Come diventare fornitore di servizi Pubblici o Privati con SPID

Tutte le pubbliche amministrazioni devono rendere i propri servizi online accessibili tramite SPID in modo da favorire e semplificare l'utilizzo dei servizi digitali da parte di tutti i cittadini.

Anche i privati possono rendere i propri servizi online accessibili tramite SPID, al fine di favorire e semplificare l’utilizzo dei propri servizi digitali.

In questa pagina trovi le informazioni che ti consentono di diventare fornitore di servizi e il percorso necessario per adeguare i tuoi sistemi informativi alle regole tecniche e alle regole di design dedicate a SPID.

Le procedure da completare sono due, una tecnica e una amministrativa. Ogni comunicazione avviene attraverso il sistema di supporto dedicato e tramite l'email spid.tech@agid.gov.it se dovessero essere comunicati dati ritenuti sensibili o configurazioni di sicurezza e per la richiesta di caricamento metadata.

Procedura tecnica

Il sistema SPID si basa sul protocollo SAML2.
Per implementare SPID nei tuoi servizi online:

  1. Consulta le regole tecniche, gli avvisi SPID e la tabella anomalie, con le indicazioni necessarie a guidarti durante l'implementazione di SPID e le linee guida interfacce e informazioni. Queste ultime hanno l'obiettivo di guidarti nell'utilizzo delle componenti grafiche necessarie a garantire la riconoscibilità di SPID tra gli utenti.

  2. Implementa l'autenticazione con SPID sui tuoi servizi. Sul repository https://developers.italia.it/it/spid sono disponibili librerie per i diversi linguaggi di programmazione e risorse utili per l’integrazione ai quali puoi fare riferimento.

  3. Verifica se il tuo Ente ha già prodotto ed inviato ad AgID un metadata. In caso affermativo modifica il metadata già presentato per includere i nuovi servizi, altrimenti elabora un metadata come indicato nel documento riassuntivo. Il dispiegamento dei servizi deve rispettare quanto stabilito dall'Avviso n. 6. Gli attributi richiesti per l'erogazione di ogni servizio online, inoltre, devono essere attinenti e non eccedenti.

  4. Verifica autonomamente la correttezza del metadata e la tua implementazione. E’ possibile verificare che la propria implementazione sia conforme ai requisiti tecnici utilizzando in locale l’ambiente di test scaricabile al repository https://github.com/italia/spid-testenv2. In particolare occorre verificare il corretto funzionamento in relazione ad ognuno dei test indicati nel seguente documento SPID Quality Assessment Document.

    Accertati del corretto funzionamento della tua implementazione prima di richiedere ad AgID la verifica tecnica..

  5. Rendi disponibile il metadata su una url 'https' del tuo dominio e inserisci tra gli IdP del bottone “Entra con SPID” un ulteriore IdP del tool SPID Validator, il cui metadata è disponibile alla seguente url: https://validator.spid.gov.it/metadata.xml. Quindi, invia una email a spid.tech@agid.gov.it indicando le seguenti informazioni:

    a) Nome ente;
    b) Url del metadata;
    c) Se si tratta di aggiornamento o nuovo metadata;
    d) Url del servizio al quale è presente in bottone “Entra con SPID” con il collegamento a SPID Validator;
    e) Contatto riferimento tecnico;
    f) Contatto referente amministrativo;

    AgID provvederà a verificare il metadata ricevuto e la correttezza dell’implementazione. Se necessario, saranno segnalate le modifiche necessarie a garantire il rispetto delle regole tecniche. La verifica condotta da AgID è eseguita tramite la piattaforma SPID SAML Check, di cui fa parte il tool SPID Validator. Il codice della piattaforma SPID SAML Check è disponibile pubblicamente al repository https://github.com/italia/spid-saml-check. Se vuoi puoi usarlo preventivamente per evitare che AgID riscontri degli errori. È un tool interno AgID, pertanto non vi è supporto. Il suo utilizzo non è un obbligo ma un’opportunità.

  6. Se AgID richiede delle modifiche dovrai ripetere la procedura a partire dal punto 3.

  7. Se l'invio del metadata e la verifica tecnica danno esito positivo, AgID comunica il metadata agli Identity Provider (IDP). La richiesta di caricamento configurazioni agli IDP è effettuata ogni giorno alle ore 18:00, dal lunedì al venerdì. Di norma, entro un giorno lavorativo, gli IdP provvedono al loro caricamento ed il tuo servizio sarà accessibile tramite SPID.

Procedura amministrativa

Completata la procedura tecnica, AgID invierà al referente amministrativo, indicato al punto 5.f, copia della convenzione da restituire compilata e sottoscritta con firma elettronica qualificata via PEC a protocollo@pec.agid.gov.it. Entro pochi giorni ti tornerà controfirmata dal Direttore Generale di AgID. Se non provvederai a restituire la convenzione firmata entro 30 giorni solari prendi immediati contatti con AgID per concordare altro termine, altrimenti i tuoi servizi saranno tolti dalla federazione e non saranno più accessibili con SPID.

Supporto tecnico e amministrativo

Se hai bisogno di supporto nella fase di adeguamento dei tuoi sistemi a SPID puoi richiederlo o cercare le risposte e soluzioni già fornite sul sistema di supporto dedicato.

I principali interventi tecnici che ti verranno chiesti

  1. Interventi di implementazione del sistema SPID, utilizzando SAML2, nei propri applicativi web;

  2. Consegna di un metadata, come da regole tecniche e successivi avvisi, per la configurazione dei propri servizi presso gli IDP.

Le figure di riferimento necessarie per concludere il processo di adesione a SPID

  1. Referente tecnico per tutte le attività di implementazione del sistema di autenticazione SPID;

  2. Rappresentante legale per la firma della convenzione.

Riferimenti

Normativa (DPCM 24 ottobre 2014)

Documentazione e regole tecniche
Avvisi
Linee guida interfacce e informazioni SPID per IdP e Sp
Repository Github Italia

Convenzione per soggetti pubblici

Determinazione AGID N. 14/2018 Convenzione SPID tra AgID e Pubbliche Amministrazioni

Schema Convenzione Determinazione AGID N. 14-2018

Convenzione per privati e allegati

Determinazione AGID N. 366/2017 - Approvazione schemi convenzioni SPID circuito privati

Allegato Determinazione AGID N. 366/2017 - Convenzione Service Provider Privati

Allegato 1 Determinazione AGID N. 366/2017 - Addendum

Allegato 2 Determinazione AGID N. 366/2017 - Contratto adesione

Allegato 3 Determinazione AGID N. 366/2017 - Livelli di servizio

Allegato 4 Determinazione AGID N. 366/2017 - Prezzario SPID SP Privati

torna all'inizio del contenuto