Assurance
L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: l'attendibilità dei processi di identificazione e raccolta delle informazioni dell'identità e la robustezza dei mezzi di autenticazione ad essa associati.
La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [REFEDS-RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf.
Quanto segue è una sintesi dello standard comprensiva di alcune note di implementazione.
Attributo assurance
I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:
- identificatori, componente ID;
- verifica dell'identità e gestione delle credenziali, componente IAP;
- qualità degli attributi, componente ATP;
Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasportati tramite l'attributo multiplo assurance, ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo assurance sono espressi tramite URL.
I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del REFEDS Assurance Framework in modo da consentire la più totale interoperabilità.
La tabella che segue riporta i valori che l'attributo assurance deve assumere per ogni profilo.
| assurance | IDEM-P0 | IDEM-P1 | IDEM-P2 | IDEM-P3 |
|---|---|---|---|---|
| https://refeds.org/assurance/ID/unique | sì | sì | sì | sì |
| https://refeds.org/assurance/ID/eppn-unique-no-reassign | sì | sì | sì | sì |
| https://refeds.org/assurance/IAP/low | sì | sì | sì | sì |
| https://refeds.org/assurance/IAP/medium | sì | sì | sì | |
| https://refeds.org/assurance/IAP/high | sì | sì | ||
| https://refeds.org/assurance/ATP/ePA-1m | sì* | sì* | sì* | sì* |
| https://refeds.org/assurance/ATP/ePA-1d | sì* | sì* | sì* | sì* |
| https://idem.garr.it/assurance/IDEM-P0 | sì | sì | sì | sì |
| https://idem.garr.it/assurance/IDEM-P1 | sì | sì | sì | |
| https://idem.garr.it/assurance/IDEM-P2 | sì | sì | ||
| https://idem.garr.it/assurance/IDEM-P3 | sì | |||
| https://refeds.org/profile/cappuccino | sì | sì | sì | sì |
| https://refeds.org/profile/espresso | sì | sì | sì |
Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider sarà (estratto):
[..]
<saml:AttributeStatement>
<saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise
</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P0</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/assurance/IDEM-P1</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
[..]
Riferimenti
[REFEDS-RAF] URL
