Differenze tra le versioni di "CTS/REFEDSBaselineExpectations"

Versione attuale delle 12:17, 30 ott 2025

Il gruppo di lavoro di REFEDS sulle Baseline Expectations ha definito una serie di requisiti di alto livello per gli operatori di entità federate e gli operatori di federazione o interfederazione per rispettare le aspettative di funzionamento dell'autenticazione federata e l'interoperabilità dei servizi a livello mondiale.

Il CTS di IDEM ha iniziato l'esame dei requisiti di REFEDS per verificare quali di questi siano già presenti nei regolamenti e nelle specifiche della federazione o quali cambiamenti siano necessari per la loro implementazione.

I requisiti sono suddivisi nelle categorie Identity Provider Operators, Service Provider Operators, Federation or interfederation Operators.


Documento Federazione IDEM	Abbreviazione
Regolamento della Federazione IDEM v3.0	RdF
Norme di Partecipazione alla Federazione IDEM v.16	NdP
Specifiche Tecniche per la Federazione IDEM v 1.2	ST
Specifiche tecniche per la compilazione e l'uso degli attributi v. 3.0	ST-A

Identity Provider Operators
Requisito	Regolamenti e specifiche Federazione IDEM	Proposte	Note
[IPO1] Your Identity Provider is operated with organizational-level authority	SI in NdP è già prevista la firma del rappresentante legale e l'esistenza di un solo IdP per i membri - rif. NdP 2.1 Partecipanti.	Rendere più esplicito il livello di autorità dell'IdP. Ad esempio inserire che l'IdP rapprsenta gli utenti dell'organizzazione nel documento di adesione.
[IPO2] Your Identity Provider is trusted enough to be used to access your organization’s own systems	NO Non ci sono riferimenti specifici (ad esempio non ripudio dell'IdP per i sistemi interni)		Chiedere a Pal Axelsonn
[IPO3] You publish contact information for your Identity Provider and respond in a timely fashion to operational issues	PARZIALE gli IdP devono pubblicare i contatti nei metadata in ST sono definiti i tempi di correzione di alcuni problemi operativi (IdP, pagina info ed email di contatto) - rif. ST 11 Operatività del servizio non sono definiti in modo puntuale i tempi da rispettare per tutte le segnalazioni	Definire i tempi di risposta per le segnalazioni (ad esempio estendendo quanto fatto dal Servizio IDEM per gli IdP non operativi, vedi: Sospensione Entita)	Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni.
[IPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response	NO in NdP c'è solo un riferimento generico alla sicurezza - rif NdP 3.4 Impegni dei partecipanti".	Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM. Proposta ulteriore: obbligo di notifica verso il contatto di sicurezza della federazione IDEM.	Mix di Sirtfi e PTO
[IPO5] You ensure the metadata registered in Federation is complete, accurate and up to date	PARZIALE in ST si "richiede la trasmissione immediata delle variazioni dei dati, soprattutto in caso di variazione/revoca del certificato", ma non vi sono meccanismi di verifica e/o penalità - rif. ST 8.2 Modalità di gestione dei metadati	Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).

Service Provider Operators
Requisito	Regolamenti e specifiche Federazione IDEM	Proposte	Note
[SPO1] You ensure that controls are in place to protect user privacy in the service	SI Privacy Policy/Information URL obbligatorie.	Sirtfi copre in parte anche questo.
[SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes	SI Privacy Policy obbligatoria.
[SPO3] You publish contact information and respond in a timely fashion to operational issues			Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni --- verificare che copra anche gli SP
[SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response	NO (parziale)	Sirtfi e PTO per la parte di sicurezza endpoint e algoritmi
[SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date	SI (parziale)	Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).
[SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy	SI Obbligo di inserire i requested attributes nei metadata e Privacy Policy/Information URL

Federation or interfederation Operators
Requisito	Regolamenti e specifiche Federazione IDEM	Proposte	Note
[FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts	Pubblicare
[FO2] You publish contact information and respond in a timely fashion to operational issues	Definire tempi di risposta per i contatti che gia' ci sono.
[FO3] You apply security practices to federation operations and ensure timely incident response
[FO4] You follow good practices to ensure authentic, accurate and interoperable metadata to enable secure and trustworthy federated transactions
[FO5] You implement and support frameworks that improve trustworthy and scalable use of Federation and promote their adoption by members and other participants
[FO6] You collaborate with other organisations to promote realization of baseline expectations nationally and internationally

@@ Riga 57: / Riga 57: @@
 <br />
 |Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM.
+'''Proposta ulteriore: obbligo di notifica verso il contatto di sicurezza della federazione IDEM.'''
 |'''Mix di Sirtfi e PTO'''
 |-
@@ Riga 64: / Riga 65: @@
 *in ST si "richiede la  trasmissione  immediata delle variazioni dei dati, soprattutto in caso di variazione/revoca del certificato", ma non vi sono meccanismi di verifica e/o penalità - rif. ST 8.2 Modalità di gestione dei metadati
-|
+|'''Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).'''
 |
 |}
@@ Riga 75: / Riga 76: @@
 |-
 |[SPO1] You ensure that controls are in place to protect user privacy in the service
-|
+|'''SI'''
-|
+Privacy Policy/Information URL obbligatorie.
+|'''Sirtfi copre in parte anche questo.'''
 |
 |-
 |[SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes
-|
+|'''SI'''
+Privacy Policy obbligatoria.
 |
 |
@@ Riga 87: / Riga 92: @@
 |
 |
-|
+|'''Sospensione entita' dovrebbe diventare Tempi di risposta alle segnalazioni --- verificare che copra anche gli SP'''
 |-
 |[SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response
-|
+|NO (parziale)
-|
+|'''Sirtfi e PTO per la parte di sicurezza endpoint e algoritmi'''
 |
 |-
 |[SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date
-|
+|SI (parziale)
-|
+|'''Implementazione di un processo annuale di audit da parte dell'operatore di federazione (Servizio IDEM).'''
 |
 |-
 |[SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy
-|
+|SI
+Obbligo di inserire i requested attributes nei metadata e Privacy Policy/Information URL
 |
 |
@@ Riga 112: / Riga 119: @@
 |-
 |[FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts
-|
+|'''Pubblicare'''
 |
 |
 |-
 |[FO2] You publish contact information and respond in a timely fashion to operational issues
-|
+|'''Definire tempi di risposta per i contatti che gia' ci sono.'''
 |
 |

Differenze tra le versioni di "CTS/REFEDSBaselineExpectations"

Versione attuale delle 12:17, 30 ott 2025

Menu di navigazione

Strumenti personali

Namespace

Varianti

Visite

Altro

Ricerca

Navigazione

IDEM Wiki

IDEM Organi

GARR CS

Min Salute

Strumenti