menu di navigazione del network

Telelavoro PA - SPID per dipendenti e agibilità di Declarative authorization

Buon giorno a tutti.
Lo spunto per questa domanda mi è venuta dall’aver visto, per servizi di gestione cloud tipicamente riservati a sysadmin, la possibilità di accesso via Spid.
Un’altra possibile motivazione è, evitando di nominare il virus, il telelavoro che le PA concedono ai dipendenti.
In realtà lo scenario delle PA è quanto mai disparato e spesso disperato per carenza cronica di uomini e risorse, però tutti noialtri gente dell’informatica ci siamo messi a investigare su VPN, VDI, guacamole, reverse proxying, dipendentemente dalle bellurie o dal vecchio client server che abbiamo o nella nostra intranet o nei nascenti SaaS, per porci poi il problema di come sia fatta l’autenticazione se debole, 2 factor o forte etc e del tipo di impatto che tutto questo ha con la sicurezza.
In generale mi sembra che autenticazioni strong con smartcard riconosciute dalla PA o 2-factor costituiscano garanzia sufficientemente sicura persino per VDI, tuttavia resta il problema di una associazione tra il certificato o il token utente e lo username inteso dall’applicazione, tipicamente per tutti il codice fiscale.
Inoltre sarebbe utile che le applicazioni web fossero accessibili via reverse proxy, cosa che non sempre si verifica ma che di solito in mod_proxy per i framework php e in mod_jk per le applicazioni tomcat avviene. Per altre realtà più complesse può essere studiata.

Poi occorrerebbe che esistesse una sezione dichiarativa accessibile alla PA: se cioè voglio associare un utente al telelavoro dovrei metterci un secondo, esattamente il tempo che impiego per aggiungere un utente ad un gruppo Ldap. Non tutti i cittadini italiani possono accedere a quel servizio, solo i dipendenti della mia PA ( o i dipendenti della mia PA per quella applicazione ), altrimenti sorro il rischio di esporre l’applicazione e il database ad un bombardamento.

Considerato che il telelavoro e il SaaS sono ormai realtà, perché non viene individuato oltre allo SPID dei cittadini, (purtroppo 1 per ogni applicazione), un unico servizio SPID per i dipendenti che ha l’unico compito di autenticarli, autorizzarli e reverse - proxarly per quella e tutte le altre applicazioni, senza che l’infrastruttura o il database siano oggetto di bombing internet.
Questo, spingendo le argomentazioni, condurrebbe anche a pensare a un unico servizio SPID per PA e non ad uno SPID per PA per applicazione.
Spingendo ancora le argomentazione sarebbe sufficiente che lo stato esponesse un unico servizio Spid che effettua reverse proxying per cittadini e lavoratori, ma delegasse le PA alla tenuta dello spazio autorizzativo e obbligasse i fornitori di software a seguire specifiche di compatibilità per il reverse proxying.
Altrimenti cui prodest ?
Un saluto