Identity and Access Manager - IAM

IAM è un gateway di autenticazione basato sulla piattaforma WSO2 IM ed implementa tutte le modalità di accesso previste dal Codice dell'Amministrazione Digitale, ossia SPID, CIE, CNS ed EIDAS.
I servizi possono essere integrati tramite i protocolli SAML 2 e OpenID Connect; l'autenticazione con SPID, CIE ed EDAS è implementata con SAML 2, mentre l'autenticazione con CNS è risolta internamente all'infrastruttura.
Inoltre, possibile configurare user stores esterni all'interno della piattaforma, ossia repository di utenti nei formati LDAP, Active Directory, RDBMS, per permettere l'utilizzo di credenziali legacy, tipicamente agli utenti del dominio regionale e agli utenti delle ASL.
 

Ogni portale di servizio/app mobile implementa un client (SP SAML 2 o Client OIDC) che comunica con la componente IDP dell'IAM; a sua volta, l'IAM si presenta come Service Provider verso il mondo SPID/CIE/eIDas e implementa anche la funzionalità di interfacciamento tramite CNS.

 
Le applicazioni federate usufruiscono dei vantaggi offerti della piattaforma:
  • Utilizzo di protocolli standard per la federazione
  • Utilizzo di tutte le modalità di autenticazione previste dal CAD (SPID/CIE/CNS/eIDas)
  • Disaccoppiamento rispetto alle modalità di autenticazione previste dal CAD: le eventuali modifiche alle regole tecniche hanno un impatto nullo o molto limitato sugli applicativi federati.
  • Utilizzo della modalità username/password per utenti di back-office o non previsti dal CAD
  • Integrazione di repository di utenti esistenti in diversi formati (ldap, active directory, database etc)
  • Single Sign On: una volta inserita la password, non è più necessario autenticarsi su altri portali federati durante la sessione di lavoro
  • Multi-tenancy: totale isolamento di domini applicativi
  • Adaptive Login: possibilità di creare script da lanciare dopo il login, ad esempio per rafforzare la sicurezza e bloccare comportamenti anomali

In data 10/03/2021 la Regione ha firmato la "Convenzione per l'adesione dei soggetti aggregatori di servizi pubblici al sistema pubblico per le identità digitali" con AGID diventando Soggetto Aggregatore SPID in modalità full, pertanto le PA locali possono diventare Soggetti Aggregati e federarsi con SPID/CIE/CNS tramite IAM, evitando così il collaudo della federazione SPID con AGID e il collaudo della federazione CIE con l'Istituto Poligrafico e Zecca dello Stato; grazie alle funzioni di multitenancy IAM è la piattaforma di supporto al Soggetto Aggregatore SPID

Documenti di riferimento

Specifiche tecniche per l'integrazione con IAM
Allegato A
Metadata SAML dell'IDP di test
Procedura per l'integrazione con LDAP esterni

 

Software

Setup SimpleSAMLPHP IAM Regione Puglia