OpenID Connect in Spid. Agid ha rilasciato le linee guida sullo standard di autenticazione attualmente utilizzato dalla quasi totalità delle moderne applicazioni web e mobile nel mondo privato (Google, Microsoft, PayPal e molti altri).
Le regole sono destinate ai Gestori dell’identità digitale, per i quali è stabilito l’obbligo della loro attuazione a decorre dal 1° maggio 2022, e ai fornitori di servizi pubblici e privati che intenderanno erogare i propri servizi online, mediante autenticazione degli utenti con Spid, basata su OpenID Connect. Nulla cambia, invece, per gli utenti che continueranno a utilizzare Spid con le stesse modalità.
Le caratteristiche di OpenID Connect rispetto allo standard attualmente utilizzato da Spid (Saml) sono maggiore sicurezza; maggiore facilità di integrazione in sistemi eterogenei (single-page app, web, backend, mobile, IoT); migliore integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile.
“Spid OpenID Connect” prevede una serie di controlli di sicurezza obbligatori, adatti a una vasta gamma di casi d’uso governativi, mantenendo una ragionevole facilità di implementazione e funzionalità.
Tra i vari controlli, OpenID Connect consente di evitare potenziali attacchi attuati mediante l’intercettazione delle comunicazioni tra i vari attori coinvolti, soprattutto nel caso di applicazioni per dispositivi mobili.
Inoltre, per evitare continui inserimenti di password e migliorare la user experience nelle applicazioni mobili, “Spid OpenID Connect” prevede l’utilizzo delle c.d. sessioni lunghe revocabili.
Infine, sono previsti meccanismi che consentono agli utenti di bloccare un’autenticazione precedentemente effettuate per l’accesso ad uno specifico servizio.