Open ID Connect: cos’è e perchè è importante per SPID e CIE

Che cos’è Open ID Connect e quali sono i punti di forza?

Rendi semplici le cose semplici e rendi possibili le cose complicate. È la filosofia alla base di Open ID Connect (OIDC), lo standard di autenticazione che estende il protocollo di autorizzazione OAuth 2.0 ed è caratterizzato da alti livelli di flessibilità e sicurezza, semplicità di implementazione ed efficacia nell’interoperabilità in modo che le identità digitali, come SPID e CIE, possano essere facilmente utilizzata su servizi desktop e mobile.

Ecco quali sono le principali caratteristiche di OpenID Connect: 

  • Facilità di integrazione; 
  • Abilità di integrare applicazioni su diverse piattaforme, single-page app, web, backend, mobile, IoT; 
  • Integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile;
  • Soluzione di diverse problematiche di sicurezza riscontrate in OAuth 2.0 al fine di garantire una maggiore resilienza informatica;
  • Utilizzo da parte di un gran numero di servizi social e di pagamento.

Mentre OAuth 2.0 è un protocollo di delega delle autorizzazioni di accesso generico, consentendo così il trasferimento di dati, e non definisce i modi per autenticare gli utenti o comunicare informazioni su di essi, Open ID Connect è un protocollo di identificazione aggiuntivo che consente ai client di verificare l’identità dell’utente finale e di ottenere informazioni di base sul suo profilo in modo interoperabile.

OpenID Connect consente quindi agli sviluppatori di autenticare i propri utenti su siti web e app senza dover possedere e gestire file di password, fornendo una risposta sicura e verificabile alla domanda: “Qual è l’identità della persona che sta utilizzando il browser o l’applicazione nativa collegata a me?“. Inoltre, l’utente può revocare ogni autenticazione e avere quindi il pieno controllo sugli accessi effettuati.

L’utilizzo di questo protocollo serve a ridurre il rischio di potenziali attacchi da parte di cybercriminali e ad aumentare quindi il livello di sicurezza informatica delle tecnologie di autenticazione. La maggiore interoperabilità, rispetto ad altri sistemi di Single Sign-On (SSO), unita alla facilità di implementazione, hanno fatto di OpenID connect uno dei protocolli più utilizzati dalle grandi aziende che operano nel settore tecnologico, come Google, Facebook e Microsoft solo per citarne alcune.

Come funziona Open ID connect?

In un articolo dello scorso dicembre, la testata CyberSecurity360 illustra il modello alla base del funzionamento e dell’interrelazione tra gli attori che costituiscono lo standard OpenID connect.

Ecco qual è la tassonomia di Open ID Connect:

  • End-User: è l’utente che richiede l’accesso ai servizi online;
  • User Agent: è il browser che l’utente utilizza per accedere alle risorse online;
  • Claims: è l’insieme di informazioni sull’utente di tipo nome-valore
  • Authorization Server: è il server che possiede l’identità e le credenziali dell’utente;
  • OpenID Provider: è l’Authorization Server capace di autenticare l’utente e rilasciare i Claims;
  • Relying Party: è l’applicazione Client che richiede l’autenticazione dell’utente ed i Claims;
  • Resource Server: è il server che ospita le risorse che saranno accedute;
  • ID Token: è la stringa che contiene i Claims di autenticazione nel formato JWT (JSON Web Token), coppie del tipo nome:valore;
  • Subject Identifier: è l’identificativo univoco dell’utente, rilasciato al Client;
  • UserInfo Endpoint: è l’interfaccia che rilascia le informazioni autorizzate dell’utente.

Come funziona l’autenticazione con Open ID connect?

L’autenticazione OIDC si articola nelle seguenti frasi:

  • Il Client prepara una richiesta di autenticazione che contiene i parametri di richiesta desiderati tramite lo User Agent;
  • Il Client invia la richiesta all’Authorization Server;
  • L’Authorization Server autentica l’End-User;
  • L’Authorization Server ottiene il consenso/autorizzazione dell’utente;
  • L’Authorization Server ritorna al Client un Access Token e, se richiesto, un ID Token;
  • Il Client richiede una risposta utilizzando l’Access Token al Token Endpoint;
  • L’Authorization Server valida l’Access Token e restituisce l’ID e l’Access Token;
  • Il Client convalida l’ID Token e recupera il Subject Identifier dell’utente.

OpenID Connect in SPID: quali sono i vantaggi?

Al fine di innalzare il livello di sicurezza delle credenziali di accesso di ciascun cittadino che possiede un’identità digitale, il Sitema Pubblico di Identità Digitale ha adottato lo standard di autenticazione Open ID Connect e l’Agenzia per l’Italia Digitale ha rilasciato le linee guida a cui i Gestori dell’identità digitale e i Fornitori di servizi pubblici e privati si sono dovuti adeguare a partire da maggio 2022.

Le linee guida di AgID stabiliscono per i suddetti soggetti l’obbligo di adottare il nuovo standard di sicurezza OpenID connect per continuare ad erogare i propri servizi attraverso il sistema di autenticazione SPID. L’obiettivo è garantire un potenziamento e un innalzamento della cyber security.

Ecco quali sono i principali vantaggi di OpenID Connect in SPID:

  • Evitare d’inserire la password ad ogni accesso, riducendo così i rischi legati ad attacchi informatici da parte di cybercriminali che potrebbero intercettare i flussi di informazioni tra gli attori coinvolti nel processo di autenticazione;
  • Migliorare la User experience soprattutto per quel che riguarda l’utilizzo delle applicazioni da dispositivi mobili, allo scopo di garantire agli utenti maggiore flessibilità e sicurezza;
  • Dare ai cittadini in possesso di un’identità digitale SPID la possibilità di bloccare tutte le autenticazioni effettuate per l’accesso a un determinato servizio.

OpenID Connect in SPID si inserisce nell’ambito della strategia Cyber Resilience Act, ovvero la proposta di Regolamento europeo sui requisiti dei prodotti con elementi digitali che mira a rafforzare le norme di cybersecurity per garantire prodotti hardware e software più sicuri.

SPID Namirial: la soluzione per l’identità digitale

Namirial, Identity Provider accreditato per il rilascio dell’identità digitale, permette di ottenere le credenziali SPID in modo facile, veloce e in pochissimo tempo: bastano un pc, o uno smartphone, e una connessione Internet.

Namirial ID è un set di credenziali, username, password ed eventuale OTP, generate da Namirial che corrispondono all’identità digitale di un utente e servono per accedere ai servizi delle Pubbliche Amministrazioni e dei privati che aderiscono al Sistema Pubblico d’Identità Digitale.

Vediamo insieme quali sono le caratteristiche e i costi delle soluzioni offerte da Namirial:

  • SPID Personale: è possibile attivare SPID Personale gratuitamente se hai CIE/CNS con PIN e lettore smart card o un certificato di firma digitale;
  • SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video-identificazione è di 19,90 € + IVA (solo una volta).

Inoltre, con Namirial è possibile attivare anche lo SPID Professionale, una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale pensato per permettere a professionisti e aziende di accedere ai servizi della Pubblica Amministrazione e degli Enti privati che aderiscono al circuito.

Lo SPID Professionale, oltre ai dati dello SPID Personale (Tipo 1), racchiude gli attributi aggiuntivi che caratterizzano la professione della persona che lo possiede e ha la durata di uno o due anni dall’attivazione, a seconda del numero di anni che si sceglie di acquistare.  Alla scadenza, se l’utente decide di non rinnovarlo, SPID Professionale tornerà ad essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale Namirial è di 35,00 euro, mentre per due anni il prezzo è di 70,00 € + IVA.

Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è, oppure ha uno SPID rilasciato da un altro Identity Provider: in tutti i casi la procedura di attivazione permette all’utente di attivare il proprio SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial.

– «Non hai ancora attivato lo SPID Namirial? Scopri come attivarlo velocemente ed in pochi passaggi»

Articolo precedenteInvestimenti sostenibili 4.0: che cos’è e a chi è rivolto
Articolo successivoCome correggere una fattura elettronica in caso di errore

ARTICOLI CORRELATIALTRO DALL'AUTORE