SPID per i dipendenti pubblici

Apro questo topic per stimolare una discussione sull’utilizzo di SPID anche tra i dipendenti pubblici.
Ci é stato richiesto di fatto da molti comuni ed io non vedo un particolare impedimento tecnico se non quello di allineare gli attributi del sistemi di Identity Management della singola pubblica amministrazione con le utenze di SPID da fare una sola volta.

1 Mi Piace

Ciao Mirko :slight_smile:
lato dipendenti pubblici c’è la possibilità di un’attribute authority innanzitutto e poi c’è il tema delle identità pregresse perchè i dipendenti pubblici sono, di fatto, stati già riconosciuti dalle loro PA di riferimento :slight_smile:

1 Mi Piace

Relativamente alle identità pregresse questa associazione tra utenza LDAP ad esempio e quella SPID di fatto é qualcosa che andrebbe creato solo una volta senza necessariamente una attribute authority.
E poi si potrebbe fare in maniera incrementale

Ciao Mirco,
la necessità di un AA è delineata dal fatto che il dato è, ovviamente, suscettibile di variazioni continue e quindi la necessità di certificare l’effettivo status in questo caso di dipendente pubblico. Relativamente alle identità pregresse concordo con te che sarebbe un’operazione one shot e poi incrementale.

1 Mi Piace

L’esigenza di utilizzare SPID anche per l’accesso a banche dati della PA è molto sentita; la Regione Emilia Romagna ha già integrato alcune piattaforme anche con questa modalità.
Rimane il fatto che per i dipendenti della PA l’Attribute Authority prevista dalle disposizioni attuattive di SPID dovrebbe essere il portale IndicePA, che forse non contiene tutti i dati previsti.
Se vi può essere utile, ne ho scritto qui https://www.agendadigitale.eu/cittadinanza-digitale/accedere-con-spid-alle-banche-dati-pa-come-e-perche/

Interessante articolo @psaggini grazie della segnalazione.
Riguardo gli attributi qualificati sono elemento essenziale di SPID. Attualmente però, i soggetti che hai elencato che erogano servizi dedicati o backend riservati a dipendenti della PA, potrebbero già implementare SPID e dare l’autorizzazione in base alla banca dati centrale, ovvero:

SPID Codice Fiscale X123 -> check autorizzazione su db servizio x -> se presente CF accede.

Interessante, ovviamente, avere un’ attribute authority che vada, in prima istanza, a dichiarare se l’x soggetto è dipendente pubblico; resta comunque il fatto che al servizio x qualcuno dovrà dichiarare che può accedere, per conto della PA di cui è dipendente, a quel servizio specifico.

Riporto uno usecase “light”:
-> Accede utenza apicale o utente indicepa
-> Autorizza x codici fiscali all’accesso ad un servizio e con x permessi (lettura, scrittura…)

A prescindere, comunque, da SPID e un’AA, sarà necessario implementare un sistema di RBAC per l’autorizzazione al servizio… o vogliamo ipotizzare e proporre un sistema centrale di gestione autorizzazioni della PA? …potrebbe essere un bel progettino da tirar su :wink:

1 Mi Piace

Salve a tutti; questo è il mio primo post su developers.italia.it.

Concordo sulla necessità di implementare un RBAC, prevalentemente per motivi di sicurezza. Oltretutto mi pare di ricordare che il CAD vieti di utilizzare account “generici” non legati ad una persona fisica – almeno per ruoli amministrativi (ma l’importanza delle operazioni compiute da una PA possono facilmente ricadere in tale ambito).

Vedrei così un semplice scenario dell’implementazione come proposta da voi.

Mario Rossi, dipendente della PA “Ente Servizi”, deve inoltrare un servizio “X” alla PEC del cittadino Luigi Bianchi.
Il ruolo di Mario Rossi in Ente Servizi è specificato nella directory (LDAP, AD, o altro), non solo come dipendente di Ente Servizi, ma come avente diritto ad operare il servizio “X” verso i cittadini (magari non verso altre PA per motivi di ruolo/dipartimento/security/seniority).

Quando Mario Rossi accede al servizio “X” della PA dal computer connesso in SPC, viene reindirizzato a SPID. Inserisce dunque le sue credenziali SPID uniche (uniche sia come cittadino che come dipendente pubblico).

Un controllo RBAC autorizza Mario Rossi ad operare, quandunque da una postazione infromatica connessa a SPC dal segmento di rete dell’Ente Servizi ‒ e per conto di essa. Il servizio “X” viene dunque erogato al cittadino.
Inoltre, proprio in quanto tale servizio “X” è erogato da una PA ad un cittadino, si potrà decidere o meno (a seconda del tipo di servizio e di trasparenza) che i dati forniti al cittadino vadano anonimizati cosicché, lato cittadino, essi gli vengano forniti «da “Ente Servizi”» (anziché «da Mario Rossi per conto di “Ente Servizi”»).

Il vantaggio dell’RBAC risiede dal punto di vista della Security, in quanto nei log di sistema sia dell’Identity Provider, che dello SPID Service Provider, che della PA (se diversa da essi) rimarrà traccia che quella specifica operazione è stata effettuata dal dipendente pubblico Mario Rossi, con tanto di data, ora, indirizzo IP della postazione e destinatario.

Se per corretti motivi di security il dipendente è tracciato anche dallo SPID Service Provider
Visto che prevedi un’unica identità SPID sia da dipendente che da cittadino, chi garantirà la privacy dello stesso soggetto quando usa l’identità SPID come cittadino?

La privacy è la prima cosa che si punta a proteggere in SPID e ogni “attività” che viene tracciata non viene utilizzata a fini commerciali o di ricerca ma, nel caso, per proteggere il cittadino stesso.