1.1. Scopo¶

Le Linee Guida vengono emesse ai sensi dell’articolo 71 del decreto legislativo 7 marzo 2005, n. 82 e successive modifiche e integrazioni (di seguito CAD) e della Determinazione AgID n. 160 del 2018 recante «Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale».

OpenID Connect è un layer di identità basato su JSON/REST che si posiziona sopra al protocollo OAuth 2.0. La sua filosofia di design è «rendi semplici le cose semplici e rendi possibili le cose complicate». Mentre OAuth 2.0 è un protocollo di delega delle autorizzazioni di accesso generico, consentendo così il trasferimento di dati arbitrari e non definisce i modi per autenticare gli utenti o comunicare informazioni su di essi, OpenID Connect offre un layer di identità sicuro, flessibile e interoperabile in modo che le identità digitali possano essere facilmente utilizzate su servizi desktop e mobile.

OpenID Connect non si occupa solo di autenticazione ma può essere anche utilizzato per autorizzazione, delega e API access management.

I suoi punti di forza sono:

• facilità di integrazione;
• abilità di integrare applicazioni su diverse piattaforme, single-page app, web, backend, mobile, IoT;
• permette integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile;
• risolve diverse problematiche di sicurezza riscontrate in OAuth 2.0;
• è utilizzato da un gran numero di servizi social e di pagamento.

Per tutti questi motivi, le presenti linee guide intendono normare l’utilizzo di OpenID Connect nel Sistema Pubblico di Identità Digitale italiano (SPID).