Docs Italia beta

Documenti pubblici, digitali.

5. Interoperabilità con SPID

Lo schema di identificazione Entra con CIE pur avendo molte analogie con lo schema di identificazione SPID, differisce da quest’ultimo su alcuni aspetti che riguardano:

  • la predisposizione dei metadata
  • i protocolli di comunicazione SAML.

È importante sottolineare che, per quanto riguarda in paticolare i metadata, le differenze di natura tecnica riflettono i diversi iter amministrativi previsti da AgID nei casi di Soggetti Aggregatori e Gestori di Pubblico Servizio, che nel caso di Entra con CIE sono gestiti all’interno del medesimo processo amministrativo di onboarding. In altre parole, la figura dell’Aggregatore (di servizi pubblici o privati) e quella di Gestore di Pubblico Servizio non sono previste nello schema Entra con CIE.

5.1. Metadata

In riferimento ai metadata, diversamente da quanto previsto per SPID, lo schema Entra con CIE prevede un unico modello di metadata indipendentemente dal ruolo che il soggetto svolge nell’ambito dello schema SPID. In particolare i due elementi nei quali si hanno maggiori impatti sono:

  • l’elemento <AttributeConsumingService> che contiene il set di attributi richiesti in fase di autenticazione prevede, attualmente, solo e soltanto gli attributi relativi al Minimum Dataset eIDAS o suoi sottoinsiemi;
  • l’elemento <ServiceName> può contenere un UUID v.4 dell”attribute set richiedibile dal SP, comprensivo dell’attributo xmlns:lang, valorizzato con una stringa vuota;
  • l’elemento <md:Organization> che contiene i dati del Service Provider in veste di persona giuridica;
  • gli elementi <ContactPerson> che dovranno contenere le informazioni di censimento e contatto del Service Provider e dell’eventuale partner tecnologico (cfr. Federazione).

I dati identificativi del Service Provider e del partner tecnologico devono coincidere con quelli inseriti in fase di richiesta di adesione. Per maggiori dettagli consultare il capitolo Federazione.

5.2. Protocolli di comunicazione

I protocolli di comunicazione previsti da entrambi gli schemi (Entra con CIE e SPID) sono basati sullo standard SAML versione 2.0 e, dunque, ereditano da esso le principali specifiche tecniche. Tuttavia nella modalità specifica secondo la quale gli schemi di identificazione sono declinati è possibile individuare alcune lievi differenze che possono avere un impatto sull’implementazione da parte del Service Provider.

Nella costruzione della richiesta di autenticazione <AuthnRequest> è necessario valorizzare l’attributo Destination coerentemente con l’attributo Location presente nel tag SingleSignOnService riportato nel metadata dell’IdP e relativo al particolare binding utilizzato in fase di richiesta (cfr. Protocolli di comunicazione e Modalitá di trasmissione dei messaggi per ulteriori dettagli).

Per quanto riguarda il parsing e la verifica dei messaggi di response, il Service Provider deve tenere conto che, diversamente da quanto previsto da SPID,

  • l’attributo Format dell’elemento <samlp:Issuer> non è presente;
  • l’elemento <saml:AuthnContextClassRef> è valorizzato sempre con il valore https://www.spid.gov.it/SpidL3**;
  • gli attributi inviati in risposta alla richiesta di autenticazione corrispondono sempre al Minimum Dataset eIDAS e non prevedono, nella versione attuale, l’invio di ulteriori attributi quali ad esempio lo spidCode.