Per quali tecnologie previste dal ModI è applicabile lo standard OAuth2?
Relativamente allo standard OAuth2, sebbene nelle LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici) lo stesso è riferito alla tecnologia REST, si evidenzia che per assicurare la salvaguardia degli investimenti realizzati dalle PA non si riscontrano impedimenti alla applicazione dello standard OAuth2 anche nel caso di utilizzo della tecnologia SOAP.
In merito si coglie l'occasione per ricordare che sebbene la tecnologia SOAP permetta l’applicazione di diversi protocolli di trasporto, l'applicazione del WS-I Basic Profile prevista nelle LG Interoperabilità Tecnica (Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni) limita tale scelta all'utilizzo del solo protocollo di trasporto HTTP (vedi 4.7.2 HTTP Transport in Basic Profile Version 1.1).
Considerato quanto evidenziato in precedenza si precisa che le PA POSSONO utilizzare lo standard OAuth2 in combinato con la tecnologia SOAP provvedendo:
- - all'autenticazione del client chiamante a livello di trasporto HTTP utilizzando lo standard OAuth2;
- - ad utilizzare SOAP e, in generale, lo stack WS-* per le restanti esigenze di scambio, ad esempio l’utilizzo di WS-Security SAML Profile.
Governance del modello
Il Modello di Interoperabilità della Pubblica Amministrazione (ModI), individua tecnologie e standard che le Pubbliche Amministrazioni DEVONO considerare per la realizzazione dei propri sistemi informatici.
Ai sensi di quanto disposto al Capitolo 6 delle Linee guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, AgID è responsabile delle attività di governance del ModI con l’obiettivo di definire, condividere e assicurare l’aggiornamento dello stesso.
I certificati eIDAS servono verso terzi: Quando sono obbligato ad usare un certificato eIDAS?
Un certificato eIDAS è necessario quando è richiesta l'opponibilità a terzi.
Solamente quando il contenuto della comunicazione firmata digitalmente deve essere opponibile a un soggetto terzo rispetto all'Erogatore e al Fruitore: ad esempio, se la risposta di un'API deve essere inoltrata verso un soggetto esterno al trust, cosi come indicato nella LG Sicurezza API § 6.2.3 [SIC_API_10] (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici).
I certificati eIDAS sono riusabili: Ho un certificato eIDAS. L'Erogatore è tenuto ad accettarlo o devo prima accreditarlo?
Un certificato eIDAS non richiede accreditamento.
Un certificato di questo tipo non richiede accreditamento perché l'identificazione avviene tramite l'utilizzo degli OID 2.5.4.97 organizationIdentifier e OID 2.5.4.11 organizationalUnitName come indicato nelle LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici).
Questo tipo di certificato è di fatto utilizzabile per più Erogatori e per più API: le LG Sicurezza API , in SIC_API_05, ribadiscono i contenuti del Regolamento eIDAS.
I certificati eIDAS sono opzionali: Le LG Sicurezza API obbligano ad utilizzare certificati eIDAS?
No, le LG Sicurezza API non obbligano ad utilizzare certificati eIDAS.
Le LG Sicurezza API (Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici), nei requisiti SIC_API_03 e SIC_API_04.a non comportano obblighi in merito all'uso di certificati.
Il requisito SIC_API_04.b rimanda, per la gestione e la scelta dei certificati alla sezione opportuna.
Compatibilmente col visto 21 del regolamento eIDAS, le LG Sicurezza API indicano i principi per scambiare certificati digitali validi in specifici ecosistemi (e.g. certificati non eIDAS).