- Flussi applicativi
- Infrastruttura a chiave pubblica
- Servizio di consultazione per l’utente
- Registro delle Attribute Authority
Le due figure sono uguali e la figura 1 sembra non corrispondere alla descrizione che ne vien data.
il Flusso applicativo senza necessità del consenso dell’utente dovrebbe prevedere lo scenario della richiesta di attributi qualificati per un soggetto diverso da quello che sta richiedendo il servizio.
Per i dati pubblici (IPA, INI-PEC, albi professionali, ecc.) deve essere possibile ottenere attributi qualificati per qualsiasi soggetto.
Per esempio nella presentazione di un’istanza edilizia il soggetto autenticato nomina il progettista, il direttore dei lavori, il responsabile della sicurezza, l’impresa esecutrice.
Dovrebbe essere possibile verificare che tali soggetti siano abilitati all’esecuzione delle attività di cui sono incaricati consultando i rispettivi albi.
1 Mi Piace
Buongiorno Marco.
Lo scenario da lei descritto è importante, ma fuori ambito qui. Le Linee guida in consultazione si riferiscono allo scenario in cui un SP ha necessità di conoscere attributi, qualificati o non qualificati, di un soggetto autenticato presso il SP stesso mediante una propria identità digitale.
Questo non preclude che i gestori di attributi possano essere interrogati anche da soggetti terzi, relativamente al possesso di attributi di altri soggetti, come nell’esempio fatto da lei.
Buongiorno @walter-arrighetti, mi permetto di dissentire. Le linee guida sono Regole tecniche dei gestori di attributi qualificati ex art.1, comma 1, lettera m) del DPCM 24 ottobre 2014 che recita:
m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell’art. 16 che hanno il potere di attestare il possesso e la validita’ di attributi qualificati, su richiesta dei fornitori di servizi;
Il DPCM non dice che gli attributi qualificati devono essere relativi a un soggetto autenticato presso il SP stesso mediante una propria identità digitale.
Nella mia esperienza i fornitori di servizi hanno molto frequentemente necessità di verificare qualifiche professionali di soggetti coinvolti nel procedimento amministrativo senza che debbano essere necessariamente autenticati.
2 Mi Piace
L’immagine che prevede la richiesta del consenso dell’utente prevede al punto 5 che l’AA effettui un passaggio direttamente nei confronti dell’IdP, mentre nella descrizione si specifica che l’AA richiede all’utente la prova di avvenuta autenticazione presso l’IdP. Richiediamo una maggior chiarezza tra quanto definito dall’immagine e quanto specificato in descrizione al punto 5. Non è chiaro se l’utente, in questo step, debba inserire nuovamente le proprie credenziali.
Chiediamo conferma che sia la AA il soggetto tenuto ad istituire e gestire il servizio di consultazione per l’utente.
E’ possibile che ci sia un errore in figura e che il collegamento rappresentato al punto 4 unisca solamente SP e AA? (come medesimo punto 4 del flusso applicativo precedente)?