- Home
- Servizi alla comunità
- Identità digitale, cosa cambia con SPID?
Identità digitale, cosa cambia con SPID?
| Federica Tanlongo | Servizi alla comunità
L'identità unica per accedere ai servizi della PA è ormai una realtà. Quali cambiamenti per l’identità digitale della comunità della ricerca e dell’istruzione?
Con il lancio del Sistema Pubblico di Identità Digitale, più noto con il suo acronimo SPID, concetti come Single Sign-On, credenziali uniche e identità digitale sono diventati di pubblico dominio. L’interesse è più che comprensibile, dato che l’adozione di un sistema di identità digitale che abbracci tutti i cittadini e ne regoli l’accesso a informazioni e servizi rappresenterebbe un passo importante per il nostro Paese, ancora alle prese con tante forme di divario digitale.
IDEM Identità digitali per università e ricerca
La Federazione IDEM, coordinata e gestita dal GARR, può contare su oltre 4 milioni di utenti provenienti da circa 70 organizzazioni aderenti tra università, enti di ricerca, istituti di ricerca biomedica, istituti di cultura.
L’esigenza di semplificazione dell’accesso ai servizi in rete è stata anticipata dalla comunità scientifica e accademica, tanto che l’Infrastruttura di Autenticazione e Autorizzazione di IDEM è in piedi da quasi 10 anni e che da allora le adesioni da parte delle università e degli enti di ricerca non hanno fatto che crescere, seguite recentemente anche dalle scuole.
Il mondo dei servizi digitali apre per la nostra comunità moltissime possibilità, ma anche un’infinità di problematiche di sicurezza, confidenzialità dei dati personali e via dicendo, che l’approccio federato permette di risolvere. In più, ci sono gli aspetti internazionali: a differenza di un cittadino qualsiasi, un ricercatore, un docente o anche uno studente sono “cittadini del mondo” e i servizi per loro più interessanti sono spesso quelli che vanno oltre i confini nazionali. Non a caso da anni è in corso uno sforzo europeo e addirittura globale per l’interoperabilità delle federazioni di identità per l’università e la ricerca, che ha portato tra l’altro all’importante risultato della creazione di eduGAIN.
EduGAIN è un’interfederazione, ovvero una “federazione di federazioni” di identità, in grado di accettare gli identity provider di 40 federazioni nazionali come IDEM. In questo modo, se si deve accedere a un servizio offerto attraverso eduGAIN si possono utilizzare le credenziali ricevute dalla propria università. Le potenzialità di questo servizio sono notevoli, sia dal punto di vista degli utenti, che si vedono aprire letteralmente un mondo di servizi senza tutte le seccature che la reiterata iscrizione comporta, sia dal punto di vista dei fornitori di servizi, che si trovano davanti un bacino di utenza potenziale globale.
Con l’entrata in scena, da protagonista, di un nuovo attore come SPID lo scenario è destinato a evolvere. Infatti, poiché le università statali e gli enti di ricerca pubblici sono annoverati tra le PA, la legge le obbliga a fornire i propri servizi ai cittadini attraverso SPID. La cosa non vale necessariamente per i dipendenti, ma è facile immaginare che, in particolare per le università che devono offrire servizi anche e soprattutto agli studenti o a futuri tali, mantenere un doppio sistema di autenticazione sarebbe un’inutile complicazione – e un overhead poco desiderabile. Del resto, la logica che accomuna IDEM e SPID è la volontà di semplificazione, per cui a ogni utente corrisponde una identità con cui compiere azioni disparate; quindi, a regime, ha senso pensare che un ricercatore userà la sua identità SPID anche per accedere ai servizi legati al suo lavoro di ricerca. Ma come fare per non perdere, nel passaggio, i vantaggi portati da servizi come eduGAIN?
Il problema è che, anche se basate su standard accettati a livello internazionale, le identità SPID non sono automaticamente interoperabili con qualsiasi sistema che li rispetti. In particolare, con le attuali regole tecniche, piuttosto restrittive, i fornitori di servizi internazionali si troverebbero a dover riconfigurare i loro Service Provider per essere compatibili con SPID con inevitabili costi aggiuntivi e non tutti lo considereranno un buon affare. Occorrono quindi sistemi di intermediazione se si vuole che la comunità dell’Università e della Ricerca possa continuare a fruire a livello internazionale di una serie di servizi che non solo continueranno ad essere importanti per ricercatori, docenti e studenti, ma si andranno moltiplicando nei prossimi anni: strumenti come piattaforme di e-learning, e-collaboration, videoconferenza, storage personale e condivisione di file tra gruppi, accesso ai dati e strumentazione remota - solo per citare alcuni tra i più utilizzati – stanno infatti diventando sempre più importanti nei nuovi modi di fare ricerca e formazione.
SPID e IDEM rappresentano due soluzioni per molti aspetti complementari, entrambe con i propri punti di forza: una identità digitale forte utilizzabile in ogni tipo di transazione e atto pubblico per il primo, la focalizzazione su attributi specifici, come quelli caratterizzanti la formazione e il ruolo di una persona all’interno di un’organizzazione per il secondo.
SPID e IDEM rappresentano due soluzioni complementari per molti aspetti
La possibilità di gestire l’accesso di utenti o gruppi di utenti a servizi e contenuti in base al loro ruolo rappresenta infatti un requisito importante in questo ambito. Casi d’uso tipici sono la gestione di intere classi oppure di gruppi che partecipano a progetti di ricerca complessi e devono usare uno o più strumenti in combinazione, con identici privilegi, anche quando provengono da organizzazioni diverse. Del resto, questo è anche un aspetto interessante per i fornitori di servizi, privati e non, perché permette di proporre un’offerta personalizzata e aprire quindi nuove opportunità di business.
Come prendere allora i vantaggi di entrambi i sistemi? Lo scorso aprile, in occasione del workshop tecnico annuale GARR, abbiamo raccolto attorno ad un tavolo i vari attori coinvolti, da AGID ai grandi Identity Provider già parte di SPID, per discutere le opportunità di collaborazione. Quello che ne è emerso è che IDEM potrebbe in futuro cambiare il suo ruolo da Federazione a “Attribute Authority”, un’autorità in grado di attribuire dei ruoli e altre caratteristiche aggiuntive ad una determinata identità.
SPID già da oggi propone un sistema di accreditamento per le Attribute Authority, che secondo gli esperti rappresenterà un elemento fondamentale nell’ecosistema di SPID, proprio per la possibilità di gestire gli accessi in base agli attributi, ma tutto è ancora un po’ teorico: infatti ci sono le regole tecniche, ma non c’è ancora nessuna Attribute Authority attiva.
La sfida resta comunque quella di parlare un linguaggio che sia comprensibile in tutta Europa e nel mondo, vista la natura sostanzialmente globalizzata della ricerca. La comunità dell’istruzione e della ricerca è già abbastanza avanti grazie al citato servizio eduGAIN, già 100% compatibile con le più recenti raccomandazioni tecniche per l’interoperabilità delle identità digitali in Europa.
Anche il lavoro relativo alla definizione di Attribute Authority in questo contesto è già partito a livello di ricerca internazionale in GÉANT e nel progetto AARC, di cui GARR-IDEM è partner, ed è attualmente in corso.
Intanto sul fronte italiano è partita la prima sperimentazione con Poste Italiane ed è in corso la discussione con gli altri due Identity Provider già accreditati in SPID e con AgID. Questo scenario lascia ben sperare perché rappresenterebbe un vantaggio per tutti. Per SPID, si tratterebbe di un’applicazione importante non solo a livello di numeri ma anche per il ruolo della comunità della ricerca e dell’istruzione nella diffusione delle tecnologie digitali e nello sviluppo del Paese; per IDEM, siglificherebbe una grande opportunità di incentivare i “ritardatari” a entrare a far parte del sistema federato e, infine, per le università e gli enti di ricerca si tradurrebbe in una ulteriore semplificazione della loro attività di gestione dei dati degli utenti, ma anche un aumento dei servizi accessibili, il tutto con la massima garanzia di riservatezza dei dati ed efficacia del sistema.
Come funziona
Il “trucco” che permette a due diversi sistemi di identità digitale come IDEM e SPID di interagire fra di loro, consiste nel disaccoppiare la fase di autenticazione (ovvero l’operazione per cui si appura l’identità di un utente, che viene realizzata attraverso l’Identity Provider, o IdP in breve) e quella di autorizzazione (cioè il processo per cui, una volta stabilito chi è l’utente, il Service Provider determina se ha i privilegi necessari per accedere a una certa risorsa). L’introduzione di un Attribute Provider in questo ecosistema permette di aggiungere ulteriori informazioni sull’utente, come ad esempio la sua appartenenza a gruppi o categorie (ad esempio un albo professionale oppure un progetto), sulla base delle quali il Service Provider può decidere l’accesso a una risorsa.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Ultimi articoli in rubrica
-
di Erika Trotto
-
di Barbara Monticini, Mario Di Lorenzo, Davide Vaghetti
-
di Marta Mieli
-
di Davide Vaghetti
-
di Federica Tanlongo
-
di Federica Tanlongo