Sono stati aggiornati (23 maggio 2023) i Pattern di Sicurezza delle Linee Guida sull’interoperabilità tecnica delle PA con la determina n. 128/2023. L’aggiornamento è stato effettuato sulla base delle esigenze espresse da diverse Pubbliche Amministrazioni.

Entrando in un aspetto più tecnico l'aggiornamento prevede un nuovo pattern di integrità (INTEGRITY_REST_02) che funziona in maniera analoga alla precedente versione con l'eccezione che il certificato utilizzato dal firmatario non viene più inserito nell'header del token 'Agid-JWT-Signature' tramite i claim 'x5c/x5t/x5u' ma viene riferito tramite il claim 'kid' che rappresenta l'identificativo del certificato caricato sulla PDND.

L'aggiornamento prevede inoltre dei nuovi pattern 'AUDIT_REST_01' e 'AUDIT_REST_02' che consentono all’erogatore di identificare la specifica provenienza di ogni singola richiesta di accesso ai dati effettuta dal fruitore. Le Linee Guida indicano che l’erogatore e il fruitore devono individuare i claim da includere nel JWT di audit e suggeriscono i seguenti dati che dovranno essere presenti nel token generato dal fruitore, per ogni richiesta effettuata: un identificativo univoco dell’utente interno al dominio del fruitore (userID), un identificativo univoco della postazione interna al dominio del fruitore (userLocation) e il livello di sicurezza o di garanzia adottato nel processo di autenticazione informatica nel dominio del fruitore (LoA). Il pattern 'AUDIT_REST_02' estende il precedente aggiungendo anche la correlazione tra il voucher di autenticazione e il token di audit.

GovWay supporta i nuovi pattern INTEGRITY_REST_02 e AUDIT_REST_01/02 per entrambi i ruoli di erogatore o fruitore di API:

  • Nel ruolo di erogatore GovWay è in grado di validare i token 'Agid-JWT-Signature' (pattern INTEGRITY_REST_02) e/o 'Agid-JWT-TrackingEvidence' (pattern AUDIT_REST_01/02) prelevando la chiave pubblica del firmatario tramite le API esposte dalla PDND. È in grado inoltre di aggiungere alle tracce le informazioni presenti nel token di audit oltre che ad inoltrarle al backend in varie modalità di integrazione (es. http header).
  • Nel ruolo di fruitore GovWay è in grado di produrre entrambi i token 'Agid-JWT-Signature' e/o 'Agid-JWT-TrackingEvidence'; le informazioni da inserire nel token di audit (userId,userLocation,LoA) possono essere fornite dal client tramite meccanismi standard di integrazione (es. header http, parametri della url ) o registrati staticamente nella configurazione di GovWay. Infine GovWay consente di gestire token di audit contenenti anche informazioni differenti da quelle proposte per default dalle linee guida, differenziando le informazioni richieste per singola API.

Come procedere

  • Hai una porta di dominio OpenSPCoop e vuoi renderla conforme alle nuove normative? Aggiorna OpenSPCoop in GovWay
  • Sei un nuovo utente interessato alla conformità alle linee guida AGID di interoperabilità? Installa GovWay

Per informazioni dettagliate sulle caratteristiche del prodotto è disponibile la documentazione online del progetto.