CTS/REFEDSBaselineExpectations: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Creata pagina con "Il gruppo di lavoro di REFEDS sulle Baseline Expectations ha definito una serie di requisiti di alto livello per gli operatori di entità federate e gli operatori di federazio..." |
Nessun oggetto della modifica |
||
| (Una versione intermedia di uno stesso utente non è mostrata) | |||
| Riga 32: | Riga 32: | ||
|SI | |SI | ||
* in NdP è già prevista la firma del rappresentante legale e l'esistenza di un solo IdP per i membri - rif. NdP 2.1 Partecipanti. | *in NdP è già prevista la firma del rappresentante legale e l'esistenza di un solo IdP per i membri - rif. NdP 2.1 Partecipanti. | ||
|Rendere più esplicito il livello di autorità dell'IdP. | |Rendere più esplicito il livello di autorità dell'IdP. '''Ad esempio inserire che l'IdP rapprsenta gli utenti dell'organizzazione nel documento di adesione.''' | ||
|- | |- | ||
|[IPO2] Your Identity Provider is trusted enough to be used to access your organization’s own systems | |[IPO2] Your Identity Provider is trusted enough to be used to access your organization’s own systems | ||
| Riga 39: | Riga 39: | ||
Non ci sono riferimenti specifici (ad esempio non ripudio dell'IdP per i sistemi interni) | Non ci sono riferimenti specifici (ad esempio non ripudio dell'IdP per i sistemi interni) | ||
| | | | ||
| | |'''Chiedere a Pal Axelsonn''' | ||
|- | |- | ||
|[IPO3] You publish contact information for your Identity Provider and respond in a timely fashion to operational issues | |[IPO3] You publish contact information for your Identity Provider and respond in a timely fashion to operational issues | ||
|PARZIALE | |PARZIALE | ||
* gli IdP devono pubblicare i contatti nei metadata | *gli IdP devono pubblicare i contatti nei metadata | ||
* in ST sono definiti i tempi di correzione di alcuni problemi operativi (IdP, pagina info ed email di contatto) - rif. ST 11 Operatività del servizio | *in ST sono definiti i tempi di correzione di alcuni problemi operativi (IdP, pagina info ed email di contatto) - rif. ST 11 Operatività del servizio | ||
* non sono definiti in modo puntuale i tempi da rispettare per tutte le segnalazioni | *non sono definiti in modo puntuale i tempi da rispettare per tutte le segnalazioni | ||
|Definire i tempi di risposta per le segnalazioni (ad esempio estendendo quanto fatto dal Servizio IDEM per gli IdP non operativi, vedi: [[Sospensione Entita]]) | |Definire i tempi di risposta per le segnalazioni (ad esempio estendendo quanto fatto dal Servizio IDEM per gli IdP non operativi, vedi: [[Sospensione Entita]]) | ||
| | |'''Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni.''' | ||
|- | |- | ||
|[IPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | |[IPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | ||
|NO | |NO | ||
* in NdP c'è solo un riferimento generico alla sicurezza - rif NdP 3.4 Impegni dei partecipanti". | *in NdP c'è solo un riferimento generico alla sicurezza - rif NdP 3.4 Impegni dei partecipanti". | ||
<br /> | <br /> | ||
|Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM. | |Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM. | ||
| | '''Proposta ulteriore: obbligo di notifica verso il contatto di sicurezza della federazione IDEM.''' | ||
|'''Mix di Sirtfi e PTO''' | |||
|- | |- | ||
|[IPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | |[IPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | ||
|PARZIALE | |PARZIALE | ||
* in ST si "richiede la trasmissione immediata delle variazioni dei dati, soprattutto in caso di variazione/revoca del certificato", ma non vi sono meccanismi di verifica e/o penalità - rif. ST 8.2 Modalità di gestione dei metadati | *in ST si "richiede la trasmissione immediata delle variazioni dei dati, soprattutto in caso di variazione/revoca del certificato", ma non vi sono meccanismi di verifica e/o penalità - rif. ST 8.2 Modalità di gestione dei metadati | ||
|'''Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).''' | |||
| | |||
| | | | ||
|} | |} | ||
| Riga 76: | Riga 76: | ||
|- | |- | ||
|[SPO1] You ensure that controls are in place to protect user privacy in the service | |[SPO1] You ensure that controls are in place to protect user privacy in the service | ||
| | |'''SI''' | ||
| | |||
Privacy Policy/Information URL obbligatorie. | |||
|'''Sirtfi copre in parte anche questo.''' | |||
| | | | ||
|- | |- | ||
|[SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes | |[SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes | ||
| | |'''SI''' | ||
Privacy Policy obbligatoria. | |||
| | | | ||
| | | | ||
| Riga 88: | Riga 92: | ||
| | | | ||
| | | | ||
| | |'''Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni --- verificare che copra anche gli SP''' | ||
|- | |- | ||
|[SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | |[SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | ||
| | |NO (parziale) | ||
| | |'''Sirtfi e PTO per la parte di sicurezza endpoint e algoritmi''' | ||
| | | | ||
|- | |- | ||
|[SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | |[SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | ||
| | |SI (parziale) | ||
| | |'''Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).''' | ||
| | | | ||
|- | |- | ||
|[SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy | |[SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy | ||
| | |SI | ||
Obbligo di inserire i requested attributes nei metadata e Privacy Policy/Information URL | |||
| | | | ||
| | | | ||
| Riga 113: | Riga 119: | ||
|- | |- | ||
|[FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts | |[FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts | ||
| | |'''Pubblicare''' | ||
| | | | ||
| | | | ||
|- | |- | ||
|[FO2] You publish contact information and respond in a timely fashion to operational issues | |[FO2] You publish contact information and respond in a timely fashion to operational issues | ||
| | |'''Definire tempi di risposta per i contatti che gia' ci sono.''' | ||
| | | | ||
| | | | ||
Versione attuale delle 12:17, 30 ott 2025
Il gruppo di lavoro di REFEDS sulle Baseline Expectations ha definito una serie di requisiti di alto livello per gli operatori di entità federate e gli operatori di federazione o interfederazione per rispettare le aspettative di funzionamento dell'autenticazione federata e l'interoperabilità dei servizi a livello mondiale.
Il CTS di IDEM ha iniziato l'esame dei requisiti di REFEDS per verificare quali di questi siano già presenti nei regolamenti e nelle specifiche della federazione o quali cambiamenti siano necessari per la loro implementazione.
I requisiti sono suddivisi nelle categorie Identity Provider Operators, Service Provider Operators, Federation or interfederation Operators.
| Documento Federazione IDEM | Abbreviazione |
|---|---|
| Regolamento della Federazione IDEM v3.0 | RdF |
| Norme di Partecipazione alla Federazione IDEM v.16 | NdP |
| Specifiche Tecniche per la Federazione IDEM v 1.2 | ST |
| Specifiche tecniche per la compilazione e l'uso degli attributi v. 3.0 | ST-A |
| Requisito | Regolamenti e specifiche Federazione IDEM | Proposte | Note |
|---|---|---|---|
| [IPO1] Your Identity Provider is operated with organizational-level authority | SI
|
Rendere più esplicito il livello di autorità dell'IdP. Ad esempio inserire che l'IdP rapprsenta gli utenti dell'organizzazione nel documento di adesione. | |
| [IPO2] Your Identity Provider is trusted enough to be used to access your organization’s own systems | NO
Non ci sono riferimenti specifici (ad esempio non ripudio dell'IdP per i sistemi interni) |
Chiedere a Pal Axelsonn | |
| [IPO3] You publish contact information for your Identity Provider and respond in a timely fashion to operational issues | PARZIALE
|
Definire i tempi di risposta per le segnalazioni (ad esempio estendendo quanto fatto dal Servizio IDEM per gli IdP non operativi, vedi: Sospensione Entita) | Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni. |
| [IPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | NO
|
Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM.
Proposta ulteriore: obbligo di notifica verso il contatto di sicurezza della federazione IDEM. |
Mix di Sirtfi e PTO |
| [IPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | PARZIALE
|
Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM). |
| Requisito | Regolamenti e specifiche Federazione IDEM | Proposte | Note |
|---|---|---|---|
| [SPO1] You ensure that controls are in place to protect user privacy in the service | SI
Privacy Policy/Information URL obbligatorie. |
Sirtfi copre in parte anche questo. | |
| [SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes | SI
Privacy Policy obbligatoria. |
||
| [SPO3] You publish contact information and respond in a timely fashion to operational issues | Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni --- verificare che copra anche gli SP | ||
| [SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response | NO (parziale) | Sirtfi e PTO per la parte di sicurezza endpoint e algoritmi | |
| [SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date | SI (parziale) | Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM). | |
| [SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy | SI
Obbligo di inserire i requested attributes nei metadata e Privacy Policy/Information URL |
| Requisito | Regolamenti e specifiche Federazione IDEM | Proposte | Note |
|---|---|---|---|
| [FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts | Pubblicare | ||
| [FO2] You publish contact information and respond in a timely fashion to operational issues | Definire tempi di risposta per i contatti che gia' ci sono. | ||
| [FO3] You apply security practices to federation operations and ensure timely incident response | |||
| [FO4] You follow good practices to ensure authentic, accurate and interoperable metadata to enable secure and trustworthy federated transactions | |||
| [FO5] You implement and support frameworks that improve trustworthy and scalable use of Federation and promote their adoption by members and other participants | |||
| [FO6] You collaborate with other organisations to promote realization of baseline expectations nationally and internationally |