Agenzia per l’Italia Digitale

:face_with_raised_eyebrow:
Umberto scusa la domada diretta, ma quanti e quali registri e o cataloghi esistono?
Quali esisteranno?
quali smetteranno di esistere?

Grazie

1 Like

@Luca_Bonuccelli 1 registro.
Come ho detto il Registro SP non è aperto al pubblico e non è neanche utile al pubblico tanto che non dovrebbe neanche essere lì l’elenco. Quindi ti chiedo di attendere l’aggiornamento che avverra settimana prossima.

Ciao

Umberto Rosini
Agenzia per l’Italia Digitale

@umbros: perchè il registro SP non è aperto al pubblico? Se io volessi sapere quali e quanti sono i SP attivi su SPID come faccio?
Non mi pare che ci dovrebbe essere nulla di riservato, anzi!

@emmedi,
è una raccomandazione del Garante.

Umberto Rosini
Agenzia per l’Italia Digitale

per cortesia puoi condividere il documento del garante: la raccomandazione e soprattutto la ratio che ha portato a questa raccomandazione potrebbe essere preziosa per tutti i registri.
Grazie

io ricordo questo passaggio:
5.15. Riguardo a quanto previsto dall’art. 26 (Registro SPID), occorre specificare a quali soggetti “appartenenti al circuito SPID” è accessibile il registro predisponendo, ove necessario, modalità selettive di consultazione (v. par. 4.1 dello schema di regolamento recante le regole tecniche). Inoltre, la previsione di “instaurazione di una relazione di fiducia con tutti i soggetti già aderenti, accreditati dall’Agenzia, sulla base della condivisione dei livelli standard di sicurezza dichiarati e garantiti da SPID” in esso contenuta appare troppo generica e ampia: mentre è certamente vero che i Service Provider debbano fare affidamento sugli Identity Provider in una trust relationship, non c’è motivo per cui debba valere il viceversa. Dal punto di vista degli scenari di rischio che andrebbero, come già detto, preventivamente analizzati, il threat model deve includere la possibilità che il fornitore di servizi possa essere di tipo malicious e cerchi di abusare del protocollo per impersonare utenti o gestori dell’identità digitale. In assenza di cautele la presenza di un fornitore di servizi compromesso, anche a seguito di incidente informatico, basterebbe a compromettere l’intero sistema. Per motivi analoghi non va assunta l’esistenza di una automatica relazione di trust tra i vari fornitori di servizi.

Ma non mi pare trovi applicazione nella non pubblicazione dell’elenco degli SP, anzi.

1 Like

Ciao @Luca_Bonuccelli,
fammi opportuna richiesta visto che sei dipendente di una PA, non su un forum. Grazie.

Umberto Rosini
Agenzia per l’italia Digitale

Perché, non è di dominio pubblico?

???

Sto chiedendo come libero professionista, cittadino italiano, essere umano.

Puoi indicare quale sia l’“opportuna modalità” della richiesta?
Grazie

1 Like

Ciao @emmedi, @Luca_Bonuccelli,
non parlo di diffusione del documento, che tra l’altro è necessario controllare se trattasi di documento ad uso interno o pubblico, quanto di maggiori informazioni sul tema.
@emmedi a cosa ti serve sapere gli SP quando ora con servizi.gov.it mapperemo tutti i servizi anche aggregati?

Grazie e ciao
Umberto Rosini
Agenzia per l’Italia Digitale

L’art. 52 del CAD non prevede che le persone fisiche e giuridiche debbano dire a cosa servono loro i dati. :wink:
Se il documento è pubblico posso farne uso, altrimenti non pubblicatelo.

Ero da telefonino e non ho letto che era già stato riportato il parere:

Per opportunità riporto il link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4257475

5.15. Riguardo a quanto previsto dall’art. 26 (Registro SPID), occorre specificare a quali soggetti “appartenenti al circuito SPID” è accessibile il registro predisponendo, ove necessario, modalità selettive di consultazione (v. par. 4.1 dello schema di regolamento recante le regole tecniche). Inoltre, la previsione di “instaurazione di una relazione di fiducia con tutti i soggetti già aderenti, accreditati dall’Agenzia, sulla base della condivisione dei livelli standard di sicurezza dichiarati e garantiti da SPID” in esso contenuta appare troppo generica e ampia: mentre è certamente vero che i Service Provider debbano fare affidamento sugli Identity Provider in una trust relationship, non c’è motivo per cui debba valere il viceversa. Dal punto di vista degli scenari di rischio che andrebbero, come già detto, preventivamente analizzati, il threat model deve includere la possibilità che il fornitore di servizi possa essere di tipo malicious e cerchi di abusare del protocollo per impersonare utenti o gestori dell’identità digitale. In assenza di cautele la presenza di un fornitore di servizi compromesso, anche a seguito di incidente informatico, basterebbe a compromettere l’intero sistema. Per motivi analoghi non va assunta l’esistenza di una automatica relazione di trust tra i vari fornitori di servizi.

Detto questo ecco il motivo. Il Garante ha segnalato e AgID ha applicato.

Buona serata

Umberto Rosini
Agenzia per l’Italia Digitale

Scusa Umberto se mi ripeto, il mio vuole essere un contributo: nel parere del garante non si trova scritto che il registro idp debba essere pubblico e quello sp no.

Vi è scritto che , dato che l’art 26 prevede il “registro ad uso degli apparteneti al circuito SPID” i dati contenuti nel registro devono essere visibili solo a chi ne ha bisogno, quindi:

Gli SP vedono gli IDP e le AA
Le AA vedono gli SP
Gli IDP vedono gli SP

Nulla invece parrebbe pubblico (proprio in virtù dell’articolo 26 delle modalità attuative scritte da AGID).

Spero di aver dato un contributo.

@Luca_Bonuccelli, sempre utili i contributi, ho messo in neretto la frase del parere del garante che cita l’art. 26 infatti, e stai esattamente confermando quello che dicevo ovvero che non è necessario conoscere, per altri SP, i dati e le informazioni degli SP.

Buona serata

Umberto Rosini
Agenzia per l’Italia Digitale