Esempio non normativo TM AA

[fmarino-ipzs]

Aggiungere un esempio di TM AA nella sezione degli esempi non normativi (EN1.8) come segue:

{
"id": "https://trust.anchor.gov.it/oauth_resource/public/",
"iss": "https://trust.anchor.gov.it/",
"sub": "https://aa.esempio.it/",
"iat": 1579621160,
"organization_type": "public",
"id_code": ["123456"],
"email": "[email protected]",
"organization_name#it": "Denominazione dell'AA",
"ref": "https://documentazione_di_riferimento.it/",
"policy_uri": "https://aa.esempio.it/privacy_policy",
"tos_uri": "https://aa.esempio.it/info_policy",
"claims": {
"https://attributes.eid.gov.it/fiscal_number": {"essential": true},
"email": {"essential": true}
},
"service_documentation": "https://aa.esempio.it/api/v1/"
}

[luke-sensei]

Buongiorno, sono uno sviluppatore di InfoCert. Approfitto per chiedere: mi è chiaro che la sezione claims contiene la lista degli attributi da mettere nel grant-token (equivalente alla sezione aa-required-attributes delle openapi). Ma quale di questi è anche l'attributo da usare come subject (equivalente alla sezione aa-lookup-attribute delle openapi)?

riferimento: https://www.agid.gov.it/sites/default/files/repository_files/llgg_attribute_authority-allegato_tecnico_oas3.pdf al paragrafo 3.2.5.2

grazie, Luca

[peppelinux]

Ciao @luke-sensei
probabilmente ti riferisci a questo

qui definito
https://www.agid.gov.it/sites/default/files/repository_files/llgg_attribute_authority-allegato_tecnico_oas3.pdf

il lookup attribute definito nell' "aa-lookup-attribute" dell'OpenAPI è uno di quelli pubblicati nei claims

"claims": {
"https://attributes.eid.gov.it/fiscal_number": {"essential": true},
"email": {"essential": true}
},

qui un esempio non normativo (che manca del https://attributes.eid.gov.it/ tra l'altro)
https://github.com/italia/spid-cie-oidc-schemas/blob/master/aa/attribute-authorities.yml#L500

ma che spero aiuti a esemplificare la valorizzazione di questo parametro, che contiene per l'appunto il nome, identificativo, dell'attributo utente e non il valore contenuto in esso

@fmarino-ipzs @damikael per ogni qualsiasi integrazione a questa risposta ^

[fmarino-ipzs]

Ciao @luke-sensei, ti direi che l'attributo che l'AA usa come lookup dell'utente riguarda l'AA stessa. Avere un claim specifico per questo non credo aggiunga nulla. L'informazione importante a livello di federazione è sapere quali sono gli attributi necessari per l'AA (tra i quali c'è il lookup-attribute ovviamente). L'OP che riceve una richiesta prende dal TM dell'AA la lista degli attributi dell'utente che inserisce all'interno del GT. Il TM ha quindi un duplice scopo: stabilire la fiducia tra le parti e veicolare le informazioni necessarie all'AA per svolgere le sue funzioni. In ogni caso nel documento yaml oas3 quel parametro è presente come da allegato tecnico alle LL.GG. AA. Spero di esserti stato di aiuto.

[luke-sensei]

ciao peppelinux e fmarino,
ho capito la filosofia di quello che dite. Direi che per l'implementazione sono a posto, vedremo poi dai test con un partner RP e un partner AA se il tutto filerà liscio. Intatno grazie per il supporto ^_^