Un cliente mi chiede di implementare l'accesso SPID sul suo sito "come si fa con Google o Facebook"

Ciao a tutti,

come da oggetto… Ho un cliente che vorrebbe permettere l’autenticazione tramite bottone SPID sul suo sito internet, esattamente come si fa con Google, Facebook, GitHub, Twitter e via dicendo. Sono giorni che studio la cosa ma tra forum, pezzi di codice e documentazione ufficiale è un vero ginepraio. La teoria è abbastanza chiara ma la parte “pratica” è un casino, mi preoccupa non poco.

Esiste qualcosa di (almeno parzialmente) funzionante che si possa scaricare e testare in locale? Ho trovato template per bottoni e stili ma poca roba (anzi… nulla) che permetta di fare qualche test pratico.

Graie a tutti!

2 Mi Piace

Ciao.

Le regole tecniche le puoi trovare qui:

Oppure puoi scrivere a:

spid.tech@agid.gov.it

e chiedere supporto.

Interessante richiesta del cliente … vuol dire che SPID inizia a prendere piede (@umbros).

Andrea

forse sarebbe utile creare qualche kit per le aziende per permettere loro di implementare CON FACILITÀ l’autenticazione ai loro siti/servizi web con SPID ? @umbros

1 Mi Piace

Concordo, io farei 2 cose:

PRIMO TEMA: IMPLEMENTAZIONE SPID
un kit per implementare spid: trovo aziende che hanno implementato pagopa o anpr che sembra fatichino a implementare spid (forse perchè non conoscono il tema). In più in futuro sarà sempre più normale implementare spid per cui servirebbe un modo veloce di capire come fare.

SECONDO TEMA: I LOG
l’altro tema che trovo ostico sono i log. I log sono da salvare in carico all’ente e da mettere in conservazione. Al momento quello che vedo io è che ogni fornitore crea una pagina in cui posso scaricare come ente i log e metterli in conservazione. La cosa è inefficiente perchè devo farlo manualmente e devo ricordarmi tutti i siti dove andare a prenderli. Ci sono idee?

Andrea

Le regole tecniche le puoi trovare qui:

Da sviluppatore web (il cliente vuole l’accesso SPID sul suo sito) mi permetto di dire che la documentazione tecnica è praticamente inutile :disappointed_relieved:. Sono pagine e pagine di testo teorico senza applicazioni pratiche. Mancano esempi con del codice da copiare-incollare-testare, casi reali, eccetera. Ho passato ore a leggere “cosa serve” ma poi quando si tratta di sporcarsi le mani non so cosa fare.

Interessante richiesta del cliente … vuol dire
che SPID inizia a prendere piede (@umbros).

Se implementare SPID su sun sito fosse chiaro come implementare l’accesso via Google o Facebook sicuramente molti siti lo starebbero già usando. Al momento è difficilissimo anche solo capire “cosa” va fatto.

Esiste qualche pagina HTML, qualche script… qualcosa… Di “preconfezionato” per capire flussi e logiche? Su GitHub ho trovato stralci di script che servono a poco. È stato speso del tempo per creare degli stili grafici (bottoni, font, icone) ma poi non esiste uno stralcio di codice HTML / Javascript per creare l’accesso.

5 Mi Piace

concordo pienamente :+1:

In più in futuro sarà sempre più normale implementare spid per cui servirebbe un modo veloce di capire come fare.

Ok ma… quando? SPID ha visto la luce alla fine del 2015. Cosa dico ai miei clienti se mi chiedono di utilizzare SPID sul loro sito? Su Github ci sono stralci di codice vecchi di due anni, oltretutto.

Dico la mia.
Il Team ha fatto tantissimo in questi 2 anni nonostante le incertezze che ci sono state rispetto alla figura del Commissario che credo abbia influito non positivamente.
Però chi, come me, segue con interesse le vicende di questi progetti di digitalizzazione della PA come Spid, Anpr, Cie, etc., sa perfettamente che ci sono dei tecnici che stanno lavorando alacremente e che forse si sono accorti che i tempi di realizzazione dei vari progetti sono tutti da rivedere forse a causa di alcune resistenze culturali che continuano ad esserci.
Comunque @umbros che è uno tecnici che segue Spid potrà aggiornarci sulle questioni poste.

forse si sono accorti che i tempi di realizzazione dei vari progetti sono tutti da rivedere forse a causa di alcune resistenze culturali che continuano ad esserci.

Ci sta ma allora -almeno per il momento- SPID mira soltanto alle PA, giusto?

Se una qualsiasi azienda italiana desidera implementare l’accesso SPID per riconoscere i suoi utenti ed abilitarli a servizi specifici sul proprio sito internet (esempio: area riservata) bisogna sviluppare un login proprietario oppure sfruttare un sistema già esistente (Google, Facebook, GitHub, ecc).

In caso contrario non capisco come sia possibile che dopo così tanto tempo manchi della documentazione base, qualche API… per agganciare SPID ad una pagina web. Al momento come funziona? La PA si rivolge a chi aggancia SPID e poi fanno un contratto ad-hoc e sviluppano la cosa su misura? Presumo di si, non vedo altra possibilità.

Difatti finora il focus dell’attività di supporto allo Spid é stato quello della PA

Difatti finora il focus dell’attività di supporto allo Spid é stato quello della PA

Ok allora ne parlo con il cliente, probabilmente pur essendo una grande azienda (privata) non erano al corrente della cosa. Grazie mille.

Prima di dare forfait ci vorrebbe un approfondimento o forse un chiarimento.
@Lucb qual’è il passaggio più critico?

@umbros ma il Team ritiene di non avere risorse a sufficienza per supportare anche i privati?

qual’è il passaggio più critico?

Più che altro avere una to-do list, snippet di codice ed esempi funzionanti (in un ambiente di test) per gli sviluppatori che vogliono agganciare SPID ad un generico sito xyz (e in ambiente localhost, possibilmente). Un po’ come avviene per l’autenticazione con Google o Facebook, o come quando agganci Stripe o Paypal per i pagamenti con carta di credito, pagamenti ricorrenti, ecc… È tutto abbastanza semplice e immediato. Ci sono un po’ di passaggi ma tutto sommato prendi dei pezzi, agganci, personalizzi ed in pochi minuti sei operativo.

2 Mi Piace

Ciao Paolo,
in AgID stiamo lavorando con diversi privati che presto includeranno SPID come sistema di autenticazione.

Riguardo la criticita riscontrata da @Lucb su github.com/italia (Developers Italia) abbiamo rilasciato un gran numero di risorse compreso spid-auth-docker che è un sp completo già pronto per SPID (basta connettere l’applicativo e fargli leggere gli attributi che vengono rilasciati su un path definito (headers)).

AgID, comunque, supporto chiunque chieda supporto all’implementazione, potete scrivere all’email spid.tech@agid.gov.it

Umberto Rosini
Agenzia per l’Italia Digitale

1 Mi Piace

Si dovrebbe accelerare su questo punto, e a mio avviso ancora non ci siamo.

SPID -è chiaro- non nasce come competitor diretto dei sistemi di autenticazione di Google o Facebook, ma se vogliamo che venga utilizzato anche dai Service Provider privati dovrebbero cambiare un po’ di cose.

In primo luogo, posto di aver risolto i problemi tecnici, c’è l’aspetto burocratico. La procedura prevede la firma di una convenzione (!) con AgID e documentazione da firmare e mandare via PEC, con tempi di alcuni giorni. Per carità, anche i Google e Facebook di turno prevedono l’accettazione di termini di servizio, in legalese ed ugualmente incomprensibili ai più, ma le modalità sono centomila volte più snelle.

In secondo luogo, se non ho capito male, si paga: https://www.agid.gov.it/sites/default/files/repository_files/all4_prezzariospid.pdf

I prezzi non sono affatto bassi,anche rispetto all’ipotesi di gestirsi in casa un sistema di autenticazione. Va tuttavia detto che SPID fornisce la garanzia dell’identità dell’utente, cosa che ha il suo valore non trascurabile.

Tra l’altro (breve digressione): se i beneficiari di tali importi sono i vari IdP, perché vengono pagati due volte? Una dai cittadini che pagano la creazione di una loro identità SPID, e l’altra dai Service Provider che la consumano. Un po’ come se per le PEC gli utenti dovessero pagare la creazione della casella e i proprietari dei server di posta dovessero pagare la ricezione e spedizione dei messaggi.

Insomma, sembra un sistema pensato più che altro per soggetti privati come banche, grandi aziende eccetera. Non certo per la PMI che “chiede SPID sul suo sito”.

A mio avviso, invece, sono proprio i piccoli dove si dovrebbe sfondare, perché sono quelli dove i problemi di cattiva custodia di credenziali, dell’autenticazione “fai da te” e della sicurezza informatica non allo stato dell’arte sono più presenti. L’ampia adesione allo SPID in tale fascia di mercato garantirebbe un grosso miglioramento dal punto di vista della sicurezza informatica e del trattamento dei dati personali di tutto il sistema paese.

1 Mi Piace

Paradossalmente questo è l’aspetto più problematico, secondo me, in un’ottica di diffusione capillare di SPID anche nelle PMI. Se non ci sarà mai una versione “free” o comunque molto molto economica escludo categoricamente che possa diffondersi al di fuori delle grosse aziende. Il che è un peccato, perchè SPID sarebbe comodissimo anche per un qualsiasi sito ecommerce, tanto per dire, a prescindere dalle effettive dimensioni e dalla popolarità del sito stesso. Sarebbe sicuramente meglio avere SPID come login “universalmente riconosciuto” in Italia, piuttosto che ripiegare su sistemi anonimi tipo Google o Facebook.

1 Mi Piace

Alcune risorse utili:

Alessandro Ranellucci
Team per la Trasformazione Digitale

2 Mi Piace

Ignora questo commento, ho appena letto un tuo reply ad un’altra discussione per cui ho le idee più chiare e non voglio stare qui a rompere le scatole :sweat_smile:

Grazie. Approfitto per chiarire che il mio commento di prima non voleva andare contro il Team, del quale apprezzo l’ottimo lavoro!

Ciao Lucb, la cosa me la sono posta anche io, volevo sapere se ce l’avevi fatta ad integrarlo
saluti
Enrico Volpato