Assurance
L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: attendibilità dei processi di identificazione e robustezza dei mezzi di autenticazione ad essa associati.
La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf.
I profili di garanzia della Federazione IDEM possono essere espressi dalle organizzazioni che hanno dichiarato la conformità ad uno o più profili seguendo
Dichiarazione di conformità
Le organizzazioni che intendano avvalersi dei profili di garanzia dichiarano la propria conformità per ciascun profilo, compilando i moduli che seguono (a seconda dei profili che si intende supportare), firmandoli digitalmente ed inviandoli al supporto del servizio IDEM idem-help@garr.it.
- Dichiarazione di conformità per il profilo IDEM-P0
- Dichiarazione di conformità per il profilo IDEM-P1
- Dichiarazione di conformità per il profilo IDEM-P2
- Dichiarazione di conformità per il profilo IDEM-P3
Una volta ricevuti i moduli il Servizio IDEM procederà alla verifica dei requisiti tecnici, in particolare verificherà che l'identity provider dell'organizzazione sia in grado di trasmettere i valori dell'attributo assurance corrispondenti al profilo sottoscritto e verificherà l'eventuale disponibilità e funzionamento dell'autenticazione multifattore per i profili che lo prevedono.
Terminate le veririche, il Servizio comunicherà l'esito all'organizzazione e in caso di successo aggiornerà i metadata dell'identity provider aggiungendo i profili dichiarati nell'EnttyAttribute assurance-certification come previsto da SAML V2.0 Identity Assurance Profiles Version 1.0, ad esempio:
<mdattr:EntityAttributes>
<samla:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<samla:AttributeValue>https://idem.garr.it/af/IDEM-P0</samla:AttributeValue>
<samla:AttributeValue>https://idem.garr.it/af/IDEM-P1</samla:AttributeValue>
</samla:Attribute>
Quanto segue è una brevissima sintesi dei valori di assurance previsti dai profili di garanzia. Per una trattazione completa rimandiamo al documento ufficiale dei profili di garanzia IDEM ed in particolare alle appendici.
Attributo assurance e profili IDEM
I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:
- identificatori, componente ID;
- verifica dell'identità e gestione delle credenziali, componente IAP;
- qualità degli attributi, componente ATP;
Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasmessi tramite l'attributo multiplo assurance, ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo assurance sono espressi tramite URL.
I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del [RAF] in modo da consentire la più totale interoperabilità. Inoltre i profili di garanzia IDEM includono le specifiche attese d
La tabella che segue riporta una sintesi dei requisiti per ogni parametro, inclusa la robustezza dell'autenticazione.
| IDEM-P0 | IDEM-P1 | IDEM-P2 | IDEM-P3 | |
| Identificatori | Persona fisica, identificatori univoci | Persona fisica, identificatori univoci | Persona fisica, identificatori univoci | Persona fisica, identificatori univoci |
| Verifica dell'identità | verifica del contatto | verifica del documento d’identità | verifica del documento d’identità e altre fonti | verifica con CIE o simili/superiori |
| Qualità degli attributi | - | affiliazione aggiornata entro un mese | affiliazione aggiornata entro un giorno | affiliazione aggiornata entro un giorno |
| Autenticazione | Singolo fattore | Singolo fattore | Più fattori | Più fattori |
La tabella che segue riporta i valori che l'attributo assurance deve assumere per ogni profilo.
| Valori dell'attributo assurance | IDEM-P0 | IDEM-P1 | IDEM-P2 | IDEM-P3 |
|---|---|---|---|---|
| https://refeds.org/assurance | x | x | x | x |
| https://refeds.org/assurance/ID/unique | x | x | x | x |
| https://refeds.org/assurance/ID/eppn-unique-no-reassign | x | x | x | x |
| https://refeds.org/assurance/IAP/low | x | x | x | x |
| https://refeds.org/assurance/IAP/medium | x | x | x | |
| https://refeds.org/assurance/IAP/high | x | x | ||
| https://refeds.org/assurance/ATP/ePA-1m | x* | x* | x* | x* |
| https://refeds.org/assurance/ATP/ePA-1d | x* | x* | x* | x* |
| https://idem.garr.it/af/IDEM-P0 | x | x | x | x |
| https://idem.garr.it/af/IDEM-P1 | x | x | x | |
| https://idem.garr.it/af/IDEM-P2 | x | x | ||
| https://idem.garr.it/af/IDEM-P3 | x | |||
| https://refeds.org/profile/cappuccino | x | x | x | x |
| https://refeds.org/profile/espresso | x | x | x |
* da valorizzare solo nel caso in cui sia trasmesso un attributo di affiliazione (eduPersonAffiliation, eduPersonScopedAffiliation).
Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider contiene i seguenti valori per la parte di assurance:
[..]
<saml:AttributeStatement>
<saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P0</saml:AttributeValue>
<saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P1</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
[..]
La tabella che segue riporta invece i metodi di autenticazione che devono essere implementati per ogni profilo.
| Metodi di autenticazione | IDEM-P0 | IDEM-P1 | IDEM-P2 | IDEM-P3 |
|---|---|---|---|---|
| REFEDS Single Factor Authentication Profile [REFEDS-SFA] | x | x | x | x |
| REFEDS Multi Factor Authentication Profile [REFEDS-MFA] | x | x |
Riferimenti
[eIDAS-LoA]
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R1502
[ITU-T X.1254 09/2020]
https://www.itu.int/rec/T-REC-X.1254
[NIST 800-63B]
https://doi.org/10.6028/NIST.SP.800-63b
[IDEM-Assurance]
File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf
[RAF] REFEDS Assurance Framework
https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0
[REFEDS-SFA] REFEDS SFA Profile
https://doi.org/10.5281/zenodo.5113499
[REFEDS-MFA] REFEDS MFA Profile
https://doi.org/10.5281/zenodo.5113296
[SAML-IAP] SAML V2.0 Identity Assurance Profiles Version 1.0
https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-assurance-profile.html
