AdesioneProfilidiGaranziaIDEM: differenze tra le versioni

← Differenza precedente Differenza successiva →

Versione delle 16:11, 11 ago 2023

L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: l'attendibilità dei processi di identificazione e raccolta delle informazioni dell'identità e la robustezza dei mezzi di autenticazione ad essa associati.

La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [REFEDS-RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf.

Quanto segue è una sintesi dello standard comprensiva di alcune note di implementazione.

Attributo assurance

I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:

identificatori, componente ID;
verifica dell'identità e gestione delle credenziali, componente IAP;
qualità degli attributi, componente ATP;

Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasportati tramite l'attributo multiplo assurance, ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo assurance sono espressi tramite URL.

I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del REFEDS Assurance Framework in modo da consentire la più totale interoperabilità.

La tabella che segue riporta i valori che l'attributo assurance deve assumere per ogni profilo.


assurance	IDEM-P0	IDEM-P1	IDEM-P2	IDEM-P3
https://refeds.org/assurance/ID/unique	sì	sì	sì	sì
https://refeds.org/assurance/ID/eppn-unique-no-reassign	sì	sì	sì	sì
https://refeds.org/assurance/IAP/low	sì	sì	sì	sì
https://refeds.org/assurance/IAP/medium		sì	sì	sì
https://refeds.org/assurance/IAP/high			sì	sì
https://refeds.org/assurance/ATP/ePA-1m	sì*	sì*	sì*	sì*
https://refeds.org/assurance/ATP/ePA-1d	sì*	sì*	sì*	sì*
https://idem.garr.it/assurance/IDEM-P0	sì	sì	sì	sì
https://idem.garr.it/assurance/IDEM-P1		sì	sì	sì
https://idem.garr.it/assurance/IDEM-P2			sì	sì
https://idem.garr.it/assurance/IDEM-P3				sì
https://refeds.org/profile/cappuccino	sì	sì	sì	sì
https://refeds.org/profile/espresso		sì	sì	sì

Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider sarà (estratto):

[..]
<saml:AttributeStatement>
   <saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise
</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P0</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P1</saml:AttributeValue>
   </saml:Attribute>
</saml:AttributeStatement>
[..]

Riferimenti

[REFEDS-RAF] URL

@@ Riga 5: / Riga 5: @@
 Quanto segue è una sintesi dello standard comprensiva di alcune note di implementazione.
-=== Attributo assurance ===
+===Attributo assurance===
 I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:
-* identificatori, componente ID;
+*identificatori, componente ID;
-* verifica dell'identità e gestione delle credenziali, componente IAP;
+*verifica dell'identità e gestione delle credenziali, componente IAP;
-* qualità degli attributi, componente ATP;
+*qualità degli attributi, componente ATP;
 Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasportati tramite l'attributo multiplo ''assurance'', ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo '''assurance''' sono espressi tramite URL.
@@ Riga 26: / Riga 26: @@
 |-
 |<nowiki>https://refeds.org/assurance/ID/unique</nowiki>
-|
+|sì
-|
+|sì
-|
+|sì
-|
+|sì
 |-
 |<nowiki>https://refeds.org/assurance/ID/eppn-unique-no-reassign</nowiki>
-|
+|sì
-|
+|sì
-|
+|sì
-|
+|sì
 |-
 |<nowiki>https://refeds.org/assurance/IAP/low</nowiki>
+|sì
+|sì
+|sì
+|sì
+|-
+|<nowiki>https://refeds.org/assurance/IAP/medium</nowiki>
 |
+|sì
+|sì
+|sì
+|-
+|<nowiki>https://refeds.org/assurance/IAP/high</nowiki>
 |
 |
+|sì
+|sì
+|-
+|<nowiki>https://refeds.org/assurance/ATP/ePA-1m</nowiki>
+|sì*
+|sì*
+|sì*
+|sì*
+|-
+|<nowiki>https://refeds.org/assurance/ATP/ePA-1d</nowiki>
+|sì*
+|sì*
+|sì*
+|sì*
+|-
+|<nowiki>https://idem.garr.it/assurance/IDEM-P0</nowiki>
+|sì
+|sì
+|sì
+|sì
+|-
+|https://idem.garr.it/assurance/IDEM-P1
 |
+|sì
+|sì
+|sì
 |-
-|<nowiki>https://refeds.org/assurance/IAP/medium</nowiki>
+|https://idem.garr.it/assurance/IDEM-P2
-|
-|
 |
 |
+|sì
+|sì
 |-
-|https://refeds.org/assurance/IAP/high
+|https://idem.garr.it/assurance/IDEM-P3
 |
 |
 |
+|sì
+|-
+|https://refeds.org/profile/cappuccino
+|sì
+|sì
+|sì
+|sì
+|-
+|https://refeds.org/profile/espresso
 |
+|sì
+|sì
+|sì
 |}
+<br />Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider sarà (estratto):<syntaxhighlight lang="xml">
+[..]
+<saml:AttributeStatement>
+   <saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise
+</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P0</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P1</saml:AttributeValue>
+   </saml:Attribute>
+</saml:AttributeStatement>
+[..]
+</syntaxhighlight>
-<br />
+==Riferimenti==
-==iferimenti==
 [REFEDS-RAF] URL

AdesioneProfilidiGaranziaIDEM: differenze tra le versioni

Versione delle 16:11, 11 ago 2023

Attributo assurance

Riferimenti

Menu di navigazione

Ricerca