Dopo mesi di lavoro e una doppia consultazione, ecco il nuovo regolamento IDEM su identity assurance e profili di garanzia per credenziali più certe e sicure

Il CTS IDEM ed il Servizio IDEM GARR AAI hanno elaborato un documento che definisce i diversi livelli di affidabilità delle identità digitali all’interno della Federazione. L’obiettivo è adottare un quadro regolatorio condiviso per l’accesso ai servizi che richiedono il supporto dei profili di garanzia dell’identità digitale definiti dal REFEDS Assurance Framework ed allineare le pratiche di gestione dell’identità digitale dei membri della Federazione alle norme che regolano l’identità digitale governativa europea e italiana (eIDAS, SPID e CIE) e agli standard internazionali di riferimento (ITU X.1254 e NIST 800-63).

Ne abbiamo parlato con Arianna Arona, Università degli Studi di Milano, che ha coordinato il gruppo di lavoro che ha redatto il nuovo regolamento.

Cosa si intende per “identity assurance” e che c’entra con la comunità della ricerca?

In un contesto di gestione federata dell’identità, l’identity assurance permette di determinare con quale livello di sicurezza possiamo credere che le credenziali siano state rilasciate veramente alla persona che l’utente dichiara di essere. Nella comunità della ricerca, ciò è importante soprattutto per essere certi che chi accede a dati sensibili o servizi critici sia effettivamente autorizzato a farlo.

Cosa sono i profili di garanzia e a cosa servono?

L’identity assurance si riferisce alla fase di rilascio delle credenziali, mentre il profilo di garanzia abbraccia anche altri aspetti: potrei aver identificato con grande certezza un’utente al momento della sua registrazione, ma questo non dice nulla su quali siano la sicurezza del processo di autenticazione (ad esempio, un’autenticazione a fattore singolo piuttosto che multiplo), la velocità di revoca delle credenziali o il flusso con cui vengono resettate credenziali perse o compromesse.

Quali sono i profili e gli use case considerati?

I profili di garanzia che sono stati definiti sono 4 e vanno dall’IDEM-P0, che corrisponde a un’utenza autoregistrata, all’IDEM-P3 che corrisponde a un’utenza per la quale si è acquisito un documento confermandone la validità con l’autorità emittente. Come dicevo, però, la maggior garanzia dei profili non dipende solo dalla certezza con cui identifichiamo gli utenti ma anche dal processo di autenticazione, che per i profili a garanzia più elevata è realizzata attraverso più fattori.

I casi d’uso considerati hanno a che vedere con il mondo di enti di ricerca e atenei. Per gli enti di ricerca, ci si riferisce all’assunzione di dipendenti o alla registrazione di persone che per un certo periodo di tempo hanno le credenziali di quell’ente: assegnisti, borsisti, contratti a tempo... Per le università, il quadro è più complesso per la presenza di altre figure come i visiting professor ma soprattutto gli studenti, la cui identità dev’essere registrata nei nostri sistemi anche prima dell’immatricolazione, ad esempio per effettuare test di ingresso e fare domande di ammissione.

Quando e come implementare i profili?

Non esiste una deadline, ma gli Identity Provider (IdP) dovrebbero adottare i profili di garanzia quanto prima, perché i Service Provider (SP) iniziano a domandarli e, in alcuni casi, già minacciano di tagliare fuori quegli utenti con profili di garanzia bassi, come ha fatto l’infrastruttura di calcolo pre-Exascale LUMI. Certo, sappiamo che oggi sono veramente pochi gli IdP già pronti ed è per questo che anche gli SP più intransigenti stanno nella pratica concedendo del tempo per adeguarsi, ma si tratta di mesi e non di anni!

Cosa devono aspettarsi le università e gli enti che li devono implementare?

Come spesso accade, la complessità non è sul piano tecnico. Per implementare i profili è infatti necessario conoscere molto bene tutto il ciclo di vita delle credenziali nel proprio ente: le categorie a cui vengono rilasciate, i processi di rilascio, recupero e revoca, quanto tempo restano in vita dopo che l’utente non fa più parte dell’organizzazione. Tipicamente, negli enti grandi e complessi, chi si occupa del rilascio degli attributi non conosce nel dettaglio questi processi ed è necessario tracciarli, anche intervistando i colleghi che si occupano delle diverse fasi di gestione dell’identità. Solo a questo sarà possibile modificare il proprio IdP in modo che rilasci gli appropriati attributi, ma questa in realtà è la parte facile.

Va notato che, in un contesto federato è importante capire quali risorse sono usate dai propri utenti e che profilo è necessario per accedervi: quindi se il primo passo è prendere atto della situazione attuale dei processi, potrà poi essere necessario modificarli quando è richiesto un livello maggiore, almeno per quelle categorie di utenti che ne hanno bisogno.

Come si inserisce questo framework nel quadro europeo? E fuori dall’Europa?

A livello europeo, i profili di garanzia sono definiti da REFEDS e fuori dall’Europa dal NIST. Possono avere classificazioni leggermente diverse ma quel che si richiede è uniforme, quindi sono sostanzialmente interoperabili e gli attributi rilasciati sono riconosciuti da tutti. Quindi, una volta adottati i profili definiti da IDEM, i nostri utenti potranno accedere a tutti i servizi che li richiedono non solo a livello nazionale, ma in Europa e nel mondo.

Nella realizzazione di questo lavoro avete coinvolto la comunità?

Abbiamo invitato quanti nella comunità IDEM fossero interessati a partecipare alla stesura del regolamento. Molte persone sono intervenute alle prime riunioni anche semplicemente per informarsi, ma si è poi costituito un gruppo stabile, che comprende membri CTS e della comunità. Ci siamo basati sul regolamento europeo già esistente e il lavoro maggiore è stato contestualizzarlo ai casi d’uso tipici del mondo dell’università e della ricerca in Italia. Credo che abbiamo realizzato un buon documento, poi migliorato grazie alla consultazione. Abbiamo ricevuto molti commenti e domande legati agli aspetti implementativi, che potrebbero portare alla realizzazione di FAQ per guidare gli utenti. Stiamo anche pensando di organizzare momenti di formazione e informazione, come mini-seminari e sessioni di domande e risposte.

Hai lavorato parecchio su questo tema, cosa potresti dirci di questa esperienza?

L’esperienza all’Università di Milano mi è stata utile a capire i limiti della visione che avevo nella gestione delle credenziali degli utenti e ad approfondire questi processi per poter ottenere una fotografia completa. Ho dovuto chiedere a più colleghi, dato che la filiera viene lavorata da persone e uffici diversi e la gestione di queste identità è un puzzle con molte tessere.

Cosa hai imparato che applicheresti ad altre attività di IDEM?

Il gruppo di lavoro ha coinvolto persone che provenivano da contesti diversi ed è stato molto interessante per lo scambio di esperienze che c’è stato al suo interno: io l’ho vissuta soprattutto come la scoperta, da parte degli altri, della complessità del mondo degli atenei.

La consultazione ha poi mostrato che nuove paia d’occhi servono sempre e che cose che a noi, dopo averne parlato per mesi, sembravano evidenti invece andavano spiegate meglio. La lezione che ne portiamo a casa è il valore del confronto e il fatto che in gruppo si lavora meglio e di più e che, anche se siamo andati un po’ lunghi rispetto alle scadenze che c’eravamo dati all’inizio, ne è valsa la pena!

Dal più “leggero” a quello con più certezze, ecco i 4 profili di garanzia

IDEM-P0: corrisponde a un’utenza autoregistrata, della quale l’unica cosa che sappiamo con certezza è che l’utente fornisce una mail a cui accede. Un caso d’uso tipico è lo studente non ancora immatricolato che accede a un sistema di ticketing per interagire con le segreterie.
IDEM-P1: prevede che l’utente sia identificato attraverso un documento di identità apparentemente autentico (nel senso che l’addetto non è competente a stabilirne l’autenticità) o altre credenziali, ad esempio SPID-L1. L’affiliazione è aggiornata entro un mese e l’autenticazione implementata è a un solo fattore. Un esempio di caso d’uso è l’immatricolazione di uno studente.
IDEM-P2: come il precedente, prevede che l’utente sia identificato attraverso un documento di identità, ma introduce verifiche aggiuntive (ad esempio per mezzo della verifica dei dati riportati nel documento con quelli del codice fiscale); in alternativa, utilizza altre credenziali con una assurance più elevata, come SPID-L2. L’affiliazione è aggiornata entro un giorno e l’autenticazione diventa a 2 fattori. Un caso d’uso tipico è la registrazione di un dipendente.
IDEM-P3: prevede l’identificazione attraverso CIE o altre credenziali con assurance superiori oppure attraverso l’esibizione di un documento la cui validità venga verificata con l’autorità emittente. Anche qui l’autenticazione è a due o più fattori. Il caso d’uso per questo profilo è l’accesso a servizi critici o altamente confidenziali in cui è essenziale accertare l’identità degli accessi.