How to become a public or private service provider with SPID

All public administrations must make their online services accessible through SPID in order to facilitate and simplify the use of digital services by all citizens.

Individuals can also make their online services accessible through SPID, in order to facilitate and simplify the use of their digital services.

On this page you will find information that allows you to become a service provider and the necessary path to adapt your information systems to the technical rules and design rules dedicated to SPID.

Two procedures must be completed: a technical and administrative one. All communication must be via the dedicated support system and via email spid.tech@agid.gov.it if communicating sensitive data or security configurations and requesting metadata upload.

Gli obblighi derivanti dalla normativa dell’Unione europea [TOUPDATE]

Tutte le pubbliche amministrazioni che rendono accessibili i propri servizi online con credenziali SPID di livello 2 o 3 (come anche attraverso la carta di identità elettronica), hanno l’obbligo di rendere accessibili detti servizi anche con gli strumenti di autenticazione notificati dagli altri Stati membri. Non rispettare tale obbligo, implica esporsi a una procedura di infrazione per violazione dell’articolo 6 del [TOUPDATE] regolamento eIDAS [TOUPDATE].
(n.910/2014). [TOUPDATE]

Al fine di ottemperare a detto obbligo, si deve seguire la procedura pubblicata sul [TOUPDATE] sito dedicato [TOUPDATE].
al nodo eIDAS nazionale. [TOUPDATE]

Technical procedure

The SPID system is based on the protocol SAML2.
To implement SPID in your online services:

  1. Consult the technical rules, gli avvisi SPID [TOUPDATE] e la [TOUPDATE] tabella anomalie [TOUPDATE], with the necessary indications to guide you during the implementation of SPID and the interfaces and information guidelines. The latter aim to guide you through the use of the graphic components necessary to ensure the recognition of SPID among users.

  2. Implementa l'autenticazione con SPID sui tuoi servizi. Sul repository [TOUPDATE] https://developers.italia.it/it/spid sono disponibili librerie per i diversi linguaggi di programmazione e risorse utili per l’integrazione ai quali puoi fare riferimento. [TOUPDATE]

  3. Verifica se il tuo Ente ha già prodotto ed inviato ad AgID un metadata. In caso affermativo modifica il metadata già presentato per includere i nuovi servizi, altrimenti elabora un metadata come indicato nel [TOUPDATE] summary document. The deployment of the services must respect as established byNotice no. 6. Furthermore, the attributes required for the provision of each online service must be relevant and not excessive.

  4. Verifica autonomamente la correttezza del metadata e la tua implementazione. E’ possibile verificare che la propria implementazione sia conforme ai requisiti tecnici utilizzando in locale l’ambiente di test scaricabile al repository [TOUPDATE] https://github.com/italia/spid-testenv2 ovvero online all'indirizzo [TOUPDATE] https://idp.spid.gov.it. In particolare occorre verificare il corretto funzionamento in relazione ad ognuno dei test indicati nel seguente documento [TOUPDATE] SPID Quality Assessment Document [TOUPDATE].
    Per utilizzare l'ambiente di test online occorre registrare il proprio metadata all'indirizzo [TOUPDATE] https://idp.spid.gov.it/admin/databasesprecord/
    Essendo l'ambiente di test online pubblico, i metadati registrati sono pubblicamente visibili. [TOUPDATE] Per maggiori informazioni circa l'utilizzo dell'ambiente di test o per segnalare eventuali problemi fare riferimento al repository ufficiale GitHub. [TOUPDATE].

    Accertati del corretto funzionamento della tua implementazione prima di richiedere ad AgID la verifica tecnica. [TOUPDATE].

  5. Rendi disponibile il metadata su una url 'https' del tuo dominio e inserisci tra gli IdP del bottone “Entra con SPID” un ulteriore IdP del tool SPID Validator, il cui metadata è disponibile alla seguente url: [TOUPDATE] https://validator.spid.gov.it/metadata.xml. Quindi, invia una email a [TOUPDATE] spid.tech@agid.gov.it indicando le seguenti informazioni: [TOUPDATE]

    a) Nome ente (se soggetto privato, denominazione o ragione sociale seguita da Codice Fiscale o P.IVA); [TOUPDATE]
    b) Url del metadata; [TOUPDATE]
    c) Se si tratta di aggiornamento o nuovo metadata; [TOUPDATE]
    d) Url del servizio al quale è presente in bottone “Entra con SPID” con il collegamento a SPID Validator; [TOUPDATE]
    e) Contatto riferimento tecnico (nominativo, e-mail, num. di telefono); [TOUPDATE]
    f) Contatto referente amministrativo (nominativo, e-mail, num. di telefono); [TOUPDATE]

    AgID provvederà a verificare il metadata ricevuto e la correttezza dell’implementazione. Se necessario, saranno segnalate le modifiche necessarie a garantire il rispetto delle regole tecniche. La verifica condotta da AgID è eseguita tramite la piattaforma SPID SAML Check, di cui fa parte il tool SPID Validator. Il codice della piattaforma SPID SAML Check è disponibile pubblicamente al repository [TOUPDATE] https://github.com/italia/spid-saml-check. Se vuoi puoi usarlo preventivamente per evitare che AgID riscontri degli errori. È un tool interno AgID, pertanto non vi è supporto. Il suo utilizzo non è un obbligo ma un’opportunità. [TOUPDATE]

  6. Se AgID richiede delle modifiche dovrai ripetere la procedura a partire dal punto 3. [TOUPDATE]

  7. Se l'invio del metadata e la verifica tecnica danno esito positivo, AgID comunica il metadata agli Identity Provider (IDP). La richiesta di caricamento configurazioni agli IDP è effettuata ogni giorno alle ore 18:00, dal lunedì al venerdì. Di norma, entro un giorno lavorativo, gli IdP provvedono al loro caricamento ed il tuo servizio sarà accessibile tramite SPID. [TOUPDATE]

Administrative procedure

Completata la procedura tecnica, AgID invierà al referente amministrativo, indicato al punto 5.f, copia della convenzione da restituire compilata e sottoscritta con firma elettronica qualificata via PEC a [TOUPDATE] protocollo@pec.agid.gov.it [TOUPDATE]. Entro pochi giorni ti tornerà controfirmata dal Direttore Generale di AgID. [TOUPDATE] Se non provvederai a restituire la convenzione firmata entro 30 giorni solari prendi immediati contatti con AgID per concordare altro termine, altrimenti i tuoi servizi saranno tolti dalla federazione e non saranno più accessibili con SPID. [TOUPDATE]

Technical and administrative support

If you need support in the adaptation phase of your systems to SPID you can request it or look for the answers and solutions already provided on the dedicated support dedicated.

The main technical interventions that you will be asked

  1. Implementation of the SPID system, using SAML2, in web applications;

  2. Delivery of a metadata, as per technical rules and subsequent notices, for the configuration of services at IDPs.

The reference figures needed to complete the process of adhering to SPID

  1. Technical contact for all activities of implementing the SPID authentication system;

  2. Legal representative for signing of the agreement.

References

Regulations (DPCM 24 October 2014)

Documentation and technical rules
Notices
SPID interfaces and information guidelines for IdP and Sp
Repository Github Italia

Agreement for public entities

Determination AGID No. 14/2018 SPID Agreement between AgID and Public Administrations

Schema Convenzione Determinazione AGID N. 14-2018 [TOUPDATE]

Agreement for individuals and annexes

Determinazione AGID N. 166/2019 - Convenzione Service Provider Privati e Gestori Identità [TOUPDATE]

DT 166/2019 - Convenzione Gestori di Identità SPID [TOUPDATE]

DT 166/2019 - Convenzione Fornitori di servizi Privati SPID [TOUPDATE]

Allegato 1 alla DT 166/2019 - Addendum [TOUPDATE]

Allegato 2 alla DT 166/2019 - Contratto [TOUPDATE]

Allegato 3 alla DT 166/2019 - Livelli di servizio [TOUPDATE]

Allegato 4 alla DT 166/2019 - Corrispettivi autenticazione SPID SP Privati [TOUPDATE]

return to the start of the content