Sono disponibili online le FAQ, con domande e risposta a tema, sulle linee guida per l’interoperabilità nelle PA.
Pubblicate sul sito dell’Agenzia per l’Italia Digitale le risposte ai dubbi più frequenti.
Quando è obbligatorio usare un certificato eIDAS? Si deve utilizzare MTLS per autenticare i client? Le Linee guida Sicurezza API obbligano ad utilizzare certificati eIDAS?
Sono alcune domande che frequentemente vengono poste ad AgID in merito all’applicazione delle Linee Guida sull’interoperabilità.
Potete consultare qui di seguito il testo completo delle linee guida.
Interoperabilità nelle PA: le FAQ sulle linee guida
Da oggi le risposte a questi e ad altri dubbi frequenti sono disponibili sul sito istituzionale in una nuova sezione di FAQ dedicata.
Ve le riportiamo qui di seguito.
I certificati eIDAS servono verso terzi: Quando sono obbligato ad usare un certificato eIDAS?
Un certificato eIDAS è necessario quando è richiesta l’opponibilità a terzi.
Solamente quando il contenuto della comunicazione firmata digitalmente deve essere opponibile a un soggetto terzo rispetto all’Erogatore e al Fruitore: ad esempio, se la risposta di un’API deve essere inoltrata verso un soggetto esterno al trust, cosi come indicato nella LG Sicurezza API § 6.2.3 [SIC_API_10].
I certificati eIDAS sono riusabili: Ho un certificato eIDAS. L’Erogatore è tenuto ad accettarlo o devo prima accreditarlo?
Un certificato eIDAS non richiede accreditamento.
Un certificato di questo tipo non richiede accreditamento perché l’identificazione avviene tramite l’utilizzo degli OID 2.5.4.97 organizationIdentifier e OID 2.5.4.11 organizationalUnitName come indicato nelle LG Sicurezza API.
Questo tipo di certificato è di fatto utilizzabile per più Erogatori e per più API: le LG Sicurezza API , in SIC_API_05, ribadiscono i contenuti del Regolamento eIDAS.
I certificati eIDAS sono opzionali: Le LG Sicurezza API obbligano ad utilizzare certificati eIDAS?
No, le LG Sicurezza API non obbligano ad utilizzare certificati eIDAS.
Le LG Sicurezza API, nei requisiti SIC_API_03 e SIC_API_04.a non comportano obblighi in merito all’uso di certificati.
Il requisito SIC_API_04.b rimanda, per la gestione e la scelta dei certificati alla sezione opportuna.
Compatibilmente col visto 21 del regolamento eIDAS, le LG Sicurezza API indicano i principi per scambiare certificati digitali validi in specifici ecosistemi (e.g. certificati non eIDAS).
MTLS opzionale: sono obbligato ad utilizzare MTLS per autenticare i client?
No, non sono obbligato ad utilizzare MTLS per autenticare i client.
Le LG Sicurezza API includono tra i meccanismi di autenticazione e autorizzazione previsti dal requisito SIC_API_01, il protocollo OAuth2 §5.1.7.
Le Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati definiscono l’implementazione OAuth2 della piattaforma, che è quindi compatibile con i contenuti delle LG Sicurezza API.
Come indicato nelle Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, l’unico pattern di sicurezza sempre obbligatorio è ID_AUTH_CHANNEL_01 ossia l’autenticazione del server tramite certificato TLS emesso da una CA riconosciuta.
Fonte: articolo di redazione lentepubblica.it