Ciao, @umbros, innanzitutto grazie della risposta.
Provo a spiegarmi meglio qui sotto, prendendo spunto dalle tue osservazioni.
Oggettivamente architetterei i servizi in maniera separata per PA a meno che non si tratti di un portal di servizi per tutte le PA.
Si tratta di un portale per i comuni nostri clienti che decidono di aderire al servizio.
Per non disorientare l’utente spero che il riferimento all’amministrazione che utilizza il servizio sia specificato sul vostro applicativo, magari con un logo e magari impostando il dns del servizio su un host della PA stessa.
L’utente che accede al portale deve per prima cosa scegliere il comune a cui accedere, per cui ti confermo che il riferimento all’amministrazione è chiaro, benché la URL di accesso ed il dominio siano gli stessi per tutti.
Poi tecnicamente lo IAM che sta sopra il servizio può essere non riferito alla singola PA quindi sui metadata, per intenderci, l’AssertionConsumerService potrà essere comune.
Questo forse è il punto chiave: da quello che dici, mi par di capire che a livello puramente tecnico la nostra soluzione potrebbe stare in piedi con un unico metadata, che rimanda al servizio, ed il problema sia più che altro di tipo amministrativo.
Un ulteriore dubbio però mi è venuto leggendo qui https://www.spid.gov.it/sei-una-pubblica-amministrazione e qui http://www.agid.gov.it/sites/default/files/documentazione/spid-avviso-n6-note-sul-dispiegamento-di-spid-presso-i-gestori-di-servizi-v1.pdf.
Da quello che leggo, infatti, la questione mi pare diversa da come l’avevo posta, ovvero mi pare che, nello scenario proposto, la registrazione del metadata e la relativa convenzione siano tipicamente sempre un’attività a carico dell’ente, che sceglie come aggregare i servizi (o meglio, definisce i cosiddetti nodi cluster) e che modifica poi il metadata nel momento in cui un nuovo servizio (per esempio quello erogato dalla mia azienda) viene aggiunto.
In questo scenario, l’interfacciamento con AGID è di fatto sempre a carico della PA e non del fornitore.
Se così fosse, la questione si sposterebbe notevolmente da quanto da me ipotizzato in precedenza, in quanto tutta la fase di autenticazione sarebbe per forza esterna al nostro applicativo (URL su host della PA stessa, coem dicevi tu), ed il nostro applicativo verrebbe solo richiamato a posteriori, ad autenticazione completata.
Ho capito bene?
Ti ringrazio ancora per il supporto.