LA STORIA IN BREVE

Diventare Service Provider Privato autorizzato ad utilizzare lo SPID

Data la decisione del Gruppo Assicurativo di fornire ai propri clienti la possibilità di accedere alla loro area riservata tramite SPID, abbiamo dato supporto sia per i passaggi tecnici normati da AgID per adottare l’infrastruttura abilitante – grazie all’impiego di un microservizio – e sia per i passaggi burocratici e tutta la gestione della documentazione necessari al Gruppo per ottenere il consenso dell’AgID per diventare Service Provider Privato autorizzato.

IL CLIENTE

Un Gruppo Assicurativo sempre in crescita

Protagonista della storia di oggi è un Gruppo Assicurativo, tra i principali in Italia. La sua rete distributiva copre tutto il territorio italiano ponendo al centro della propria attività da oltre 100 anni la tutela delle persone, delle famiglie e delle aziende.

L’OBIETTIVO

Autenticazione tramite “Entra con SPID”

Il Gruppo Assicurativo continua a essere in forte crescita e questo ha condotto a una grande esigenza: fornire l’accesso con SPID all’area riservata. Questo non solo permette loro di avere dati sui loro clienti sicuri e certificati e di ridurre i costi dovuti alla gestione dei processi utente, ma fornisce agli utenti anche una migliore experience di accesso e di fruizione dei servizi sul portale.

L’obiettivo del Gruppo era dunque quello di facilitare la comunicazione e la fornitura dei propri servizi in modo unico ed efficiente tramite l’autenticazione con l’identità digitale. Per farlo, però, aveva bisogno di supporto per:

  • Adottare l’infrastruttura tecnologica in grado di attivare i processi di login con SPID;
  • Gestire tutte le fasi amministrative e burocratiche per la comunicazione con AgID per ottenere l’accreditamento come Service Provider privato.

LE SFIDE

Iter lunghi e complessi

Lavorare a un progetto SPID per diventare Service Provider presenta diverse sfide.

Effettuare questo passo significa dover predisporre un’infrastruttura tecnologica capace di abilitare gli utenti tramite SPID e questo richiede un iter tecnico abbastanza complesso che deve rispettare non solo stringenti norme di sicurezza, dato il contenuto di dati personali, ma anche dei requisiti tecnologici imposti dall’AgID di difficile attuazione.

Queste sfide possono scoraggiare in un primo momento, ma non sono la parte più impegnativa del percorso: infatti, mentre sull’infrastruttura tecnica si possono apportare sempre migliorie o intervenire con nuove funzionalità, il vero “scoglio” è la gestione di tutta la documentazione necessaria per comunicare con l’AgID. Errori in burocrazia, nei moduli o nelle certificazioni, rischiano di far slittare di molto i tempi di approvazione. In aggiunta, la documentazione a disposizione – oltre a essere molto vasta – utilizza un linguaggio tipicamente giuridico, e le procedure sono continuamente oggetto di cambiamenti e adeguamenti.

Date queste sfide, la scelta più conveniente è stata esternalizzare queste due funzioni e affidarsi a intermediari e Partner non solo per i passaggi tecnici, ma anche per quelli amministrativi.

LA SOLUZIONE

Ottenere l’autenticazione con SPID in modo semplice e veloce: il nostro supporto tecnico e burocratico

Questo progetto può essere diviso in due parti:  

Parte tecnica

La prima riguarda la predisposizione di tutta linfrastruttura tecnica funzionale allintegrazione dello SPID nellarea riservata del Gruppo e capace di comunicare esternamente con gli utenti, con lAgID e con gli identity provider.

Parte burocratica

Nella seconda parte, invece, si sono susseguiti tutti i passaggi di lettura, comprensione e di predisposizione della documentazione che richiede, oltre alle firme digitali, anche lemissione e installazione di certificati che vanno a loro volta adeguatamente gestiti per avanzare allAgID la proposta di entrare nella federazione SPID. 

Come sono state affrontate queste due procedure, superando le sfide?

1

Per la parte tecnica è stato impiegato un microservizio ready to go, funzionale nell’ambito di autenticazione SPID e CIE. L’impiego di questo microservizio ha permesso a ogni accesso di un utente la comunicazione tra l’area riservata e l’identity provider scelto dal cliente e il passaggio dei dati tra questi due.
2

Per la seconda parte abbiamo impiegato le nostre conoscenze normative e la nostra esperienza in ambito SPID e CIE per gestire la documentazione necessaria all’accreditamento del Gruppo.

I NUMERI DEL PROGETTO

10
accessi
+14
accessi tramite SPID

Accesso tramite SPID: parte tecnica

Il ruolo del microservizio

Per capire in che modo il microservizio ha facilitato l’ambiente tecnologico pronto ad accogliere le procedure di Entra con SPID, è importante conoscere i passaggi e gli attori dietro le quinte di un tentativo di accesso con identità digitale.

Il microservizio ha facilitato la comunicazione tra 4 soggetti:

il cliente che vuole accedere all’area riservata del Gruppo

l’azienda che vuole offrire i propri servizi tramite autenticazione SPID

l’AgID – Agenzia per l’Italia Digitale – che deve assicurarsi che tutte le procedure siano corrette e tutti i requisiti rispettati per acconsentire l’autenticazione

gli identity provider che creano e gestiscono le identità digitali degli utenti

Nel momento in cui l’utente cerca di accedere all’area riservata tramite SPID, il microservizio si attiva, intercetta la richiesta di accesso e la inoltra all’identity provider: quest’ultimo identifica la richiesta proveniente dal Service Provider, verifica se è autentica tramite il registro AgID, si accerta dell’identità utente (secondo diversi livelli di sicurezza) e rimanda a sua volta i dati dell’utente all’azienda proprietaria del portale.

In questo modo, il Gruppo riceve i dati certificati e rilasciati previa autorizzazione dell’utente al momento della sua autenticazione SPID presso l’identity provider utilizzato.

Nel frattempo, questi passaggi vengono vigilati dall’AgID che deve verificare che tutto si stia svolgendo nella maniera corretta.

Questa panoramica del processo di comunicazione e dei passaggi che avvengono tra gli attori a ogni singolo accesso fa comprendere quanto sia reticolare e strutturata la procedura di autenticazione e allo stesso tempo pone la luce su come sia necessaria una competenza tecnica.

Per seguire tutti questi passaggi è stato implementato un microservizio con architettura web application che fornisce servizi REST e che integra un database per la persistenza. Tramite un layer di API di tipo REST, la logica di autenticazione SPID viene separata dal contesto dell’applicazione web e spostata in un modulo esterno.

Tramite la persistenza su DB vengono gestite:
1

Le configurazioni, le chiavi RSA ed i metadata;

2

Le associazioni tra richiesta di autenticazione e la relativa risposta da parte degli IDP;

3

Il tracciamento e conservazione dati.

Per l’implementazione del microservizio vengono utilizzati:
1

Java per la generazione delle interfacce Rest;

2

Swagger per la definizione dell’interfaccia
dei servizi;

3

Spring Data JPA per la persistenza.

Il microservizio è impiegabile su ambienti Kubernetes, Cloud e on premise, e le sue caratteristiche lo rendono flessibile e applicabile ai diversi touchpoint del Gruppo.

Inoltre, l’applicazione del microservizio è stata funzionale anche a conservare i dati a norma di legge e a produrre i report per le verifiche amministrative relative alla tariffazione (per i privati, il servizio è soggetto a un tariffario).

Accesso tramite SPID: parte burocratica

Il ruolo dei documenti

Pur avendo implementato un microservizio capace di gestire autonomamente tutte le richieste e le autenticazioni, prima di poter attivare il servizio di accesso tramite SPID, l’AgID deve dare il proprio consenso: qui prende avvio tutta la parte amministrativa che consiste proprio nel dimostrare, in modo certificato, di essere conformi a fornire questo nuovo servizio di accesso.

In questo caso, abbiamo fornito supporto su quali documentazioni preparare, come gestire nella fattispecie le firme digitali e intercettare gli indirizzi mail e i contatti a cui scrivere nelle varie fasi di approvazione e di verifica del servizio prima di attivarlo in produzione.

Nello specifico sono stati seguiti per:

la gestione dei certificati di test per la firma del metadata e delle richieste verso gli Identity Provider

la compilazione di tutta la documentazione utile all’accreditamento SPID del Gruppo

la richiesta di emissione certificato da parte di AGID e la sua gestione per la firma di metadata e richieste verso gli Identity Provider

Questi passaggi non solo consentono ad AgID di assolvere la funzione di monitoraggio, ma sono funzionali anche alla verifica da parte degli Identity Provider su quali aziende private sono autorizzate e certificate a usufruire delle identità digitali per offrire i propri servizi.

Competenze e know-how

Identità digitale
Interazione con AgID
Infrastrutture IT
Services
Intermediazione e consulenza

Sei interessato a questo progetto
e vuoi saperne di più?

CONTATTACI