Datum der letzten Änderung: 22/10/2020

Wie wird man SPID-Anbieter für private oder öffentliche Dienste?

Alle öffentlichen Verwaltungen müssen ihre Online-Dienste mittles SPID zugänglich machen, um die Verwendung der digitalen Dienste für die Bürger zu erleichtern und zu vereinfachen.

Auch Privatpersonen können ihre Online-Dienste über SPID zugänglich machen, um die Verwendung ihrer digitalen Dienste zu erleichtern und zu vereinfachen.

Auf dieser Seite finden Sie Informationen, die es Ihnen ermöglichen, ein Dienstleister zu werden. Hier wird Ihnen gezeigt, welche technischen Regeln und welches Design es für die Informationssysteme von SPID gibt.

Zwei Verfahren müssen abgeschlossen werden, ein technisches und ein Verwaltungsverfahren. Die Kommunikation erfolgt über das dedizierte Hilfe-System und über E-Mail spid.tech@agid.gov.it (es handelt sich nicht um eine PEC-Adresse. Mails müssen daher von einem normalen institutionellen Postfach versandt werden ) , wenn sensible Daten/Inhalte oder Sicherheitseinstellungen mitgeteilt werden oder wenn um den Upload von Metadaten angesucht wird.

Verpflichtungen, die sich aus europäischen Rechtsnormen ergeben

Alle öffentlichen Verwaltungen, deren Dienste online mittels SPID-Zugangsdaten des Level 2 oder 3 (ebenso mittels elektronischer Identitätskarte) erreichbar sind, sind dazu verpflichtet diese Dienste auch mit Authentifizierungstechniken, die von anderen Mitgliedsstaaten notifiziert wurden zugänglich zu machen. Dieser Verpflichtung nicht nachzukommen, bedeutet sich einem Verstoßverfahren wegen Verletzung des Art. 6 der eIDAS Verordnung.
(Nr. 910/2014) auszusetzen.

Zur Erfüllung dieser Verpflichtungen ist das entsprechende Verfahren einzuhalten. Siehe dazu die dedizierte Seite.
zum nationalen eIDAS-Netzknoten.

Technisches Verfahren

Das SPID System beruht auf dem Protokoll SAML2.
So implementieren Sie SPID in Ihre Online-Dienste:

  1. Beachten Sie die technischen Regeln, SPID Hinweise und die Anomalien Tabelle, mit den nötigen Anleitungen, um sich Ihren SPID einzurichten und die Richtlinien, Schnittstellen und Informationen. Diese begleiten Sie bei der Anwendung der Grafikkomponenten, sodass SPID von den Benutzern auch optisch erkannt wird.

  2. Implementieren Sie die Authentifizierung mit SPID für Ihre Dienste. Im Repository https://developers.italia.it/it/spid stehen Bibliotheken für die verschiedenen Programmiersprachen sowie Hilfsmittel für die Integrierung zur Verfügung, auf welche man zurückgreifen kann.

    Nicht vergessen:

    - Eventuelle Fehlermeldungen an den Nutzer enthalten mindesten einen klaren, einfachen und nicht technischen Text, sowie eine Zurücktaste ;
    - Die Benutzererfahrung muss beibehalten werden (angefangen bei der grafischen Aufbereitung), auch bei Fehlermeldungen oder technischen Problemen ;
    - “SPID-Anomalien” müssen dem Nutzer korrekt angegeben werden, unter Einhaltung der Angaben in der Anomalien Tabelle;
    - Vergewissern Sie sich, dass immer eine Schaltfläche ‘Logout’ für den Ausstieg aus dem Dienst nach der Authentifizierung verfügbar ist ;
    - Nicht vergessen werden darf, dem Benutzer den Zugriff auf die Dienste auch über SPID-Zugangsdaten zu ermöglichen, die höher als das erforderliche Mindestmaß sind;

  3. Überprüfen Sie, ob Ihre Körperschaft bereits Metadaten produziert und diese an AGID gesendet hat. Falls dies geschehen ist, ändern Sie die bereits gesendeten Metadaten, um neue Dienste einzubinden, andernfalls erarbeiten Sie Metadaten wie angegeben im zusammenfassenden Dokument. Die Dienste müssen den Vorgaben entsprechen. Diese entnehmen Sie dem Hinweis Nr. 6. Darüber hinaus müssen für jeden Online-Dienst die erforderlichen Eigenschaften gegeben sein und nicht mehr.

  4. Überprüfen Sie selbstsändig die Richtigkeit der Metadaten und die Implementation.
    Wir empfehlen dringend, vor den nächsten Schritten den SPID Validator zu installieren und zu konfigurieren, der online auf der Website von GutHub Italia verfügbar ist: https://github.com/italia/spid-saml-check und diesen für eine erste Abnahme der eigenen Implementation zu nutzen.
    Tatsächlich entspricht diese Abnahme dem, was AgID gemäß der Normen vornehmen wird. Dies erlaubt somit eine schnelle, eigenständige und technisch konforme Implementation.
    Insbesondere muss die korrekte Funktion in Bezug auf jede der im folgenden Dokument angegebenen Prüfungen geprüft werden SPID Quality Assessment Dokument.
    Das Bestehen aller von AgID mittels SPID-Validator durchgeführten Kontrollen ist Vorraussetzung für die Akkreditierung des Service Provider.
    Wir weisen darauf hin, dass das Bestehen der Kontrollen des SPID Validator, keine Garantie für eine postive Abnahme durch AgID darstellt, da diese auch die Überprüfung der Angaben unter Punkt 1 enthält


    Stellen Sie sicher, dass Ihre Implementierung ordnungsgemäß funktioniert, bevor Sie eine technische Überprüfung von AgID anfordern.

  5. Stellen Sie die Metadaten über eine url 'https' Ihrer Domäne zur Verfügung und fügen Sie unter die IdP des Buttons “SPID Anmeldung” einen weiteren IdP des Tools SPID Validator hinzu, dessen Metadaten unter folgendem Link zur Verfügung stehen https://validator.spid.gov.it/metadata.xml. Senden Sie dann eine E-Mail an spid.tech@agid.gov.it (es handelt sich nicht um eine PEC-Adresse. Mails müssen daher von einem normalen institutionellen Postfach versandt werden ) unter Angabe der folgenden Informationen:

    a) Name Behörde (Name oder Firmenname) und alternativ:
    - falls öffentliche Einrichtung, IPA-Kodex
    - falls Privatperson, Steuernummer oder MwSt.-Nummer
    b) Metadaten Url;
    c) Ob es sich um ein Update oder um neue Metadaten handelt;
    d) URL des Dienstes bei welchem beim Button “SPID Anmeldung” die Verbindung zu SPID Validator besteht
    e) Technischer Referenzkontakt (Name, E-Mail, Telefonnummer);
    f) Administrativer Ansprechpartner (Name, E-Mail, Telefonnummer);
    g) Nur für private SP :
    - PEC-Adresse für nachfolgende Mitteilungen zum Abschluss des Abkommens - Beschreibung der Arten von digitalen Diensten, die mit SPID Zugang zur Verfügung gestellt werden sollen und Art der Nutzer an die sie sich richten

    AgID überprüft die erhaltenen Metadaten und die Richtigkeit der Implementierung. Bei Bedarf werden die Änderungen gemeldet, die zur Einhaltung der technischen Regeln erforderlich sind. Die von AgID durchgeführte Überprüfung wird über die SPID SAML Check Plattform durchgeführt, zu der das SPID Validator Tool gehört. Der SPID SAML Check Plattformcode ist für das Repository öffentlich verfügbar. https://github.com/italia/spid-saml-check.

  6. Wenn AgID Änderungen verlangt, müssen Sie den Vorgang ab Punkt 3 wiederholen.

  7. Sind das Senden der Metadaten und die technische Überprüfung erfolgreich, übermittelt AgID die Metadaten an die Identitätsanbieter (IDP). Die Anforderung, Konfigurationen in IDPs hochzuladen, wird täglich um 18:00 Uhr von Montag bis Freitag ausgeführt. Normalerweise werden die IdPs innerhalb eines Arbeitstages geladen und Ihr Dienst ist über SPID erreichbar.

Verwaltungsverfahren

Sobald das technische Verfahren abgeschlossen ist, sendet AgID an den unter Punkt 5.f angegebenen administrativen Kontakt eine Kopie der Vereinbarung, die ausgefüllt und mit einer qualifizierten elektronischen Signatur unterzeichnet werden muss und Über PEC zurückgesendet an protocollo@pec.agid.gov.it. Innerhalb weniger Tage erhalten Sie diese vom General Direktor von AgID unterschrieben zurück. Wenn Sie die unterschriebene Vereinbarung nicht innerhalb von 30 Kalendertagen zurücksenden, kontaktieren Sie umgehend AgID, um eine anderen Termin zu vereinbaren. Andernfalls werden Ihre Dienste entfernt und sind mit SPID nicht mehr erreichbar.

Technische und verwaltungsmäßige Unterstützung

Unterstützung bei der Anpassung Ihre Systeme an SPID können Sie direkt anfragen oder für bereits bereitgestellte Antworten und Lösungen konsultieren Sie bitte das dedizierte Hilfe-System

Die wichtigsten, technischen Eingriffe, die erforderlich sind

  1. Implementierung des SPID-Systems unter Verwendung von SAML2 in den eigenen Webanwendungen;

  2. Bereitstellung von Metadaten gemäß den technischen Regeln und nachfolgenden Hinweisen zwecks Konfiguration ihrer Dienste bei den IDPs.

Die erforderlichen Eckdaten, um den Anschluss an den SPID-Prozess erfolgreich abzuschließen

  1. Technischer Kontakt für alle Aktivitäten zur Implementierung des SPID-Authentifizierungssystems;

  2. Gesetzlicher Vertreter für die Unterzeichnung des Abkommens.

Verweise

Die gesamte Dokumentation ist im Abschnitt SPID der Webseite von AgID verfügbar

zurück zum Anfang der Seite