Buongiorno a tutti.
Vorremmo utilizzare spid facendo autenticare il cittadino sul nostro portale dei servizi e quindi se deve pagare qualcosa ridirezionarlo sul circuito pagopa per il pagamento.
Sembra che questa possibilità ci sia solo se il cittadino si riautentica sul portale dei pagamenti con SPID e quindi non ci possa essere una forma di Single Sign On sul primo portale. Ovvero il cittadino deve autenticarsi due volte con spid visto che passa da un portale all’altro. Con il SSO invece si potrebbero passare al secondo portale i dati ottenuti mediante l’autenticazione al primo portale.
La normativa dice:
. A questo proposito l’avviso del 20/04/2016, n. 3 chiarisce la modalità di gestione delle sessioni SPID:
_ Ai sensi dell’art 28 del regolamento “Modalità attuative per la realizzazione dello SPID” un gestore delle identità a completamento con esito positivo dell’autenticazione relativa al livello SPID 1 di un utente stabilisce per lo stesso utente una sessione finalizzata al processo di autenticazione. Nel corso di validità della sessione instaurata, il gestore delle identità può rilasciare ai fornitori di servizi, che fanno richiesta di autenticazione di livello SPID 1 per l’utente con il quale è stata stabilita la sessione, asserzioni di autenticazione basate sull’evento di autenticazione che ha dato origine alla sessione stessa._
_ Ancora a i sensi dell’art 28 del regolamento Modalità attuative per la realizzazione dello SPID, per le richieste di autenticazione di livello SPID 2 e 3 non è prevista l’instaurazione di alcuna sessione, pertanto per ogni richiesta di questo tipo deve essere ripetuto l’evento di autenticazione._
La domanda è: è proprio necessaria la riautenticazione?
Come sicurezza lo capisco, ma come user experience credo sia molto pesante.
Chiedo cortese risposta.
Grazie.
Andrea