SIOPE+ : Webservices REST e SPC

Buongiorno

Relativamente all’interfaccia A2A messa a disposizione dal sistema SIOPE+ per l’interazione con gli Enti da un lato e con le Banche Tesorerie dall’altro, la documentazione disponibile in rete (i cui riferimenti riporto in calce) mi fa venire un dubbio di interpretazione.

Allora: innanzitutto si dice che

I servizi di SIOPE+ sono resi disponibili agli Operatori (i.e. Enti, Tesorieri, Tramiti PA e Tramiti
BT) unicamente in modalità Application to Application (A2A) mediante l’esposizione di
un’interfaccia applicativa che implementa Web Services REST su canale HTTPS.

L’interfaccia di SIOPE+ espone Web Services REST che sfruttano i metodi standard del protocollo HTTP (“Get”, “Post”) per leggere o inserire le “risorse informative” da/verso SIOPE+._ _I Web Services REST di SIOPE+ possono essere invocati dagli Operatori per realizzare la
cooperazione applicativa A2A con SIOPE+.

E fin qui è tutto chiaro, così come risulta chiaro il criterio di autenticazione:

Come specificato in [2] l’Operatore che intende colloquiare con il sistema SIOPE+ deve
preliminarmente dotarsi di credenziali applicative autorizzate all’utilizzo del SIOPE+ (c.d.
idA2A), secondo i termini e modalità illustrati in [3] (manuale di gestione delle credenziali
personali e applicative).
Si rammenta che la comunicazione tra gli Operatori e SIOPE+ è basata sul protocollo sicuro
HTTPS con mutua autenticazione attraverso l’impiego di certificati digitali X.509 e che,
pertanto, le credenziali applicative utilizzate dall’Operatore per autenticarsi a SIOPE+ devono
essere associate ad un certificato X.509.

L’enunciato che lascia il dubbio è quello riguardante la connessione:

Tesorieri si connettono a SIOPE+ attraverso la rete Internet.
Gli Enti si connettono a SIOPE+ attraverso il Sistema Pubblico di Connettività (SPC).
Tuttavia, è previsto che nel corso della sola fase di sperimentazione, gli Enti si connettono a
SIOPE+ attraverso la rete Internet.

Il dubbio è: lato interfacciamento A2A con gli Enti, dobbiamo interpretare questa indicazione solo come indicazione “infrastrutturale” (IaaS), nel senso che di SPC si sfrutta solo la “componente network e sicurezza” e quindi i metodi REST vengono erogati tramite SPC ( instradamento che sarà individuato nell’URI dei metodi stessi rilasciata in fase di accreditamnto da parte dell’Ente) oppure dobbiamo immaginare criteri di cooperazione applicativa diversi (Porte di Dominio? SPCCoop?) che escludono l’interfacciamento via REST ?

Grazie per le risposte e i commenti che vorrete lasciare.

P.S. di seguito le fonti

Linee Guida per lo sfruttamento ottimale dell’interfaccia A2A di SIOPE+ .

Regole di colloquio SIOPE+.

Manuale per la registrazione e autenticazione a SIOPE+.

Il nuovo modello di cooperazione SPC

Ciao Michele,

dove la documentazione SIOPE+ parla di Sistema Pubblico di Connettività (SPC) si riferisce specificatamente all’instradamento di rete e non ai protocolli SPCoop, quindi non c’è requisito di Porte di Dominio.

Per altro le Porte di Dominio e il documento che tu citi sono stati resi obsoleti dalle Linee Guida per Transitare al nuovo Modello di Interoperabilità recentemente pubblicate da AgID.

In effetti i documenti di SIOPE+ sono stati scritti sapendo che stava per arrivare questa mossa e quindi rappresentano un primo pilota del nuovo modello di cooperazione applicativa, anche se questo è ancora in fase di definizione.

Simone Piunno
Team per la Trasformazione Digitale

Ciao Simone
Innanzi tutto grazie per la sollecita risposta che di sicuro mi incoraggia e fornisce spunti positivi.

Mi restano due perplessità:

1. come avviene la “federazione” al SPC di un Ente i cui gestionali siano fruiti in modalità SaaS?
   Provo a spiegarmi meglio: se il gestionale del mio Ente “gira” nel mio CED (e quindi sono materialmente nella intranet dell’Ente, le chiamate ai webservices di Siope+ risulteranno originate dal dominio dell’Ente (che magari è “conosciuto” a SPC). Viceversa, se il gestionale è erogato in modalità SaaS, le chiamate vengono originate dal dominio della server farm della Software House. Questo può determinare delle difficoltà o degli ostacoli per l’Ente o per la Software House in fase di accreditamento e successiva messa in esercizio? Esistono delle “linee guida” in merito?

2. Anche tu fai riferimento al fatto che il nuovo modello di cooperazione applicativa è ancora in fase di definizione, anche se nel documento Linee guida per transitare al nuovo modello di interoperabilità che mi hai indicato, gli intenti si vanno chiarificando. Nei documenti di SIOPE+ (che, d’accordo, sono stati scritti “un po’ di tempo fa”) si parla di Interfacciamento a Siope via Internet nella fase di sperimentazione per poi switchare a SPC nella fase operativa, che prenderà il via dal 01/01/2018. Nella fase di “switch” (che peraltro, sempre dai documenti, non prevede “tempi morti”) cosa dobbiamo aspettarci? Materialmente, in cosa differirà sotto il profilo dell’interfacciamento, la fase di sperimentazione da quella di esercizio effettivo?

Spero di aver esposto in maniera chiara (anche se oggettivamente prolissa) i miei dubbi, e ringrazio fin d’ora te e chiunque vorrà contribuire al chiarimento degli stessi.
Grazie

Michele Zamponi

Ciao Michele,

sul punto 1 hai centrato una problematica che avevo intravisto pure io ma che non abbiamo avuto il tempo di affrontare nel Piano Triennale.
È evidente che, via via che si procede nella transizione verso cloud, nel caso SaaS ma manche semplicemente portando il software presso una infrastruttura terza, occorre qualche azione a livello di networking e bisognerà stabilire delle raccomandazioni su come interfacciarsi alla rete SPC in questo scenario.
Si tratta di un tema tutto da sviluppare, che magari potrebbe essere inserito nella prossima edizione del Piano Triennale. I suggerimenti sono benvenuti!

Simone Piunno
Team per la Trasformazione Digitale

Ciao Simone,

quindi, sommando il tuo commento a quanto riportato nelle regole di colloquio con SIOPE,

2.4 Cooperazione applicativa tra Ente e SIOPE+
In attesa che siano emanate - ai sensi dell’articolo 73, comma 3-quater del CAD - le nuove
regole tecniche SPCoop stabilite da AgID ai sensi dell’art. 75 del CAD, la cooperazione
applicativa tra PA e SIOPE+ avviene attraverso l’utilizzo di web services REST con protocollo
HTTPS. A seguito dell’emanzione delle nuove disposizioni i tempi e le modalità dell’eventuale
adeguamento saranno oggetto di successiva regolazione.

possiamo ritenere che, in attesa delle nuove regole che potrebbero non essere disponibili in tempo per il GoLive di SIOPE+ ( e quindi anche in fase di esercizio efettivo dal 01/01/2018) , l’interfacciamento tra Enti e SIOPE+, qualsiasi sia la forma di erogazione (locale o SaaS) avvenga in modalità A2A mediante invocazione di metodi REST su protocollo sicuro
HTTPS con mutua autenticazione attraverso l’impiego di certificati digitali X.509 attraverso la rete internet? ( e poi… si vedrà )

Grazie mille come sempre.

Ciao Michele,

a me sembra ragionevole ma su questo e sul punto 2 di prima lascio rispondere i colleghi esperti di SIOPE+

Ciao Simone,

Ti ringrazio moltissimo per la disponibilità e per lo scambio fin qui effettuato e le relative informazioni e “dritte” che ne sono scaturite.

Attendiamo quindi insieme altri interventi. Come ben si può immaginare, su questa questione (così come su molte altre, purtroppo) c’è una certa “pressione” (o, per meglio dire, desiderio di chiarezza in un contesto temporale ristretto )

Grazie, Michele

Buongiorno a tutti,
c’è qualche esperto che possa intervenire sui dubbi rimasti in sospeso in merito a questo argomento?
Grazie Infinite

Riguardo la “raggiungibilità” di SIOPE+ (così come degli altri servizi presenti e futuri) io avevo inteso che a regime la modalità fosse SOLO quella Infranet SPC, garantita quindi da connettività multiambito SPC.
Se così non fosse sarebbe bene esplicitarlo anche perchè le PA, in particolare quelle facoltizzate su SPC2 connettività, stanno aderendo ai contratti quadro anche proprio per avere il multiambito e, con tutta probabilità viste le proposte dei provider (che si sbizzarriscono con i famigerati SBRI), a prezzi superiori alla precedente convenzione e ai prezzi di mercato…

Per quanto ne so io (informazione molto recente che devo ancora verificare) dovrebbe essere stata approvata una definizione, in linea con la normativa primaria, che non obbliga tutti gli enti ad utilizzare SPC, ma che garantisce, a chi lo voglia fare di poterlo utilizzare. Alla fine, in tutta onestà, mi sembrerebbe la soluzione migliore.

ti riferisci a SIOPE+ o in generale a tutti i servizi?
grazie

Nello specifico mi sto riferendo a SIOPE +