Ok, direi che sicuramente la cosa che si può iniziare ad attivare è quella di individuare quali attributi qualificati possono essere rilasciati dal MIUR e fare il punto su ORCID. Metto l’argomento nel weekly meeting settimanale che si terrà il prossimo giovedì (22 giugno) alle 16:30.
Ovviamente conto nella tua partecipazione
Umberto Rosini
Agenzia per l’Italia Digitale
@bonariabiancu, concordo con lei che ci potrebbero essere molte convergenze fra orcid e spid.
L’hub orcid potrebbe diventare una attribute autority in quanto può recuperare le informazioni per ogni utente (avendo avuto le aturoizzazioni oauth da parte di ogni utente).
@bonariabiancu per quanto riguarda le preimmatricolazioni già adesso SPID rilascia alcuni attributi che possono essere usati a tal fine, ovviamente poter leggere da una attribute autority informazioni sul diploma sarebbe un bel passo avanti.
@umbros, nell’esposizione di API REST, attualmente SAML non è il protocollo adatto per proteggerle sai dirmi verso che protocollo vi state orientando per proteggere tali API?
Noi come Cineca, come penso saprai, abbiamo già implementato il gateway SPID da installare sull’idp shibboleth d’ateneo, ma per quanto riguarda l’esposizione delle API REST stiamo andando nella direzione di rilasciare un Oauth 2 server presso ogni ateneo che deleghi l’autenticazione all’idp di ateneo oppure a SPID, in questo modo semplifichiamo anche lo sviluppo di chi si vuole integrare.
I vari SDK android, ios apriranno una webview per fare autenticazione con SPID? o avete pensato a qualche altro modello?
Ciao Andrea, è un piacere risentirti (ci siamo sentiti per l’implementazione di SPID su Università di Torino).
Riguardo i primi due punti sono concorde sia con te che con Bonaria, le attribute authority e in generale qualsiasi attributo ulteriore si possa agganciare al sistema di autenticazione SPID non fa che accrescerne l’utilità.
Riguardo le API è un progetto parallelo su cui stiamo iniziando a ragionare, ipotizzo, almeno per la mia esperienza mutua autenticazione tls dove la numerosità di utilizzatori non è alta e oauth2 in generale ma, ripeto, questa è un’ipotesi per la mia esperienza, nulla ancora di definito.
Per quanto riguarda la soluzione attuale per utilizzare saml è quella di una webview o l’apertura di un browser esterno che poi rilasci un token in modo che l’applicazione possa instanziare la sessione applicativa ed è in fase di analisi l’opzione OpenID Connect.
Domani, tra l’altro, a Catania parlerò proprio dell’implementazione di SPID in ambito accademico e citerò Idem Garr e Orcid, fornirò le slide qui 
Umberto Rosini
Agenzia per l’Italia Digitale
Ciao, @umbros, ti ringrazio per la collaborazione e mi scuso per la mancata partecipazione (ero via) e spero si possa riparlarne. Mi piacerebbe anche guardare le slide del tuo intervento 
Riprendo quanto detto anche da @cata86 col quale probabilmente ci sentiremo anche sul lavoro, viste le scelte Cineca in merito all’IdP: un modello interessante è quello di DataVerse, un gestionale per i dati della ricerca, che supporta mediante OAuth2 le autenticazioni su ORCID, Google e GitHub (vedi pagina GitHub dedicata). Nel nostro caso potremmo aggiungere SPID, spingendo su esso per tutti gli utenti italiani. Lasciare anche altri provider potrebbe comunque tornare comodo, per consentire ad es. a utenti stranieri di potersi autenticare. Da tener presente, per l’ambito universitario, anche IDEM ed EduGain. Quindi ORCID lo vedrei sia come IdP che come AA; le banche dati MIUR di docenti e studenti come AA. Si potrebbe pensare a una sperimentazione? Grazie ancora.
Un aspetto interessante mostrato nei mockup di DataVerse è la gestione del ciclo di vita delle credenziali: vedi ad es. la “conversione” di un account privato nell’account ORCID. Nel caso di SPID potrebbe esistere qualcosa come: conversione di un account creato localmente a un certo applicativo, in un account SPID?
Altro aspetto rilevante è il ciclo di vita dell’utente stesso; qui sono fondamentali le AA, che devono essere affidabili, aggiornate, riportare dati coerenti, non duplicati etc. Insomma, non creare ‘rumore’ intorno all’utente. L’affiliazione istituzionale, in ambito accademico, è molto importante: per i docenti italiani fanno fede le bd MIUR. Pero’ già per altri ruoli accademici non incardinati, come gli assegnisti di ricerca o i dottorandi, le bd MIUR non riportano sempre dati aggiornati e soprattutto non riportano sempre il timestamp dell’aggiornamento. Gli unici detentori del dato corretto e aggiornato, in questi casi sono solitamente gli atenei -> che però dovrebbero riversare i dati nelle bd MIUR, visto che le AA devono essere centralizzate. Insomma: bisognerebbe stabilizzare alcuni flussi che adesso esistono ma in nuce o che adesso prevedono aggiornamenti solo estemporaneamente. Ci stiamo già lavorando con CINECA, che gestisce per il MIUR le bd del mondo universitario; dovremmo provare a pianificare i flussi essenziali a una gestione delle informazioni pulita e affidabile.
Ciao @bonariabiancu il mondo dell’Università e dell’Istruzione in generale sono strategici quindi direi che possiamo iniziare a parlare di soluzioni.
Riesci ad esserci oggi al weekly meeting?
Grazie
Umberto Rosini
Agenzia per l’Italia Digitale
Sì, oggi senz’altro. Mi ero già organizzata A dopo, allora. Grazie.
Perfetto a dopo
Roadmap SPID aggiornata:
Umberto Rosini
Agenzia per l’Italia Digitale