Ho provato a consultare l’elenco dei Comuni fornitori di servizi (Registro SPID - Service Providers), mi pare che il contenuto dell’entityId sia un po’ disomogeneo e comunque sembrerebbe che spesso non sia valido.
Come devono essere interpretate le informazioni pubblicate?
Perché alcuni record sono duplicati?
Perché mancano numerosi comuni che sono sicuro siano stati attivati?
Pur non essendo autorevole credo che non si tratti dell’elenco degli enti attivati bensì l’elenco dei service provider da trustare, mi spiego meglio:
è possibile che N enti espongano servizi all’utenza tramite un intermediario (quindi trovi un solo entityID per n enti)
è possibile che 1 ente esponga servizi per tramite diversi N sistemi di integrazione (quindi trovi N enityID per 1 ente)
Riguardo ai campi abbiamo:
*denominazione dell’ente
*enityID : che è un identificativo e non necessariamente un indirizzo dove è pubblicato qualcosa
*codice ipad dell’ente che eroga un sp
insomma si tratta di dati utili alla configurazione ma non alla ricerca di servizi o a determinare quali enti offrano servizi tramite spid.
non lo so
Una motivazione può essere che il dato NON elenca i comuni attivi ma gli enti che espongono SP
Ciao @emmedi, ciao @Luca_Bonuccelli,
confermo quanto detto da Luca, ci sono organizzazioni tra cui Regione Toscana, Emilia Romagna che offrono servizi ad altre amministrazioni, pertanto queste amministrazioni che sono “aggregate” non sono presenti.
La duplicazione è dovuta a delle eccezioni per alcuni SP che stanno rientrando nella logica del solo metadata.
Il Registro SP, tra l’altro, è ad uso degli Identity Provider mentre quello utile agli SP il registro IDP.
Sto terminando la modifica del registro con ulteriori informazioni.
@Luca_Bonuccelli 1 registro.
Come ho detto il Registro SP non è aperto al pubblico e non è neanche utile al pubblico tanto che non dovrebbe neanche essere lì l’elenco. Quindi ti chiedo di attendere l’aggiornamento che avverra settimana prossima.
@umbros: perchè il registro SP non è aperto al pubblico? Se io volessi sapere quali e quanti sono i SP attivi su SPID come faccio?
Non mi pare che ci dovrebbe essere nulla di riservato, anzi!
per cortesia puoi condividere il documento del garante: la raccomandazione e soprattutto la ratio che ha portato a questa raccomandazione potrebbe essere preziosa per tutti i registri.
Grazie
io ricordo questo passaggio: 5.15. Riguardo a quanto previsto dall’art. 26 (Registro SPID), occorre specificare a quali soggetti “appartenenti al circuito SPID” è accessibile il registro predisponendo, ove necessario, modalità selettive di consultazione (v. par. 4.1 dello schema di regolamento recante le regole tecniche). Inoltre, la previsione di “instaurazione di una relazione di fiducia con tutti i soggetti già aderenti, accreditati dall’Agenzia, sulla base della condivisione dei livelli standard di sicurezza dichiarati e garantiti da SPID” in esso contenuta appare troppo generica e ampia: mentre è certamente vero che i Service Provider debbano fare affidamento sugli Identity Provider in una trust relationship, non c’è motivo per cui debba valere il viceversa. Dal punto di vista degli scenari di rischio che andrebbero, come già detto, preventivamente analizzati, il threat model deve includere la possibilità che il fornitore di servizi possa essere di tipo malicious e cerchi di abusare del protocollo per impersonare utenti o gestori dell’identità digitale. In assenza di cautele la presenza di un fornitore di servizi compromesso, anche a seguito di incidente informatico, basterebbe a compromettere l’intero sistema. Per motivi analoghi non va assunta l’esistenza di una automatica relazione di trust tra i vari fornitori di servizi.
Ma non mi pare trovi applicazione nella non pubblicazione dell’elenco degli SP, anzi.
Ciao @emmedi, @Luca_Bonuccelli,
non parlo di diffusione del documento, che tra l’altro è necessario controllare se trattasi di documento ad uso interno o pubblico, quanto di maggiori informazioni sul tema. @emmedi a cosa ti serve sapere gli SP quando ora con servizi.gov.it mapperemo tutti i servizi anche aggregati?
Grazie e ciao
Umberto Rosini
Agenzia per l’Italia Digitale
L’art. 52 del CAD non prevede che le persone fisiche e giuridiche debbano dire a cosa servono loro i dati.
Se il documento è pubblico posso farne uso, altrimenti non pubblicatelo.
5.15. Riguardo a quanto previsto dall’art. 26 (Registro SPID), occorre specificare a quali soggetti “appartenenti al circuito SPID” è accessibile il registro predisponendo, ove necessario, modalità selettive di consultazione (v. par. 4.1 dello schema di regolamento recante le regole tecniche). Inoltre, la previsione di “instaurazione di una relazione di fiducia con tutti i soggetti già aderenti, accreditati dall’Agenzia, sulla base della condivisione dei livelli standard di sicurezza dichiarati e garantiti da SPID” in esso contenuta appare troppo generica e ampia: mentre è certamente vero che i Service Provider debbano fare affidamento sugli Identity Provider in una trust relationship, non c’è motivo per cui debba valere il viceversa. Dal punto di vista degli scenari di rischio che andrebbero, come già detto, preventivamente analizzati, il threat model deve includere la possibilità che il fornitore di servizi possa essere di tipo malicious e cerchi di abusare del protocollo per impersonare utenti o gestori dell’identità digitale. In assenza di cautele la presenza di un fornitore di servizi compromesso, anche a seguito di incidente informatico, basterebbe a compromettere l’intero sistema. Per motivi analoghi non va assunta l’esistenza di una automatica relazione di trust tra i vari fornitori di servizi.
Detto questo ecco il motivo. Il Garante ha segnalato e AgID ha applicato.
Scusa Umberto se mi ripeto, il mio vuole essere un contributo: nel parere del garante non si trova scritto che il registro idp debba essere pubblico e quello sp no.
Vi è scritto che , dato che l’art 26 prevede il “registro ad uso degli apparteneti al circuito SPID” i dati contenuti nel registro devono essere visibili solo a chi ne ha bisogno, quindi:
Gli SP vedono gli IDP e le AA
Le AA vedono gli SP
Gli IDP vedono gli SP
Nulla invece parrebbe pubblico (proprio in virtù dell’articolo 26 delle modalità attuative scritte da AGID).
@Luca_Bonuccelli, sempre utili i contributi, ho messo in neretto la frase del parere del garante che cita l’art. 26 infatti, e stai esattamente confermando quello che dicevo ovvero che non è necessario conoscere, per altri SP, i dati e le informazioni degli SP.