italia / spid-cie-oidc-docs

SPID CIE OIDC technical specifications
Creative Commons Zero v1.0 Universal
6 stars 13 forks source link

Esempio non normativo TM AA #127

Open fmarino-ipzs opened 1 year ago

fmarino-ipzs commented 1 year ago

Aggiungere un esempio di TM AA nella sezione degli esempi non normativi (EN1.8) come segue:

{ "id": "https://trust.anchor.gov.it/oauth_resource/public/", "iss": "https://trust.anchor.gov.it/", "sub": "https://aa.esempio.it/", "iat": 1579621160, "organization_type": "public", "id_code": ["123456"], "email": "email_or_pec@aa.it", "organization_name#it": "Denominazione dell'AA", "ref": "https://documentazione_di_riferimento.it/", "policy_uri": "https://aa.esempio.it/privacy_policy", "tos_uri": "https://aa.esempio.it/info_policy", "claims": { "https://attributes.eid.gov.it/fiscal_number": {"essential": true}, "email": {"essential": true} }, "service_documentation": "https://aa.esempio.it/api/v1/" }

luke-sensei commented 1 year ago

Buongiorno, sono uno sviluppatore di InfoCert. Approfitto per chiedere: mi è chiaro che la sezione claims contiene la lista degli attributi da mettere nel grant-token (equivalente alla sezione aa-required-attributes delle openapi). Ma quale di questi è anche l'attributo da usare come subject (equivalente alla sezione aa-lookup-attribute delle openapi)?

riferimento: https://www.agid.gov.it/sites/default/files/repository_files/llgg_attribute_authority-allegato_tecnico_oas3.pdf al paragrafo 3.2.5.2

grazie, Luca

peppelinux commented 1 year ago

Ciao @luke-sensei probabilmente ti riferisci a questo

immagine

qui definito https://www.agid.gov.it/sites/default/files/repository_files/llgg_attribute_authority-allegato_tecnico_oas3.pdf

il lookup attribute definito nell' "aa-lookup-attribute" dell'OpenAPI è uno di quelli pubblicati nei claims

"claims": {
"https://attributes.eid.gov.it/fiscal_number": {"essential": true},
"email": {"essential": true}
},

qui un esempio non normativo (che manca del https://attributes.eid.gov.it/ tra l'altro) https://github.com/italia/spid-cie-oidc-schemas/blob/master/aa/attribute-authorities.yml#L500

ma che spero aiuti a esemplificare la valorizzazione di questo parametro, che contiene per l'appunto il nome, identificativo, dell'attributo utente e non il valore contenuto in esso

@fmarino-ipzs @damikael per ogni qualsiasi integrazione a questa risposta ^

fmarino-ipzs commented 1 year ago

Ciao @luke-sensei, ti direi che l'attributo che l'AA usa come lookup dell'utente riguarda l'AA stessa. Avere un claim specifico per questo non credo aggiunga nulla. L'informazione importante a livello di federazione è sapere quali sono gli attributi necessari per l'AA (tra i quali c'è il lookup-attribute ovviamente). L'OP che riceve una richiesta prende dal TM dell'AA la lista degli attributi dell'utente che inserisce all'interno del GT. Il TM ha quindi un duplice scopo: stabilire la fiducia tra le parti e veicolare le informazioni necessarie all'AA per svolgere le sue funzioni. In ogni caso nel documento yaml oas3 quel parametro è presente come da allegato tecnico alle LL.GG. AA. Spero di esserti stato di aiuto.

luke-sensei commented 1 year ago

ciao peppelinux e fmarino, ho capito la filosofia di quello che dite. Direi che per l'implementazione sono a posto, vedremo poi dai test con un partner RP e un partner AA se il tutto filerà liscio. Intatno grazie per il supporto ^_^