Utilizzo API ANPR PDND

Ma qualcuno è riuscito a fare dei test con le API ANPR disponibili sulla piattaforma PDND?
I certificati richiesti possono essere autoprodotti o devono essere emessi da un’autorità certificante?

1 Mi Piace

Io sono ancora in attesa.
Ho fatto richiesta di fruizione per due API di ANPR (*) ma sono ancora “pending”.
Circa i certificati: quelli che servono per interagire con la PDND e staccare il voucher sono autoprodotti. Sembra, a leggere le documentazione delle singole API (che PDND chiama e-service), che ci sono ulteriori adempimenti di autenticazione oltre al voucher, a discrezione dell’ente erogatore (**).
Su ANPR non ho approfondito preferendo un approccio più euristico ( o by-doing). La documentazione ISEE dell’INPS (in attesa che mi autorizzino anche a quello) spiega che serve poi autorizzare gli IP chiamanti e scambiare un certificato SSL (?) che, in ambiente di test, va bene autoprodotto ma, in produzione, serve rilasciato da CA vera.

(*): le API esposte da ANPR sono molte perche’ ognuno è una specifica interrogazione (es: verifica paternità è una, verifica maternità un’altra), questo per poter selezionare solo ciò che serve e minimizzare il trattamento.
(**): ragionevole per motivi di sicurezza, ma a mio avviso se questi ulteriori accorgimenti, come pare, vanno fatti extra PDND si rischia che il sistema diventi insostenibile per tutti: io fruitore vorrei avere tutti i miei accordi e relative configurazioni in un unico luogo, mentre come erogatore preferirei non dover gestire ulteriori autenticazioni o profili di autorizzazione su sistemi miei, altrimenti gestivo anche l’accordo di fruizione iniziale…

PS: in attesa di avere accesso a qualche e-service di test gli esperimenti si sono limitati a staccare il voucher e a spenderlo sull’API interna alla PDND, che consente di interrogare i servizi del catalogo, i propri accordi e alcuni altri dati.

1 Mi Piace

Buonasera approfitto per porre in questa sede un quesito, ovvero se esiste la possibilità di accesso ad una webapp di consultazione per PA tramite accordi di fruizione oppure se gli stessi cosi come la PDND consentono solo ed esclusivamente di accedere alle API ANPR tramite cooperazione applicativa.
Grazie a chi potrà rispondermi.

La tua richiesta di fruizioe API l’hai fatta per interfacciare una soluzione esterna (esmpio TRIBUTI, come pensavo di fare io) oppure interna ?

grazie
Giuseppe

Perché per ogni e-service mi dice che non ho gli attributi necessari anche se è solo richiesto di essere un Comune?

L’ho fatta intanto per rendermi conto.

Nello scenario che mi sembra ragionevole nell’operatività quotidiana occorre interfacciarci direttamente le singole soluzioni (il software dei tributi quello delle multe, quello dell’asilo nido ecc.). A prima vista eviterei anche soluzioni software intermedie, che hanno poco senso visto che si tratta di chiamate puntuali fatte all’occorrenza e per uno specifico scopo.

Mia intenzione era anche sviluppare una soluzione software minimale per partire da un foglio Excel con dei nominatvi/codici fiscali e recuperare l’indicatore ISEE o il numero di componenti della famiglia anagrafica, due informazioni che spesso servono anche in procedimenti che magari si fanno senza l’uso di un software specifico da interfacciare.

Eh… mi sa che ce lo chiediamo in tanti.
A me sembra che il “non hai gli attributi necessari” me lo dica chiaramente solo sugli e-service per i quali ho richiesto l’autorizzazione.
Anche se, inizialmente, su quelli da richiedere mi appariva la spuntina verde che ora non vedo piu’.

Comunque, dopo quasi un mese di attesa di approvazione ho rinunciato a fare ulteriori esperimenti.
Fin dove ho accesso ho fatto quello che potevo e mi sono reso conto che ottenere un voucher da spendere per autenticarsi a un servizio è un’operazione fattibilissima…

ciao @frantheman hai avuto qualche novità sulle tue richieste?

Ho come la sensazione che sia ancora troppo presto, leggendo anche su slack mi sembra che nessuno abbia ancora fatto una prova vera.

No, ci ho rinunciato e non seguo più la vicenda. Del resto non è propriamente il mio lavoro sviluppare API lo facevo per capire e maturare un po’ di consapevolezza per capire potenzialità varie e misurare le aspettative riguardo le soluzioni proposte dal mercato.

Mi accontento della presunta consapevolezza acquisita sulle carte…

Mah… è uscita questa circolare, magari a qualcuno interessa… (con allegati).:face_with_monocle:

https://dait.interno.gov.it/servizi-demografici/circolari/circolare-dait-n73-del-31-maggio-2023

3 Mi Piace

L’assistenza ai servizi di ANPR dovrebbe essere fornita da Sogei. Le mail inviate al servizio di assistenza ancora non hanno avuto risposta. La documentazione relativa agli e-service non è esaustiva dal punto di vista tecnico. Qualcuno è riuscito a perfezionare dei test su ambiente di collaudo?

Ho messo su github uno script python per l-accesso ai servizi ANPR tramite PDND in ambiente di test.
Spero possa essere utile

2 Mi Piace

Bello! Grazie mille.
Quindi, i passaggi di sicurezza in piu’ (oltre al voucher PDND*), sono tutti comunque basati sulla coppia di chiavi registrata su PDND? Non servono firme qualificate e/o certificati rilasciati da CA?

Se non erro i passaggi in piu’ sono:

  • una assertion di audit cifrata con la chiave privata corrispondente alla chiave pubblica del client PDND;
  • il digest dell’assertion di nella richiesta di voucher (?);
  • la firma del body della richiesta.

Cosi’, le intestazioni della chiamata a ANPR, hanno in piu’:

  • il digest del body della richiesta;
  • la firma del body della richiesta (cioe’ il digest cifrato);
  • l’asserzione di audit cifrata.

Corretto?
Sembra di capire che tutto questo serve per evitare usi non autorizzati del voucher nel suo periodo di validità.

Corretto, i token sono firmati con le chiavi private corrispondenti alle chiavi depositate in PDND.
Una descrizione dei veri prifilidi sicurezza previsti dalle regole tecniche sull’agibilità si possono trovare qui:

1 Mi Piace

Grazie, conoscevo il documento ma, non essendo strettamente del mestiere, a vederlo realizzato e’ tutto piu’ chiaro. Quindi doppio plauso per la condivisione!

Grazie @menny68 per lo script python, che ha reso molto più comprensibili i passi necessari per interrogare le API della ANPR.
Sto però riscontrando dei problemi nell’accesso alle API di produzione.
In particolare inserendo i dati corretti di clientId, keyId, purpose, ecc ecc riesco a:
-Creare la client assertion (verificata con successo tramite apposito tool presente sulla piattaforma PDND)
-Ottenere il token (chiamando l’endpoint https://auth.interop.pagopa.it/token.oauth2)
A questo punto però, quando chiamo l’API di ANPR (https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C001-servizioNotifica/v1/anpr-service-e002), questa mi risponde con un errore 404.
Eppure l’endpoint dovrebbe essere corretto, avendolo copiato dalle specifiche tecniche dell’e-service.
Sbaglio qualcosa?
Una cosa che ho notato è che il valore del parametro “audience” presente sul portale PDND è differente dall’endpoint specificato nel file yaml di specifiche dell’API:
-Audience: https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR/C001-servizioNotifica/v1
-Endpoint: https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C001–servizioNotifica/v1
In pratica c’è un “-PDND” in più.

Fa attenzione a come è scitto l’url dell’endpoint ho notato che alcuni degli url presenti sul portale e nel file yaml di descrizione dell’api hanno degli errori: nello specifico al posto del carattere ‘-’ è presente un ‘–’, immagino refuso da copia e incolla da word :slight_smile: