Buongiorno a tutti, circa 11 mesi fa abbiamo ottenuto il Trust Mark per un membro della federazione CIE dalla Trust Anchor.
In previsione della scadenza dello stesso, è prevista una procedura di rinnovo?
Qualcuno di Voi ha già rinnovato il Trust Mark? in che modo?
grazie
Non vorrei dire una inesattezza, ma credo che tramite l’endpoint “trust mark status” puoi verificare se è ancora valido e tramite quello “fetch” puoi prelevare il nuovo.
Naturalmente devi interrogare chi emette il TM impostando il subject con il membro in questione.
Grazie per la risposta, confermo che quanto suggerito è corretto.
Il mio dubbio però riguarda il fatto che, se facciamo questa verifica quando il Trust Mark è già scaduto, rischiamo di creare un disservizio finché non viene rinnovato. Per questo motivo mi chiedevo se fosse possibile ottenere un nuovo Trust Mark prima della scadenza, in modo da “aggiungerlo” a quelli già presenti e garantire così la continuità del servizio.
Inoltre, provando la funzione da te suggerita, ottengo il Trust Mark attualmente in uso, rilasciato 11 mesi fa.
Grazie ancora per il supporto!
Adesso non ricordo se i TM scadono sempre alla mezzanotte (e quindi schedulare qualcosa in notturna), ma eventualmente fai un job schedulato ogni ora per ridurre il rischio o un check ogniqualvolta interroghi l’entity configuration
confermo che il rinnovo del Trust Mark avviene esattamente nel secondo successivo alla sua scadenza e viene automaticamente esteso per un altro anno.
Ad esempio, per evitare eventuali problemi, è necessario implementare un sistema che, nel minuto pre e post scadenza, recuperi il nuovo TM e lo inserisca nella configurazione.
Questo approccio consente di evitare il rischio di dover gestire un rinnovo manuale, che potrebbe verificarsi anche in giorni non lavorativi come sabato o domenica.
Questa discussione mi interessa molto … non ho capito neanche io come funziona bene questa cosa (magari mi sono perso io il passaggio relativo nella documentazione).
Per quello che ho capito fin ora i trust mark presentano un exp con data e ora, quindi potrebbero scadere nell’istante specifico in cui viene superata quella data e ora.
Inoltre non capisco in che momento l’endpoint di fetch vada a rilasciare il nuovo trustmark.
La questione è abbastanza critica perché se devo gestire la cosa in modo rapido con il rischio che il mio trust mark scada in un momento di piena attività devo registrarmi da qualche parte le scadenze e far partire la richiesta del nuovo trust mark il “secondo dopo”: con il rischio che l’endpoint di fetch non mi restituisca il trustmark “nuovo”. Se viene confermato che ci sono dei margini entro i quali o fetch inizia a rilasciare un nuovo trust mark o i trust mark vengono invalidati a partire dal giorno dopo il giorno contenuto dentro exp: allora è possibile gestire il rinnovo con sistemi asincroni che vanno a fare l’operazione in momenti di basso carico.
Non si può avere un chiarimento ufficiale sul funzionalmento di questo meccanismo? O qualche anima pia che ci linka il passaggio della documentazione che tratta questa cosa 
Per quanto ho visto dentro la libreria spid-cie-oidc-aspnetcore la questione non viene gestita per niente (sia lato trust_mark_status, sia lato fetch, sia lato rinnovo).
PS. l’ultimo passaggio non voleva essere una critica alla libreria in questione ma una semplice constatazione. Se in quella libreria trovavo una minima traccia di gestione della situazione potevo assumere che anche il TA principale si comportava nello stesso modo.
Oggi pensavo ancora a questa cosa e credo che la soluzione migliore sia che ci cancelliamo il trust mark quando vogliamo noi e poi contattiamo l’endpoint di fetch del TA che dovrebbe restituirci un nuovo trust mark con la scadenza aggiornata … Processo da testare ma dovrebbe funzionare così …
Ho approfondito la questione e, dalla documentazione, sembra possibile ottenere un Trust Mark prima della sua scadenza, vedi OpenID Federation 1.0 - draft 41.
Questo permetterebbe di aggiungerlo alla lista dei Trust Mark ed evitare così il disservizio.
Dopo varie considerazioni, ho contattato l’IPZS per verificare se questa soluzione sia praticabile, in modo da evitare che ogni Ente debba trovare una soluzione autonoma a questo problema.
Sono in attesa di una loro risposta.
Grazie dell’aggiornamento @Gian_Paolo_Rossi,
potrei sbagliarmi ma ho verificato le EC pubblicate per il TA di pre produzione e produzione e non vedo un endpoint come quello descritto nel draft che citavi. Io spero che esista o che la mia ipotesi precedente sia valida 
.
Speriamo che IPZS ci dia delucidazioni a riguardo.