dopo aver letto la documentazione ho ancora qualche dubbio riguardo l’utilizzo del campo ‘RelayState’ nelle login request.
Per citare la documentazione: “…cioè della risorsa originariamente richiesta
dall’utente e alla quale dovrà essere trasferito il controllo al termine della fase di
autenticazione”
Nell’implementazione che ho fatto lo valorizzo con l’url della pagina di login e funziona.
Stavo pensando che in caso di login quel campo non ha molto senso, ma se si utilizzasse lo SPID di livello 2 o 3 potrebbe contenere l’identificatore di un’operazione ‘dispositiva’, è corretto?
Nella risposta dell’IDP ho qualche valore che mi garantisce che l’esito di autenticazione si riferisce a quella risorsa?
“RelayState”: identifica la risorsa (servizio) originariamente richiesta dall’utente e a cui trasferire il controllo alla fine del processo di autenticazione. Il Service Provider a tutela della privacy dell’utente nell’utilizzare questo parametro deve mettere in atto accorgimenti tali da rendere minima l’evidenza possibile sulla natura o tipologia della risorsa (servizio) richiesta;
Il relaystate è un identificativo anche randomico che serve a rendere “opaco” il servizio agli IDP e per l’IDP non è altro che un identificativo “conosciuto” solo dall’SP.
Per quanto riguarda le operazioni dispositive stiamo ridefinendo i flussi di autenticazione nei passaggi tra livelli in cui sarà incluso anche la modalità di utilizzo di SPID per operazioni dispositive.