Il lavoro di analisi e definizione delle specifiche tecniche è stato condotto dal gruppo di lavoro AAI della Commissione Calcolo e Reti, ed in particolare da:

• Daniela Anzellotti (INFN Sezione di Roma)
• Silvia Arezzini (INFN Sezione di Pisa)
• Luca Giovanni Carbone (INFN Sezione di Milano Bicocca)
• Rosario Esposito (INFN Sezione di Napoli)
• Marco Esposito Micenin (INFN Sezione di Roma)
• Enrico Maria Vincenzo Fasanelli (INFN Sezione di Lecce)
• Roberto Lulli (Dipartimento di Fisica Università di Roma Tor Vergata & INFN Sezione di Roma Tor Vergata)
• Dael Maselli (INFN Laboratori Nazionali di Frascati)
• Antonella Monducci (INFN Sezione di Bologna)
• Michele Antonio Tota (INFN Laboratori Nazionali di Frascati)

L’implementazione del software è a cura di

• Marco Esposito Micenin (INFN Sezione di Roma)
• Michele Antonio Tota (INFN Laboratori Nazionali di Frascati)

L'uso continuo e sempre più consistente di strumenti, applicazioni e documenti digitali fa sì che oggi, all’interno di una organizzazione, debba essere stabilita con particolare cura la corretta associazione tra identità fisiche e identità digitali.

I modelli che permettono la realizzazione di ciò sono due:

• Centralizzato: modello in uso ad esempio al CERN, dove per poter accedere a qualunque risorsa è necessario recarsi in loco ed effettuare la registrazione come CERN User;
• Distribuito: modello che prevede un certo grado di autonomia per l’utente nella fase di inserimento di informazioni, ma necessita di una successiva verifica – in presenza o in video – da parte di uffici dedicati; in Italia ne è un esempio il sistema per il rilascio di credenziali SPiD.

L’alto numero di “ingressi”, la distribuzione sul territorio e le richieste di utilizzo delle risorse IT da parte di collaboratori che normalmente non accedono fisicamente alle risorse, qualificano il modello distribuito come il più opportuno per l’INFN, in armonia, del resto, con le usuali modalità operative dell’Ente.

Nell’INFN la registrazione delle identità e l’erogazione alle medesime di diversi servizi locali o nazionali è sempre avvenuta con modalità differenti da sede a sede. In questo modo, anche se è garantita coerenza all’interno delle singole sedi, si sono create delle asimmetrie che complicano la corretta gestione di tutte le procedure, in particolare di quelle centralizzate, che devono necessariamente essere identiche per tutto il personale.

Per questi motivi è stata messa a punto una suite destinata alla registrazione delle identità digitali, così da rendere uniformi le procedure di gestione delle stesse, e funzionale inoltre a far sì che chiunque collabori, a qualunque titolo, con l’INFN, sia correttamente registrato e rintracciabile nei database ufficiali dell’Ente. La suite soddisfa i requisiti di legge atti a identificare le persone, ne rispetta la privacy e permette a tutti di accettare il disciplinare di utilizzo delle risorse informatiche dell’INFN, condizione questa imprescindibile per l’accesso a qualunque servizio informatico rilasciato su base locale o nazionale.

La suite ha come unico scopo la registrazione e la assegnazione ad una identità fisica della corrispondente identità digitale. Ogni struttura dell’Ente potrà così’ procedere, con i suoi usuali meccanismi e mantenendo autonomia gestionale ed amministrativa, a consentire l’uso di risorse alla suddetta identità (ad esempio assegnando un account o consentendo accesso a specifiche risorse di rete).

Gli strumenti disponibili nella suite sono stati messi a punto dal gruppo INFN-AAI all’interno della CCR, e nel seguito verranno descritti in maggiore dettaglio insieme alle modalità con cui devono essere utilizzati.

Sarà necessario che ogni sede definisca con attenzione l’integrazione di questi nuovi strumenti con le usuali attività legate al personale (associazioni, prese di servizio per dipendenti, rilascio di account a collaboratori, inserimento di ospiti ecc.).

Il nuovo sistema di registrazione di Identità Digitali per l’INFN prevede che la registrazione sia sempre effettuata dall’utente attraverso un processo in due fasi:

• la prima è completamente autonoma e prevede l’auto-registrazione attraverso un nuovo portale appositamente sviluppato (SignUp, https://signup.app.infn.it/), al termine della quale viene fornita all’utente una Identità Digitale INFN-AAI (INFN-ID) con il più basso livello di confidenza (LoA1 - Level of Assurance 1 - secondo le specifiche ITU-T X.121). Questa identità sarà utilizzabile solo per l’accesso a servizi pubblici (come ad esempio l’agenda InDiCo, il sistema di reclutamento, la richiesta di associazione, il nuovo UserPortal, https://userportal.app.infn.it);
• la seconda fase, che si avvale a sua volta di un ulteriore strumento appositamente sviluppato (UserPortal, https://userportal.app.infn.it/ ) è quella in cui l’utente può ottenere un upgrade della sua INFN-ID ad un livello di confidenza maggiore (LoA2 - Level of Assurance 2). Questo è possibile solo attraverso l’approvazione da parte di un referente interno e le verifiche della correttezza delle informazioni inserite e della corrispondenza tra identità fisica ed Identità Digitale INFN-AAI.

Al termine di questa seconda fase l’utente risulterà in possesso di una identità digitale verificata, che è la base per poter effettuare successive richieste, riguardanti ad esempio l’accesso alle risorse informatiche della sede di afferenza (con modalità che potranno essere stabilite autonomamente dalle singole sedi).

Il processo della seconda fase è concettualmente molto semplice, ma anche molto delicato, e per questo sono stati definiti due ruoli che devono essere attribuiti oculatamente: Approvatore di richieste e Verificatore di identità digitali.

Per ottemperare ai requisiti necessari alla concessione dell’autorizzazione all’utilizzo di risorse informatiche delle varie strutture la procedura garantisce inoltre sia la presa visione ed accettazione del disciplinare per l’utilizzo delle risorse informatiche INFN sia la presa visione delle modalità di utilizzo e conservazione dei dati personali secondo i dettami del GDPR.

Tutte le comunicazioni tra il sistema e gli utenti sono bi-lingua. La selezione della lingua utilizzata è effettuata dinamicamente in funzione delle impostazioni del browser e della nazionalità dell’utente.

Come precedentemente accennato, dopo aver effettuato una auto-registrazione attraverso il portale SignUp, l’utente potrà ottenere l’upgrade della sua Identità Digitale al livello LoA2 eseguendo la procedura “Risorse IT” implementata nel portale UserPortal.

Oltre ad arricchire le informazioni relative alla sua identità, l’utente dovrà:

• selezionare la sede presso la quale registrarsi;
• indicare il referente (della sede prescelta) che dovrà approvare la richiesta.

La mansione di Approvatore di richieste di accesso ai servizi IT è assegnata in prima battuta a tutti i responsabili di servizio e di esperimento della sede; il Direttore di sede potrà scegliere di modificare questa configurazione attribuendo il ruolo di approvatore a utenti o gruppi di utenti diversi.

Ad approvazione avvenuta, per perfezionare la richiesta di erogazione di servizi sarà necessario procedere alla verifica dell’identità dell’utente: tale operazione dovrà essere svolta de visu (in presenza o per via telematica).

La certificazione dell’identità dell’utente e la verifica della veridicità dei dati da questi inseriti, permettono di collegare in modo affidabile, l’identità fisica alla relativa identità digitale registrata in GODiVA. A questa identità digitale sarà assegnato il livello di confidenza 2 (LoA2) e ad essa potrà quindi essere assegnato uno dei quattro ruoli ufficialmente riconosciuti (dipendente, associato, ospite o visitatore).

Il ruolo di Certificatore di identità digitale, conformemente a quanto avviene ora, è stato assegnato in prima battuta agli afferenti ai Servizi di Direzione di ciascuna Sede; anche in questo caso il Direttore potrà scegliere di modificare questa configurazione attribuendo il ruolo di verificatore a utenti o gruppi di utenti diversi, inclusi utenti con ruoli in altre sedi (ad esempio, è possibile che i responsabili di risorse IT di esperimenti nei Laboratori Nazionali siano dipendenti o associati di altre strutture).

Inizialmente la facoltà di assegnare il ruolo di approvatore e di verificatore verrà attribuita esclusivamente al Responsabile del Servizio di Direzione (ricoprendo due ruoli distinti: manager degli approvatori e manager dei verificatori), che opererà utilizzando il servizio web Gestione Organigramma accessibile dal portale unico del Servizio Sistema Informativo. Come per i ruoli di cui sopra, tali facoltà, se richiesto, potranno essere assegnate anche ad altri.

La registrazione di un’identità digitale si compone di tre parti:

1. la prima dovrà essere svolta dall’utente utilizzando due applicazioni web:
   • signup
   • userportal
2. la seconda dall’approvatore della richiesta
3. la terza dal certificatore dei dati e dell’identità dell’utente

Per le ultime due fasi approvatore e certificatole useranno la sezione "Back Office" di userportal

I dettagli operativi relativi a queste fasi sono illustrati nelle pagine di istruzioni che abbiamo suddiviso per applicazione web e per versione del software,