8
Introduzione
Concretamente SPID, il Sistema Pubblico di Identità Digitale, consiste in una coppia di credenziali digitali (username e password) che identifica un cittadino italiano e che permette di accedere a tutti i servizi online della Pubblica Amministrazione e di privati aderenti.
SPID
Storia
AgID accredita i primi tre gestori di Identità SPID: InfoCert S.p.A., Poste Italiane S.p.A. e Tim.
Il numero attuale delle amministrazioni che hanno adottato SPID è di 6235.
Storia
Si comincia a rilasciare le prime identità SPID.
Inizio dei lavori sul sistema.
19-12-2015
15-03-2016
03-2013
23-02-2021
Regole tecniche
Regole
tecniche
SPID è basato sul framework SAML che permette la realizzazione di un sistema sicuro di Single Sign-On (SSO).
SPID è composto da:
- Gestore delle identità (Identity Provider o IdP)
- Fornitore di servizi (Service Provider o SP)
- Gestore di attributi qualificati (Attribute Authority o AA)
Ciascuna entità presente nella federazione SPID è descritta da un file di metadati
Come si ottiene lo SPID
Ottenimento
- SPID è rilasciato da Identity Provider che fornisce le identità digitali e gestiscono l’autenticazione degli utenti.
- Il gestore emette l’identità digitale, rilasciando le credenziali.
Il gestore chiederà anche la tessera sanitaria o il tesserino del codice fiscale --> costituiscono uno degli elementi per contrastare il furto di identità
Trasmissione dei messaggi
Binding
La trasmissione dei messaggi tra entità della federazione SPID può avvenire secondo le modalità previste da SAML.
HTTP-Redirect
Binding
HTTP-Redirect
HTTP-Redirect consente trasmissione dei messaggi del protocollo SAML all'interno dei parametri URL.
Consente a mittente e destinatario SAML di comunicare utilizzando User Agent HTTP come intermediario.
Intermediario può essere necessario se soggetti comunicanti non hanno un percorso di comunicazione diretto.
HTTP-POST
Binding
HTTP-POST
HTTP POST consente trasmissione dei messaggi del protocollo SAML all'interno di un modulo HTML utilizzando contenuto con codifica base64.
HTTP POST è chiamato POST del browser quando è usato in operazioni di single sign-on.
Utilizza modulo di auto-pubblicazione durante la creazione e l'utilizzo di una sessione attendibile tra un provider di identità, un provider di servizi e un client (browser).
Architetture applicative
Architetture
Applicative
SPID è un sistema di autenticazione e nella sua architettura implementa un sistema di autorizzazione.
Principalmente SPID usa il sistema ABAC (Attribute Based Access Control)
Le architetture usate da SPID sono:
- architettura "monolitica"
- architettura a layer
- architettura mista
Architettura monolitica
Monolitica
Pro: sistema pronto per SPID senza ulteriori componenti.
Contro: maggiore sviluppo e manutenzione applicativa e di difficile scalabilità.
Ha funzionalità per autenticare e autorizzare utente → più indicata per sistemi verticali, sistemi portal, cms, app mobile.
Architettura a layer
Layer
Pro: sviluppo più rapido, gestione di un numero di applicazioni anche non omogenee (scalabilità).
Contro: necessità di installare un componente iam (sp) e di manutenerlo e differenti modalità di rilascio degli attributi da parte dei middleware.
Prevede uso di middleware che prepara/invia request e riceve/gestisce response → più indicata per federare buon numero di sistemi non omogenei, app mobile.
Grazie per l'attenzione!
Conclusione
By Luca Rebula