SPID Multiportale

Ciao @umbros.

Volevo sapere se c’erano novità in merito al tema di autenticarsi su SPID nel portale A e poi poter usare l’autenticazione fatta sul portale A per il portale B (o funzionalità simili).

Diverse PA potrebbero in tale modo far autenticare sul portale comunale il cittadino raccogliendo informazioni sul comportamento di utilizzo del sito comunale e successivamente, visto che hanno il link a pagopa, mensa, altri servizi, farli andare direttamente con una sola autenticazione a questi servizi di secondo livello.

Grazie e ciao.

Andrea

Ciao @Andrea_Tironi1,
il single sign on (che è il processo che dici tu di muoversi tra un servizio all’altro senza dover reimmetere dati di autenticazione) su SPID vale solo per il 1 livello.

Questi i comportamenti che stiamo facendo allineare a tutti gli Identity Provider partendo dal presupposto di un servizio già acceduto in 1, 2 o 3 livello:

Esempio 1: entro su un servizio x in 1 livello, accedo su un servizio y che richiede 2 livello, immetto solo l’otp.

Esempio 2: entro su un servizio x in 2 livello, accedo su un servizio y che richiede 1 livello non devo immettere credenziali.

Ovviamente c’è un timeout si sessione IDP di 30 minuti che porteremo almeno ad 1 ora (ancora in fase di discussione)

Ogni passaggio da un servizio all’altro c’è un consent ovvero un’autorizzazione all’invio degli attributi da un Identity Provider ad un Servizio (Service Provider) che un utente deve esplicitamente autorizzare.

Questo ultimo punto è in fase di discussione:

Proprio in questi giorni stiamo lavorando con il gruppo di PagoPA @Giuseppe_Virgone @Mauro_Bracalari per mettere SPID come autenticazione al servizio.

Umberto Rosini
Agenzia per l’Italia Digitale

2 Mi Piace

WOW!

Quindi se accedo a X in livello 2, per passare a Y in livello 2 basta ad esempio che inserisco un codice che mi arriva mediante sms su smartphone e ho il SSO?

Andrea

Ciao @Andrea_Tironi1,
confermo che a livello 1, nel passaggio da un servizio di una pa ad un altro c’è sso (a meno di scadenza della sessione IDP).
Questo comportamento lo stiamo normando e quindi tutti gli IDP si comporteranno allo stesso modo.

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao,
si è mai pensato di introdurre lo SPID come strumento di autenticazione dei diversi portali presso cui devono registrarsi i dipendenti pubblici? Cito, ad esempio:

  • acquistiinretepa;
  • agenzia delle entrate (anche all’interno del desktop telematico);
  • ministero economia e finanza;
  • Inps;
  • NoiPa;
  • Ministero degli Interni;
  • ecc…;
    In sostanza, ogni dipendente pubblico dispone automaticamente dello Spid.

Cordiali saluti.

1 Mi Piace

Ciao @oggrob,
diversi di quelli che citi sono dei progetti che attualmente stiamo seguendo. Relativamente a SPID per dipendenti pubblici è in atto un’attività per riconoscere le identità pregresse.

Buona serata

Umberto Rosini
Agenzia per l’Italia Digitale

Volevo chiedere una delucidazione riguardo la gestione dell’utenza nel caso di un accesso su più servizi.
Il caso che volevo analizzare è quello in cui i servizi siano realizzati da SP differenti, i quali in maniera completamente disgiunta, gestiscono la chiamata al ‘global logout’.
Supponiamo che il servizio 1 abbia messo in sessione delle informazioni relative all’utente loggato. Se l’utente passa al servizio 2 (previo reinserimento dell’OTP) e qui decide di effettuare il logout, non si rischia che l’utente ignori che per il servizio 1 risulti ancora loggato? Ovviamente se il servizio 1 facesse nuove richieste verso l’identity provider, questo verrebbe subito segnalato come utente non più loggato.

Ciao @Daniele_Cherchi,
per l’IDP la sessione da chiudere è sempre quella di 1 livello in quanto non è previsto SSO su 2 o 3 livello.

Questo è un flusso di logout (SP Initiated):

image

Su SAML potrebbe accadere che un logout sia partial logout, quindi è necessario che l’SP operi bene per evitare attacchi come cross-site request forgery (CSRF) o session hijacking.

Ciò, oltretutto, in 1 livello SPID è connesso anche al tema delle sessioni su cui stiamo facendo delle considerazioni circa l’aumento della durata (attualmente fissata a mezz’ora).

Umberto Rosini
Agenzia per l’Italia Digitale

Buongiorno,
ho un caso d’uso diverso:

un’applicazione che espone al cittadino informazioni e servizi relativi a più Amministrazioni, l’applicazione è abilitata a SPID e utilizza L2.
nel passaggio da un’amministrazione all’altra dobbiamo ripetere l’autenticazione SPID ex-novo? (attualmente lo facciamo ma la user experience è, sopratutto per la APP mobile, poco gradita).
Il cittadino richiede i servizi della prima amministrazione da APP, si autentica SPID fruisce dei servizi, cerca di accedere agli stessi servizi di un’altra amministrazione che offre la stessa APP e deve nuovamente autenticarsi.

Nel caso si volesse esporre un “fascicolo del cittadino multi-ente” come dovrebbe essere organizzata l’autenticazione SPID?
Ciao
Stefano Facondini

1 Mi Piace

Ciao @Stefano_Facondini,
capisco che la ux può non essere fluida in un flusso del genere ma è cruciale, nel passaggio da un PA all’altra, anche nello stesso servizio, l’autorizzazione dell’utente a passare gli attributi alla PA.
Il single sign on a livello 2, inoltre, non è previsto (lo è solo a livello 1), pertanto da un passaggio all’altro su livello 2 dovrà essere reimmesso l’otp e accettato il passaggio degli attributi al servizio.

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao @umbros mi potresti confermare la durata della sessione di autenticazione con gli idp.
E’ di 30 minuti oppure modificata come dicevi?

Grazie

Ivan

Salve a tutti e scusate per il disturbo,
mi ricollego a questo thread perché ho la medesima problematica, ovvero la gestione del SSO su portali diversi.

Prendendo in considerazione le tabelle del messaggio di @umbros, mi sembra di capire che la SSO per SPID di livello 1 sia possibile.
E, sempre se non ho capito male, se ci si logga ad un PORTALE A con SPID di livello > 1 e poi si viene reindirizzati ad un PORTALE B che accetta SPID di livello 1 non si dovrebbe ripetere la login.

Se tutto questo è vero, come si implementa tecnicamente questa soluzione?
Il PORTALE A deve passare al PORTALE B il session index che viene poi inviato in qualche modo all’IDP?
Però come si farebbe poi, in caso di Spid livello 2, dato che il session index non verrebbe generato?
(si presuppone che si utilizzi SPID-SAML e che il ServiceProvider del PORTALE A sia DIFFERENTE rispetto al ServiceProvider del PORTALE B)

Sulle linee guide non riesco a trovare un passaggio in cui venga illustrato come gestire queste situazioni.

Grazie per l’attenzione.

IL SSO è spiegato nell’Avviso SPID n°3

Quello dell’uso con livelli SPID > L1 era un auspicio di Umbros che non si è mai concretizzato, il SSO funziona solo per SP che usano livello SPID = 1.
I due SP non si passano nulla, anzi non è necessario che si conoscano.
Più o meno funziona cosi:

  • l’Utente accede sul Service Provider A e tenta l’accesso tramite SPID.
  • Dopo la Challenge con l’IDP, se l’autenticazione ha avuto successo e il livello richiesto era SPID L1, sull’IDP viene creata una Sessione per quel dato utente , avente una specifica durata massima (solitamente 30 minuti) dopo la quale viene distrutta automaticamente .
  • Se entro il periodio di vita della Sessione lo stesso utente accede al Service Provider B e tenta l’accesso tramite SPID:
    – Se il livello richiesto è = SPID L1, accede direttamente
    – Se il livello richiesto è > SPID L1, l’utente salta l’inserimento di login e password e procede direttamente con i passi successivi (ad es. per SPID L2 gli viene direttamente richiesto l’OTP).
1 Mi Piace

Grazie per la risposta @AGS,
Però io non riesco a riprodurre questo comportamento.

Se mi loggo prima all’inps e poi all’agenzia delle entrate, dove su entrambi i portali mi viene richiesto il livello 2, sul secondo portale devo inserire le credenziali o scannerizzare il qr code).

Stessa cosa se provo a collegarmi a due portali con spid di livello 1 (ho provato quello della mia azienda e namirial), sul secondo portale mi viene comunque chiesto di inserire le credenziali.

L’idp è Poste, potrebbe dipendere da questo?