MTLS opzionale: sono obbligato ad utilizzare MTLS per autenticare i client?
No, non sono obbligato ad utilizzare MTLS per autenticare i client.
Le LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici) includono tra i meccanismi di autenticazione e autorizzazione previsti dal requisito SIC_API_01, il protocollo OAuth2 §5.1.7.
Le LG PDND (Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati) definiscono l'implementazione OAuth2 della piattaforma, che è quindi compatibile con i contenuti delle LG Sicurezza API.
Come indicato nelle LG Interoperabilità Tecnica ( Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni), l'unico pattern di sicurezza sempre obbligatorio è ID_AUTH_CHANNEL_01 ossia l'autenticazione del server tramite certificato TLS emesso da una CA riconosciuta.
I certificati eIDAS sono opzionali: Le LG Sicurezza API obbligano ad utilizzare certificati eIDAS?
No, le LG Sicurezza API non obbligano ad utilizzare certificati eIDAS.
Le LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici), nei requisiti SIC_API_03 e SIC_API_04.a non comportano obblighi in merito all'uso di certificati.
Il requisito SIC_API_04.b rimanda, per la gestione e la scelta dei certificati alla sezione opportuna.
Compatibilmente col visto 21 del regolamento eIDAS, le LG Sicurezza API indicano i principi per scambiare certificati digitali validi in specifici ecosistemi (e.g. certificati non eIDAS).
I certificati eIDAS sono riusabili: Ho un certificato eIDAS. L'Erogatore è tenuto ad accettarlo o devo prima accreditarlo?
Un certificato eIDAS non richiede accreditamento.
Un certificato di questo tipo non richiede accreditamento perché l'identificazione avviene tramite l'utilizzo degli OID 2.5.4.97 organizationIdentifier e OID 2.5.4.11 organizationalUnitName come indicato nelle LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici).
Questo tipo di certificato è di fatto utilizzabile per più Erogatori e per più API: le LG Sicurezza API , in SIC_API_05, ribadiscono i contenuti del Regolamento eIDAS.
I certificati eIDAS servono verso terzi: Quando sono obbligato ad usare un certificato eIDAS?
Un certificato eIDAS è necessario quando è richiesta l'opponibilità a terzi.
Solamente quando il contenuto della comunicazione firmata digitalmente deve essere opponibile a un soggetto terzo rispetto all'Erogatore e al Fruitore: ad esempio, se la risposta di un'API deve essere inoltrata verso un soggetto esterno al trust, cosi come indicato nella LG Sicurezza API § 6.2.3 [SIC_API_10] (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici).
Per quali tecnologie previste dal ModI è applicabile lo standard OAuth2?
Relativamente allo standard OAuth2, sebbene nelle LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici) lo stesso è riferito alla tecnologia REST, si evidenzia che per assicurare la salvaguardia degli investimenti realizzati dalle PA non si riscontrano impedimenti alla applicazione dello standard OAuth2 anche nel caso di utilizzo della tecnologia SOAP.
In merito si coglie l'occasione per ricordare che sebbene la tecnologia SOAP permetta l’applicazione di diversi protocolli di trasporto, l'applicazione del WS-I Basic Profile prevista nelle LG Interoperabilità Tecnica (Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni) limita tale scelta all'utilizzo del solo protocollo di trasporto HTTP (vedi 4.7.2 HTTP Transport in Basic Profile Version 1.1).
Considerato quanto evidenziato in precedenza si precisa che le PA POSSONO utilizzare lo standard OAuth2 in combinato con la tecnologia SOAP provvedendo:
- - all'autenticazione del client chiamante a livello di trasporto HTTP utilizzando lo standard OAuth2;
- - ad utilizzare SOAP e, in generale, lo stack WS-* per le restanti esigenze di scambio, ad esempio l’utilizzo di WS-Security SAML Profile.
Non hai trovato quello che cercavi?
Scrivici