cn:ccr:aai:doc:loa
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
cn:ccr:aai:doc:loa [2016/04/14 07:27] – [INFN-AAI LoA1 (LoA2 dell’ISO-IEC 29115)] enrico@infn.it | cn:ccr:aai:doc:loa [2021/02/23 08:04] (current) – enrico@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Level of Assurance ====== | ||
+ | Il " | ||
+ | |||
+ | Anche se tali documenti descrivono appunto l' | ||
+ | |||
+ | ===== INFN-AAI LoA VS SPID ===== | ||
+ | |||
+ | A differenza di quanto descritto nei due documenti di riferimento, | ||
+ | |||
+ | Essendo l'INFN una Pubblica Amministrazione che dovrà conformarsi ai dettami dell' | ||
+ | |||
+ | ===== INFN-AAI LoA ===== | ||
+ | |||
+ | Per esigenze legate alla fruizione di servizi web INFN da parte di utenti esterni (ad esempio accesso ad agenda.infn.it) è diventato necessario distinguere le Identità Digitali presenti in GODiVA in base al tipo di “user vetting”, ed assegnare ad ogni Identità Digitale un definito LoA (Level of Assurance). | ||
+ | |||
+ | Per non andare in completo conflitto con quanto previsto da SPID che prevede i livelli | ||
+ | * livello 1 (corrispondente al LoA2 dell’ISO-IEC 29115): | ||
+ | * livello 2 (corrispondente al LoA3 dell’ISO-IEC 29115); | ||
+ | * livello 3 (corrispondente al LoA4 dell’ISO-IEC 29115): | ||
+ | |||
+ | abbiamo deciso di definire i nostri livelli in modo analogo a quanto definito dallo standard ISO/ | ||
+ | |||
+ | Questo significa che: | ||
+ | |||
+ | -LoA definiti per INFN-AAI saranno: | ||
+ | -LoA1 —> LoA1 dell’ISO-IEC 29115 | ||
+ | -LoA2 —> LoA2 dell’ISO-IEC 29115 —> livello 1 SPID | ||
+ | -LoA3 —> LoA3 dell’ISO-IEC 29115 —> livello 2 SPID | ||
+ | -LoA4 —> LoA4 dell’ISO-IEC 29115 —> livello 3 SPID | ||
+ | -tutti gli SP che adesso accettano semplicemente l’autenticazione (senza effettuare alcun controllo autorizzativo) per fornire accesso agli utenti, **DOVRANNO** essere modificati e dovranno controllare *ALMENO* il LoA (a meno che, come nel caso di agenda.infn.it, | ||
+ | |||
+ | |||
+ | ==== INFN-AAI LoA1 (LoA1 dell’ISO-IEC 29115) ==== | ||
+ | |||
+ | Alcuni servizi web come [[http:// | ||
+ | |||
+ | Per questo motivo è necessario prevedere un tipo di registrazione che permetta a chiunque di registrare la propria Identità Digitale in GODiVA, anche se su tale Identità Digitale non può essere definito nessun livello di certezza (il controllo sull' | ||
+ | |||
+ | Tale auto-registrazione durante la quale l' | ||
+ | |||
+ | - Inserisce i propri dati anagrafici e l' | ||
+ | - Certifica il fatto di avere accesso alla casella e-mail indicata in fase di registrazione rispondendo ad un e-mail che il sistema gli invia | ||
+ | |||
+ | produce una Identità Digitale con valore LoA1, corrispondente al livello LoA1 descritto in ISO/IEC 29115[2] (Little or no confidence in the asserted identity). | ||
+ | |||
+ | < | ||
+ | |||
+ | Per tale Identità Digitale non viene definita una vera e propria username in quanto il nostro IdP permette l' | ||
+ | |||
+ | Dal punto di vista della " | ||
+ | |||
+ | In altre parole, anche se non c'è alcuna certezza della vera identità di un utente LoA1, si è abbastanza sicuri del fatto che ad ogni accesso autenticato fatto da tale utente, corrisponda la stessa persona (non vi è certezza di questo in quanto non sono noti i criteri con cui tale utente protegge l' | ||
+ | |||
+ | |||
+ | |||
+ | ==== INFN-AAI LoA2 (LoA2 dell’ISO-IEC 29115) ==== | ||
+ | |||
+ | Il livello LoA2 dell’ISO-IEC 29115 richiede che ci sia una qualche certezza della identità e che quindi venga in qualche modo effettuato un controllo sulla corrispondenza tra l' | ||
+ | |||
+ | |||
+ | A questo livello, la prova dell' | ||
+ | |||
+ | Per INFN-AAI le fonti autoritarie di verifica di identità sono di due tipologie: | ||
+ | - Interne all' | ||
+ | * tutti gli uffici che gestiscono le prese di servizio, le associazioni e le ospitalità (tipicamente gli uffici del personale e di direzione dell' | ||
+ | - Esterne o Federate | ||
+ | * L' | ||
+ | |||
+ | In altre parole, gli account di Dipendenti, Associati ed Ospiti istituzionali INFN devono considerarsi LoA2, insieme a quelli derivanti da Identità Federate **limitatamente per i servizi web federati** | ||
+ | |||
+ | Nel documento in cui si descrivono i vari [[cn: | ||
+ | |||
+ | Anche tali account devono essere considerati LoA2, FIXME ma -- non essendoci in generale un flusso informatizzato che garantisce l' | ||
+ | ==== INFN-AAI LoA3 (LoA3 dell’ISO-IEC 29115) ==== | ||
+ | |||
+ | |||
+ | ==== INFN-AAI LoA4 (LoA4 dell’ISO-IEC 29115) ==== | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Riferimenti ===== | ||
+ | ---- | ||
+ | [1] [[https:// | ||
+ | |||
+ | [2] [[https:// | ||
+ | |||
+ | [3] [[http:// | ||
+ | |||
+ | [4] [[https:// |