Technisches Verfahren
SPID setzt auf das Protokoll SAML2 auf. Für die Implementation von SPID in Ihren Online-Diensten:
1 ) beachten Sie die technischen Regeln, die SPID-Hinweise und die Anomalien-Tabelle, die Sie Ihnen bei der Implementation von SPID anleiten. Beachten Sie auch die Richtlinien und die Schnittstellen damit Nutzer erkennen können, dass Ihr Dienst mit SPID zugänglich ist.
2 ) Implementieren Sie die Authentifizierung mit SPID Ihrer Dienste. Auf Developers Italia stehen Bibliotheken für die verschiedenen Programmiersprachen sowie Hilfsmittel für die Integrierung zur Verfügung, auf die Sie zurückgreifen können.
Nützliche Tipps für eine verbesserte Benutzererfahrung:
- schreiben sie eventuelle Fehlermeldung in einer klaren, einfachen, nicht technischen Sprache und stellen Sie eine Zurücktaste zur Verfügung;
- die Benutzererfahrung muss beibehalten werden (angefangen bei der grafischen Aufbereitung), auch bei Fehlermeldungen oder technischen Problemen;
- geben Sie SPID-Anomalien” korrekt an, so wie in der Anomalien Tabelle vorgegeben;
- vergewissern Sie sich, dass immer eine Schaltfläche ‘Logout’ für den Ausstieg aus dem Dienst nach der Authentifizierung verfügbar ist;
- sehen Sie den Zugang auf Dienste auch über SPID Anmeldedaten vor, deren Sicherheitsstufe höher als das erforderliche Mindestmaß ist.
3 ) Überprüfen Sie, ob Ihre Körperschaft bereits Metadaten an AGID gesendet hat. Wenn ja, ändern Sie diese, um neue Dienste einzubinden, andernfalls erarbeiten Sie Metadaten wie angegeben im zusammenfassenden Dokument ( gemäß den Angaben im Hinweis Nr.6 , und im Besonderen im Hinweis Nr.19 V.4 und im Hinweis Nr.29 V.3 ) . Darüber hinaus müssen für jeden Online-Dienst die erforderlichen Eigenschaften gegeben sein und nicht mehr.
4 )Überprüfen Sie selbstständig die Richtigkeit der Metadaten und die Implementation.
Bevor Sie mit den nächsten Schritten beginnen, können Sie den SPID Validator installieren und konfigurieren, online verfügbar auf der Webseite GitHub Italia, und nutzen Sie ihn für eine erste Abnahme Ihrer Implementation. Sie können zudem die Testumgebung Demo/Validator verwenden, die Sie auf Ihrem SP konfigurieren. Sie finden diese online unter: https://demo.spid.gov.it
- die Metadaten der Online-Testumgebung Demo
- und die Metadaten der Online-Testumgebung Validator
Nützliche Hinweise:
- Mit SPID Validator können Sie die Kontrollen von AgID simulieren und damit eigenständig und schnell eine technisch konforme Implementation erhalten..
- Überprüfen Sie das korrekte Funktionieren für jeden im Dokument SPID Quality Assessment angeführten Test..
Erst nach erfolgreichem Durchlauf aller Kontrollen mit SPID-Validator, ist die Akkreditierung als Service Provider möglich. Nach bestandenen Kontrollen ist die Abnahme durch AgID die letzte Prüfung für den Zugang auf Dienste mittels SPID.
Es wird empfohlen, vor dem Absenden der Testanfrage jede Konfiguration (einschließlich des Signaturzertifikats) zu deaktivieren, die sich weiterhin nicht auf den offiziellen IdP bezieht. Die einzige Ausnahme ist die Verbindung zum offiziellen Validator (https://validator.spid.gov.it), dessen Konfiguration ausschließlich für die Dauer des Tests aktiv sein darf. Testanfragen zu Service Providern, die in der Schaltfläche, SPID Anmeldung", zusätzliche Links zu anderen IdP Validator oder anderen Tests als dem offiziellen Validator enthalten, werden nicht berücksichtigt.
5 ) Stellen Sie die Metadaten über eine URL 'https' Ihrer Domäne zur Verfügung und fügen Sie unter die IdP des Buttons “SPID Anmeldung” einen weiteren IdP des Tools SPID Validator hinzu, dessen Metadaten unter folgendem Link zur Verfügung stehen: https://validator.spid.gov.it/metadata.xml).
Das Metadatum muss ein self-signed Zertifikat mit dem privaten Schlüssel enthalten, mit dem das Metadatum unterzeichnet wird, sowie die Request an die IdP.
Senden Sie dann eine Mail an spid.tech@agid.gov.it (es handelt sich nicht um eine PEC-Adresse, verwenden Sie daher ein normales institutionelles Postfach) unter Angabe der folgenden Informationen:
a) Name Behörde (Name oder Firmenname) und alternativ:
- falls öffentliche Einrichtung, IPA-Kodex
- falls Privatperson, Steuernummer oder MwSt.-Nummer
b) Metadaten URL;
c) Ob es sich um ein Update oder um neue Metadaten handelt;
d) URL des Dienstes mit der Schaltfläche “SPID Anmeldung” mit der Verbindung zu SPID Validator
e) Technischer Referenzkontakt (Name, E-Mail, Telefonnummer);
f) Administrativer Ansprechpartner (Name, E-Mail, Telefonnummer);
Wenn Sie ein privater Dienstanbieter sind, müssen Sie auch die Beschreibung der digitalen Dienste, die mit SPID zugänglich gemacht werden, angeben und die Art der Benutzer an welche sich diese richten.
6 ) AgID überprüft die erhaltenen Metadaten und die Richtigkeit der Umsetzung. Bei Bedarf werden Änderungen gemeldet, die zur Einhaltung der technischen Regeln erforderlich sind. Die Überprüfung seitens AgID wird über die SPID SAML Check Plattform durchgeführt, zu der das SPID Validator Tool gehört. Der SPID SAML Check Plattformcode ist für das Repository öffentlich verfügbar unter repository GitHub. https://github.com/italia/spid-saml-check.
7 ) Wenn AgID Änderungen verlangt, müssen Sie den Vorgang ab Punkt 3 wiederholen.
8 ) Sind das Senden der Metadaten und die technische Überprüfung erfolgreich, übermittelt AgID die Metadaten an die I (IDP). Die Anforderung, Konfigurationen in IDPs hochzuladen, wird täglich um 18:00 Uhr von Montag bis Freitag ausgeführt. Normalerweise laden die IdPs diese innerhalb eines Arbeitstages und Ihr Dienst ist über SPID erreichbar.