Differenze tra le versioni di "AdesioneProfilidiGaranziaIDEM"
Riga 1: | Riga 1: | ||
− | L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: | + | L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: attendibilità dei processi di identificazione e robustezza dei mezzi di autenticazione ad essa associati. |
La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi [[:File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf|File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf]]. | La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi [[:File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf|File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf]]. | ||
Riga 24: | Riga 24: | ||
!IDEM-P2 | !IDEM-P2 | ||
!IDEM-P3 | !IDEM-P3 | ||
+ | |- | ||
+ | |<nowiki>https://refeds.org/assurance</nowiki> | ||
+ | |x | ||
+ | |x | ||
+ | |x | ||
+ | |x | ||
|- | |- | ||
|<nowiki>https://refeds.org/assurance/ID/unique</nowiki> | |<nowiki>https://refeds.org/assurance/ID/unique</nowiki> | ||
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/ID/eppn-unique-no-reassign</nowiki> | |<nowiki>https://refeds.org/assurance/ID/eppn-unique-no-reassign</nowiki> | ||
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/IAP/low</nowiki> | |<nowiki>https://refeds.org/assurance/IAP/low</nowiki> | ||
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/IAP/medium</nowiki> | |<nowiki>https://refeds.org/assurance/IAP/medium</nowiki> | ||
− | | | + | | |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/IAP/high</nowiki> | |<nowiki>https://refeds.org/assurance/IAP/high</nowiki> | ||
− | | | + | | |
− | | | + | | |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/ATP/ePA-1m</nowiki> | |<nowiki>https://refeds.org/assurance/ATP/ePA-1m</nowiki> | ||
− | | | + | |x* |
− | | | + | |x* |
− | | | + | |x* |
− | | | + | |x* |
|- | |- | ||
|<nowiki>https://refeds.org/assurance/ATP/ePA-1d</nowiki> | |<nowiki>https://refeds.org/assurance/ATP/ePA-1d</nowiki> | ||
− | | | + | |x* |
− | | | + | |x* |
− | | | + | |x* |
− | | | + | |x* |
|- | |- | ||
|<nowiki>https://idem.garr.it/assurance/IDEM-P0</nowiki> | |<nowiki>https://idem.garr.it/assurance/IDEM-P0</nowiki> | ||
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://idem.garr.it/assurance/IDEM-P1</nowiki> | |<nowiki>https://idem.garr.it/assurance/IDEM-P1</nowiki> | ||
− | | | + | | |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://idem.garr.it/assurance/IDEM-P2</nowiki> | |<nowiki>https://idem.garr.it/assurance/IDEM-P2</nowiki> | ||
− | | | + | | |
− | | | + | | |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://idem.garr.it/assurance/IDEM-P3</nowiki> | |<nowiki>https://idem.garr.it/assurance/IDEM-P3</nowiki> | ||
− | | | + | | |
− | | | + | | |
− | | | + | | |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/profile/cappuccino</nowiki> | |<nowiki>https://refeds.org/profile/cappuccino</nowiki> | ||
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|- | |- | ||
|<nowiki>https://refeds.org/profile/espresso</nowiki> | |<nowiki>https://refeds.org/profile/espresso</nowiki> | ||
− | | | + | | |
− | | | + | |x |
− | | | + | |x |
− | | | + | |x |
|} | |} | ||
Riga 122: | Riga 128: | ||
</saml:AttributeStatement> | </saml:AttributeStatement> | ||
[..] | [..] | ||
− | </syntaxhighlight> | + | </syntaxhighlight> |
+ | |||
+ | === Espressione dei profili === | ||
+ | Gli Identity Provider | ||
==Riferimenti== | ==Riferimenti== | ||
[eIDAS-LoA] | [eIDAS-LoA] | ||
− | + | https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R1502 | |
[ITU-T X.1254 09/2020] | [ITU-T X.1254 09/2020] | ||
− | + | https://www.itu.int/rec/T-REC-X.1254 | |
[NIST 800-63B] | [NIST 800-63B] | ||
− | + | https://doi.org/10.6028/NIST.SP.800-63b | |
[RAF] REFEDS Assurance Framework | [RAF] REFEDS Assurance Framework | ||
− | + | https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0 | |
[REFEDS-SFA] REFEDS SFA Profile | [REFEDS-SFA] REFEDS SFA Profile | ||
− | + | https://doi.org/10.5281/zenodo.5113499 | |
[REFEDS-MFA] REFEDS MFA Profile | [REFEDS-MFA] REFEDS MFA Profile | ||
− | + | https://doi.org/10.5281/zenodo.5113296 | |
+ | |||
+ | [SAML-IAP] SAML V2.0 Identity Assurance Profiles Version 1.0 | ||
+ | |||
+ | https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-assurance-profile.html |
Versione delle 23:37, 19 dic 2023
L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: attendibilità dei processi di identificazione e robustezza dei mezzi di autenticazione ad essa associati.
La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf.
Quanto segue è una sintesi dello standard comprensiva di alcune note di implementazione. Per una trattazione completa rimandiamo al documento ufficiale dei profili di garanzia IDEM ed in particolare alle appendici.
Attributo assurance e profili IDEM
I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:
- identificatori, componente ID;
- verifica dell'identità e gestione delle credenziali, componente IAP;
- qualità degli attributi, componente ATP;
Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasmessi tramite l'attributo multiplo assurance, ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo assurance sono espressi tramite URL.
I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del [RAF] in modo da consentire la più totale interoperabilità.
La tabella che segue riporta i valori che l'attributo assurance deve assumere per ogni profilo.
Valori dell'attributo assurance | IDEM-P0 | IDEM-P1 | IDEM-P2 | IDEM-P3 |
---|---|---|---|---|
https://refeds.org/assurance | x | x | x | x |
https://refeds.org/assurance/ID/unique | x | x | x | x |
https://refeds.org/assurance/ID/eppn-unique-no-reassign | x | x | x | x |
https://refeds.org/assurance/IAP/low | x | x | x | x |
https://refeds.org/assurance/IAP/medium | x | x | x | |
https://refeds.org/assurance/IAP/high | x | x | ||
https://refeds.org/assurance/ATP/ePA-1m | x* | x* | x* | x* |
https://refeds.org/assurance/ATP/ePA-1d | x* | x* | x* | x* |
https://idem.garr.it/assurance/IDEM-P0 | x | x | x | x |
https://idem.garr.it/assurance/IDEM-P1 | x | x | x | |
https://idem.garr.it/assurance/IDEM-P2 | x | x | ||
https://idem.garr.it/assurance/IDEM-P3 | x | |||
https://refeds.org/profile/cappuccino | x | x | x | x |
https://refeds.org/profile/espresso | x | x | x |
* da valorizzare solo nel caso in cui sia trasmesso un attributo di affiliazione (eduPersonAffiliation, eduPersonScopedAffiliation).
Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider contiene i seguenti valori per la parte di assurance:
[..]
<saml:AttributeStatement>
<saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise
</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P0</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P1</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
[..]
Espressione dei profili
Gli Identity Provider
Riferimenti
[eIDAS-LoA]
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R1502
[ITU-T X.1254 09/2020]
https://www.itu.int/rec/T-REC-X.1254
[NIST 800-63B]
https://doi.org/10.6028/NIST.SP.800-63b
[RAF] REFEDS Assurance Framework
https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0
[REFEDS-SFA] REFEDS SFA Profile
https://doi.org/10.5281/zenodo.5113499
[REFEDS-MFA] REFEDS MFA Profile
https://doi.org/10.5281/zenodo.5113296
[SAML-IAP] SAML V2.0 Identity Assurance Profiles Version 1.0
https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-assurance-profile.html