data ultima modifica: 15/09/2020

Come diventare fornitore di servizi Pubblici o Privati con SPID

Tutte le pubbliche amministrazioni devono rendere i propri servizi online accessibili tramite SPID in modo da favorire e semplificare l'utilizzo dei servizi digitali da parte di tutti i cittadini.

Anche i privati possono rendere i propri servizi online accessibili tramite SPID, al fine di favorire e semplificare l’utilizzo dei propri servizi digitali.

In questa pagina trovi le informazioni che ti consentono di diventare fornitore di servizi e il percorso necessario per adeguare i tuoi sistemi informativi alle regole tecniche e alle regole di design dedicate a SPID.

Le procedure da completare sono due, una tecnica e una amministrativa. Ogni comunicazione avviene attraverso il sistema di supporto dedicato e tramite l'email spid.tech@agid.gov.it (non è una casella PEC, perciò inviare da indirizzo istituzionale di posta elettronica ordinaria) se dovessero essere comunicati dati ritenuti sensibili o configurazioni di sicurezza e per la richiesta di caricamento metadata.

Gli obblighi derivanti dalla normativa dell’Unione europea

Tutte le pubbliche amministrazioni che rendono accessibili i propri servizi online con credenziali SPID di livello 2 o 3 (come anche attraverso la carta di identità elettronica), hanno l’obbligo di rendere accessibili detti servizi anche con gli strumenti di autenticazione notificati dagli altri Stati membri. Non rispettare tale obbligo, implica esporsi a una procedura di infrazione per violazione dell’articolo 6 del regolamento eIDAS.
(n.910/2014).

Al fine di ottemperare a detto obbligo, si deve seguire la procedura pubblicata sul sito dedicato.
al nodo eIDAS nazionale.

Procedura tecnica

Il sistema SPID si basa sul protocollo SAML2.
Per implementare SPID nei tuoi servizi online:

  1. Consulta le regole tecniche, gli avvisi SPID e la tabella anomalie, con le indicazioni necessarie a guidarti durante l'implementazione di SPID e le linee guida interfacce e informazioni. Queste ultime hanno l'obiettivo di guidarti nell'utilizzo delle componenti grafiche necessarie a garantire la riconoscibilità di SPID tra gli utenti.

  2. Implementa l'autenticazione con SPID sui tuoi servizi. Sul repository https://developers.italia.it/it/spid sono disponibili librerie per i diversi linguaggi di programmazione e risorse utili per l’integrazione ai quali puoi fare riferimento.

    Ricorda che:

    - Gli eventuali messaggi di errore presentati all’utente contengono almeno un testo chiaro, semplice, non tecnico e un bottone per tornare indietro;
    - Deve essere mantenuta la medesima esperienza utente (a partire dall’interfaccia grafica) anche in caso di errori o problemi tecnici;
    - Le “anomalie SPID” devono essere correttamente indicate all’utente così come riportate nella tabella anomalie;
    - Accertati che sia sempre presente un bottone ‘Logout’ per poter uscire, una volta autenticati, dal servizio;
    - Infine, ricorda che deve essere consentito all’utente di accedere ai servizi anche tramite credenziali SPID di livelli superiori a quello minimo richiesto;

  3. Verifica se il tuo Ente ha già prodotto ed inviato ad AgID un metadata. In caso affermativo modifica il metadata già presentato per includere i nuovi servizi, altrimenti elabora un metadata come indicato nel documento riassuntivo. Il dispiegamento dei servizi deve rispettare quanto stabilito dall'Avviso n. 6. Gli attributi richiesti per l'erogazione di ogni servizio online, inoltre, devono essere attinenti e non eccedenti.

  4. Verifica autonomamente la correttezza del metadata e la tua implementazione.
    Consigliamo caldamente, prima di effettuare i passaggi successivi, di installare e configurare lo SPID Validator, disponibile online sul sito GutHub Italia: https://github.com/italia/spid-saml-check e di utilizzarlo per pre-collaudare la propria implementazione.
    Tale collaudo, infatti, replica quello che sarà normativamente effettuato da AgID e vi consentirà di ottenere più rapidanemte e in totale autonomia, un’implementazione conforme dal punto di vista tecnico.
    Il superamento di tutti i controlli dello SPID Validator eseguito da AgID è infatti obbligatorio per procedere con l’accreditamento del Service Provider.
    Ti segnaliamo che il superamento dei controlli con lo SPID Validator non da la certezza di superamento del collaudo effettuato da AgID, che è volto anche a controllare il rispetto delle indicazioni date al punto 1.
    E’ possibile verificare che la propria implementazione sia conforme ai requisiti tecnici utilizzando in locale l’ambiente di test scaricabile al repository https://github.com/italia/spid-testenv2 ovvero online all'indirizzo https://idp.spid.gov.it. In particolare occorre verificare il corretto funzionamento in relazione ad ognuno dei test indicati nel seguente documento SPID Quality Assessment Document.
    Per utilizzare l'ambiente di test online occorre registrare il proprio metadata all'indirizzo https://idp.spid.gov.it/admin/databasesprecord/
    Essendo l'ambiente di test online pubblico, i metadati registrati sono pubblicamente visibili. Per maggiori informazioni circa l'utilizzo dell'ambiente di test o per segnalare eventuali problemi fare riferimento al repository ufficiale GitHub.

    Accertati del corretto funzionamento della tua implementazione prima di richiedere ad AgID la verifica tecnica.

  5. Rendi disponibile il metadata su una url 'https' del tuo dominio e inserisci tra gli IdP del bottone “Entra con SPID” un ulteriore IdP del tool SPID Validator, il cui metadata è disponibile alla seguente url: https://validator.spid.gov.it/metadata.xml. Quindi, invia una email a spid.tech@agid.gov.it (non è una casella PEC, perciò inviare da indirizzo istituzionale di posta elettronica ordinaria) indicando le seguenti informazioni:

    a) Nome ente (denominazione o ragione sociale) e alternativamente:
    - se soggetto pubblico, Codice IPA
    - se soggetto privato, Codice Fiscale o P.IVA
    b) Url del metadata;
    c) Se si tratta di aggiornamento o nuovo metadata;
    d) Url del servizio al quale è presente in bottone “Entra con SPID” con il collegamento a SPID Validator;
    e) Contatto riferimento tecnico (nominativo, e-mail, num. di telefono);
    f) Contatto referente amministrativo (nominativo, e-mail, num. di telefono);

    AgID provvederà a verificare il metadata ricevuto e la correttezza dell’implementazione. Se necessario, saranno segnalate le modifiche necessarie a garantire il rispetto delle regole tecniche. La verifica condotta da AgID è eseguita tramite la piattaforma SPID SAML Check, di cui fa parte il tool SPID Validator. Il codice della piattaforma SPID SAML Check è disponibile pubblicamente al repository https://github.com/italia/spid-saml-check.

  6. Se AgID richiede delle modifiche dovrai ripetere la procedura a partire dal punto 3.

  7. Se l'invio del metadata e la verifica tecnica danno esito positivo, AgID comunica il metadata agli Identity Provider (IDP). La richiesta di caricamento configurazioni agli IDP è effettuata ogni giorno alle ore 18:00, dal lunedì al venerdì. Di norma, entro un giorno lavorativo, gli IdP provvedono al loro caricamento ed il tuo servizio sarà accessibile tramite SPID.

Procedura amministrativa

Completata la procedura tecnica, AgID invierà al referente amministrativo, indicato al punto 5.f, copia della convenzione da restituire compilata e sottoscritta con firma elettronica qualificata via PEC a protocollo@pec.agid.gov.it. Entro pochi giorni ti tornerà controfirmata dal Direttore Generale di AgID. Se non provvederai a restituire la convenzione firmata entro 30 giorni solari prendi immediati contatti con AgID per concordare altro termine, altrimenti i tuoi servizi saranno tolti dalla federazione e non saranno più accessibili con SPID.

Supporto tecnico e amministrativo

Se hai bisogno di supporto nella fase di adeguamento dei tuoi sistemi a SPID puoi richiederlo o cercare le risposte e soluzioni già fornite sul sistema di supporto dedicato.

I principali interventi tecnici che ti verranno chiesti

  1. Interventi di implementazione del sistema SPID, utilizzando SAML2, nei propri applicativi web;

  2. Consegna di un metadata, come da regole tecniche e successivi avvisi, per la configurazione dei propri servizi presso gli IDP.

Le figure di riferimento necessarie per concludere il processo di adesione a SPID

  1. Referente tecnico per tutte le attività di implementazione del sistema di autenticazione SPID;

  2. Rappresentante legale per la firma della convenzione.

Riferimenti

Tutta la documentazione è disponibile nella sezione SPID del sito AgID

torna all'inizio del contenuto