SPID Multiportale

Ciao @umbros.

Volevo sapere se c’erano novità in merito al tema di autenticarsi su SPID nel portale A e poi poter usare l’autenticazione fatta sul portale A per il portale B (o funzionalità simili).

Diverse PA potrebbero in tale modo far autenticare sul portale comunale il cittadino raccogliendo informazioni sul comportamento di utilizzo del sito comunale e successivamente, visto che hanno il link a pagopa, mensa, altri servizi, farli andare direttamente con una sola autenticazione a questi servizi di secondo livello.

Grazie e ciao.

Andrea

Ciao @Andrea_Tironi1,
il single sign on (che è il processo che dici tu di muoversi tra un servizio all’altro senza dover reimmetere dati di autenticazione) su SPID vale solo per il 1 livello.

Questi i comportamenti che stiamo facendo allineare a tutti gli Identity Provider partendo dal presupposto di un servizio già acceduto in 1, 2 o 3 livello:

Esempio 1: entro su un servizio x in 1 livello, accedo su un servizio y che richiede 2 livello, immetto solo l’otp.

Esempio 2: entro su un servizio x in 2 livello, accedo su un servizio y che richiede 1 livello non devo immettere credenziali.

Ovviamente c’è un timeout si sessione IDP di 30 minuti che porteremo almeno ad 1 ora (ancora in fase di discussione)

Ogni passaggio da un servizio all’altro c’è un consent ovvero un’autorizzazione all’invio degli attributi da un Identity Provider ad un Servizio (Service Provider) che un utente deve esplicitamente autorizzare.

Questo ultimo punto è in fase di discussione:

Proprio in questi giorni stiamo lavorando con il gruppo di PagoPA @Giuseppe_Virgone @Mauro_Bracalari per mettere SPID come autenticazione al servizio.

Umberto Rosini
Agenzia per l’Italia Digitale

2 Mi Piace

WOW!

Quindi se accedo a X in livello 2, per passare a Y in livello 2 basta ad esempio che inserisco un codice che mi arriva mediante sms su smartphone e ho il SSO?

Andrea

Ciao @Andrea_Tironi1,
confermo che a livello 1, nel passaggio da un servizio di una pa ad un altro c’è sso (a meno di scadenza della sessione IDP).
Questo comportamento lo stiamo normando e quindi tutti gli IDP si comporteranno allo stesso modo.

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao,
si è mai pensato di introdurre lo SPID come strumento di autenticazione dei diversi portali presso cui devono registrarsi i dipendenti pubblici? Cito, ad esempio:

  • acquistiinretepa;
  • agenzia delle entrate (anche all’interno del desktop telematico);
  • ministero economia e finanza;
  • Inps;
  • NoiPa;
  • Ministero degli Interni;
  • ecc…;
    In sostanza, ogni dipendente pubblico dispone automaticamente dello Spid.

Cordiali saluti.

1 Mi Piace

Ciao @oggrob,
diversi di quelli che citi sono dei progetti che attualmente stiamo seguendo. Relativamente a SPID per dipendenti pubblici è in atto un’attività per riconoscere le identità pregresse.

Buona serata

Umberto Rosini
Agenzia per l’Italia Digitale

Volevo chiedere una delucidazione riguardo la gestione dell’utenza nel caso di un accesso su più servizi.
Il caso che volevo analizzare è quello in cui i servizi siano realizzati da SP differenti, i quali in maniera completamente disgiunta, gestiscono la chiamata al ‘global logout’.
Supponiamo che il servizio 1 abbia messo in sessione delle informazioni relative all’utente loggato. Se l’utente passa al servizio 2 (previo reinserimento dell’OTP) e qui decide di effettuare il logout, non si rischia che l’utente ignori che per il servizio 1 risulti ancora loggato? Ovviamente se il servizio 1 facesse nuove richieste verso l’identity provider, questo verrebbe subito segnalato come utente non più loggato.

Ciao @Daniele_Cherchi,
per l’IDP la sessione da chiudere è sempre quella di 1 livello in quanto non è previsto SSO su 2 o 3 livello.

Questo è un flusso di logout (SP Initiated):

image

Su SAML potrebbe accadere che un logout sia partial logout, quindi è necessario che l’SP operi bene per evitare attacchi come cross-site request forgery (CSRF) o session hijacking.

Ciò, oltretutto, in 1 livello SPID è connesso anche al tema delle sessioni su cui stiamo facendo delle considerazioni circa l’aumento della durata (attualmente fissata a mezz’ora).

Umberto Rosini
Agenzia per l’Italia Digitale

Buongiorno,
ho un caso d’uso diverso:

un’applicazione che espone al cittadino informazioni e servizi relativi a più Amministrazioni, l’applicazione è abilitata a SPID e utilizza L2.
nel passaggio da un’amministrazione all’altra dobbiamo ripetere l’autenticazione SPID ex-novo? (attualmente lo facciamo ma la user experience è, sopratutto per la APP mobile, poco gradita).
Il cittadino richiede i servizi della prima amministrazione da APP, si autentica SPID fruisce dei servizi, cerca di accedere agli stessi servizi di un’altra amministrazione che offre la stessa APP e deve nuovamente autenticarsi.

Nel caso si volesse esporre un “fascicolo del cittadino multi-ente” come dovrebbe essere organizzata l’autenticazione SPID?
Ciao
Stefano Facondini

1 Mi Piace

Ciao @Stefano_Facondini,
capisco che la ux può non essere fluida in un flusso del genere ma è cruciale, nel passaggio da un PA all’altra, anche nello stesso servizio, l’autorizzazione dell’utente a passare gli attributi alla PA.
Il single sign on a livello 2, inoltre, non è previsto (lo è solo a livello 1), pertanto da un passaggio all’altro su livello 2 dovrà essere reimmesso l’otp e accettato il passaggio degli attributi al servizio.

Umberto Rosini
Agenzia per l’Italia Digitale