Manuale d’uso – Operatore FedERa - lepida.it · Manuale d’uso per Operatore FedERa ... utenti...

Manuale d’uso per Operatore FedERa versione 2.0.2 data 06/03//2017 Pag - 1 /68

Manuale d’uso – Operatore FedERa Versioni del manuale e modifiche introdotte VERSIONE Motivo Data Validità Capo Progetto 1.0 Prima emissione 15/07/2009 1.5 Adeguamento a funzionalità del rilascio 1.5 23/07/2010 1.6 Modifica immagini delle form con rilascio 1.6 15/11/2010 1.7.4 Rimossa attivazione account tramite email 07/12/2011 1.8 Invio email dopo incremento livello affidabilità 07/05/2012 Vania Corelli

Grappadelli 1.8 Password "Nessuna policy" <= 6 caratteri 07/05/2012 Vania Corelli

Grappadelli 1.8 Cambio email notificato al vecchio indirizzo 07/05/2012 Vania Corelli

Grappadelli 1.8 Username univoco per dominio e riusabile 07/05/2012 Vania Corelli

Grappadelli 1.8.1 Upgrade affidabilità a livello B più immediato 03/12/2012 Vania Corelli

Grappadelli 1.8.1 Gestione di più riferimenti per ogni RA 03/12/2012 Vania Corelli

Grappadelli 1.8.2 Documenti incremento affidabilità via PEC 16/04/2013 Vania Corelli

Grappadelli 1.8.2 Accesso ai dettagli della RA di autenticazione 16/04/2013 Vania Corelli

Grappadelli 1.8.3 Registrazione tramite SMS Vania Corelli

Grappadelli 2.0.0 Beta 1 Adeguamento a funzionalità del rilascio 2.0 29/06/2015 Vania Corelli

Grappadelli 2.0.0 Beta 2 Correzioni struttura e miglioramento istruzioni 08/07/2015 Vania Corelli

Grappadelli 2.0.1 Descrizione nuove funzionalità (ricerca busta

cieca; registrazione minori) 22/04/2016 Vania Corelli

Grappadelli 2.0.2 Nuove funzionalità di ricerca del pannello

operatore RA 06/03/2017 Vania Corelli

Grappadelli Per ulteriori informazioni e documentazione riguardanti FedERa, visitare il portale della federazione all'url http://federazione.lepida.it

Manuale d’uso per Operatore FedERa versione 2.0.2 data 06/03/2017

1 /68

http://federazione.lepida.it/




SOMMARIO

1 Introduzione 2 Operatore RA

2.1 Il pannello operatore RA 2.2 Home page – ricerca/modifica utenti 2.3 Ricerca utenti 2.4 Modifica utente

2.4.1 Upload documenti utente 2.5 Stampa dati utente 2.6 Identificazione utente 2.7 Associazione busta cieca 2.8 Rimozione utente 2.9 Sospensione utente 2.10 Attivazione utente 2.11 Scelta RA 2.12 Registrazione de visu

2.12.1 Registrazione de visu di minori 2.13 Incremento livello di affidabilità

2.13.1 Incremento tramite upload di documenti digitali 2.13.2 Incremento tramite riconoscimento de visu

3 Operatore Attribute Authority FedERa 3.1 Introduzione 3.2 Il pannello operatore AA

3.2.1 Cambia AA 3.2.2 Creazione utente certificato 3.3.3 Ricerca utente certificato 3.3.4 Dettagli utente certificato 3.3.5 Modifica utente certificato 3.3.6 Cancellazione attributi utente certificato

3.4 Attributi Certificabili 4 Operatore Service Provider FedERa

4.1 Introduzione 4.2 Il pannello operatore SP

4.2.1 Selezione del servizio corrente (voce menù “Cambia SP”) 4.2.2 Gestione del profilo di servizio per l'utente (voce menù “Gestione Profilo Utente”)

4.2.2.1 Definizione del set di attributi richiesti dal servizio 4.2.3 Gestione ACL del servizio (voce menù “Gestione Access Control List”)


2 /68


1 Introduzione

Il presente manuale illustra e spiega le operazioni che l’operatore FedERa può eseguire. L' operatore FedERa può essere di 3 tipi:

• Operatore Registration Authority (RA) • Operatore Attribute Authority (AA) • Operatore Service Provider (SP)

I questo manuale sono presenti sezioni per ognuno dei tipi elencati. N.B. Nel seguito si danno per assunte le nozioni di cui al Manuale d’uso per utente FedERa.

2 Operatore RA

Le principali attività che un operatore RA dovrà eseguire saranno: registrazione di nuovi utenti, modifica di utenti già registrati, rimozione e sospensioni di utenze attive, gestione delle richieste di incremento affidabilità tramite le modalità accettate dalla Registration Authority presso la quale l’operatore sta lavorando. Nel seguito saranno mostrate nel dettaglio queste operazioni e la modalità per eseguirle. La trattazione procederà per singole operazioni, presentando, per ciascuna, le immagini delle schermate che l’operatore ad ogni passo visualizzerà.

2.1 Il pannello operatore RA

Dopo aver eseguito l’autenticazione, al link: https://federa.lepida.it/idm/raop/home-op-ra.htm l’operatore sarà diretto sulla pagina principale, o home page, dell’utente operatore RA. Tutte le pagine visualizzabili dall’operatore RA hanno una parte sinistra (formata da un box informazioni e il menù di navigazione) e una testata non soggette a variazioni nel corso della navigazione. In Figura 2.1 è mostrata la home page.


3 /68

https://federa.lepida.it/idm/raop/home-op-ra.htm


Figura 2.1 - Il pannello dell'operatore RA In testata, sulla parte alta a destra è presente un link con il nome dell’operatore che ha effettuato il login. Tale link consente di tornare, in ogni momento, alla pagina principale. Al centro della testata è indicato il nome dell’ente su cui l’operatore RA sta lavorando e, se disponibile, sulla destra è presente il logo dell’ente. Sulla parte sinistra della pagina, nel riquadro arancione, sono mostrate le informazioni dell’utente operatore RA che ha effettuato l’accesso, esse sono:

● Utente – nome e cognome dell’utente operatore RA ● UserId – il suo codice fiscale (in realtà la UserId completa concatena tale codice con il carattere ‘@’ e

con il dominio presso cui l’utente operatore RA è registrato) ● Dominio – il dominio presso il quale l’utente-operatore è registrato ● RA selezionata – la RA su cui l’operatore sta agendo (la vista è utile nei casi in cui l’operatore possa

gestire più RA) Posto al di sotto del riquadro con le informazioni dell’utente, è presente il menù di navigazione dell’operatore. Cliccando sulle voci di menù si accede alle funzionalità dell’operatore. Queste sono:

• Registrazione de visu • Cambia RA • Documenti digitali


4 /68


2.2 Home page – ricerca/modifica utenti

Effettuato il login l’operatore accede alla home page. In essa è presente una form che consente di ricercare e di accedere alla pagina di dettaglio di un utente che si è registrato o che ha effettuato una richiesta d’incremento del livello d’affidabilità presso la registration authority.

2.3 Ricerca utenti

L'operatore accede al sistema, il sistema sottopone all’utente operatore una maschera per l’inserimento dei filtri di ricerca utenti ( Figura 2.2 ).

Figura 2.2 - Home page e maschera di ricerca La ricerca può avvenire per nome, cognome, codice fiscale, email, alias, data di nascita, stato dell’identità, livello di affidabilità, metodologia di incremento affidabilità e intervallo di date di registrazione. N.B : tutte le date vanno specificate nel formato GG/MM/AAAA. Se l’utente operatore non inserisce alcun filtro, il sistema ripresenta la pagina di ricerca con messaggio di errore ( Figura 2.3 ).


5 /68


Figura 2.3 - Ricerca senza filtri selezionati Se l’operatore imposta almeno un parametro di ricerca, il sistema presenta una lista di utenti censiti nel sistema che soddisfano tale o tali criteri ( Figura 2.4 ). È possibile, facendo clic sulla colonna con il Titolo della tabella dei risultati ordinare alfabeticamente (in senso crescente o decrescente) il risultato (l’ordinamento è possibile per i campi: nome, cognome, codice fiscale, email, alias). È possibile inoltre effettuare una ricerca anche parziale tramite una “wildcard” vale a dire utilizzando un carattere speciale che può corrispondere ad un qualsiasi valore. All’interno del nostro sistema utilizzeremo il carattere “%”, ad esempio per ricercare la parola “federa” sarà sufficiente digitare “%er%” per ottenere il risultato desiderato. Questa tipologia di ricerca è applicabile sui seguenti campi: Nome, Cognome, Codice fiscale, Email, Alias. Selezionando il link “Esporta gli utenti in formato csv ” l’operatore potrà effettuare il download di un file contente i risultati della ricerca in formato Comma Separated Values. Spuntando la/le check-box a sinistra di ogni utente e selezionando il pulsante “ Elimina selezionati ” l’operatore potrà eliminare dal sistema gli utenti scelti. Nota : La funzionalità di eliminazione utenze è fruibile solo per Operatori RA “amministratori”; nel caso non si sia configurati come tali non è possibile eliminare ed alcuni elementi dell’interfaccia saranno inibiti e/o invisibili. La qualifica di Operatore RA “amministratore” per la propria RA è assegnata su richiesta degli enti.


6 /68


Figura 2.4 - Risultati di una ricerca Selezionando un codice fiscale dalla lista, l’operatore accede al dettaglio dell’utente. Se l’utente selezionato ha livello di affidabilità Alto ( Figura 2.5 ), l’utente operatore ha a disposizione i seguenti pulsanti:

● Modifica (dei dati personali dell’utente) ● Stampa dati utente ● Associa busta cieca ● Aggiungi Documento di identità ● Sospendi utente / Attiva utente (solo se l’utente è attivo / sospeso) ● Rimuovi utente


7 /68


Figura 2.5 - Dettaglio utente con affidabilità alta


8 /68


Se l’utente selezionato ha livello di affidabilità Medio o Basso ( Figura 2.6 ), l’utente operatore ha a disposizione i seguenti pulsanti:

● Identifica (per incrementare il livello di affidabilità) ● Stampa dati utente ● Associa busta cieca ● Aggiungi Documento di identità ● Modifica (dei dati personali dell’utente) ● Sospendi utente / Attiva utente (solo se l’utente è attivo / sospeso) ● Rimuovi utente


9 /68



10 /68


Figura 2.6 - Dettaglio utente con affidabilità medio-bassa


11 /68


2.4 Modifica utente

L’utente operatore RA seleziona il pulsante “Modifica”. Il sistema presenta la maschera per la modifica dei dati dell’utente ( Figura 2.7 ).

Figura 2.7 - Modifica dati utente di livello Medio - Basso Se il livello di affidabilità è Medio o Basso l’operatore potrà modificare tutti i dati ad eccezione dello username e del codice fiscale. Se il livello di affidabilità è Alto ( Figura 2.8 ) l’operatore potrà modificare solo i dati non identificativi dell’utente, ovvero sono esclusi dalla modifica i dati:

● Nome ● Cognome ● Codice Fiscale ● Username ● Luogo di nascita ● Data Nascita ● Sesso


12 /68


Figura 2.8 - Pagina di modifica utente di livello Alto


13 /68


Cliccando sul pulsante “Salva”, l’operatore visualizza la pagina di riepilogo con l’esito della operazione di modifica ( Figura 2.9 ).

Figura 2.9 - Esito positivo di un’operazione


14 /68


2.4.1 Upload documenti utente

Tra le opzioni di modifica utente è disponibile quella di associazione di uno o più file di documenti di identità. La funzionalità si attiva ricercando un utente, visualizzandone il profilo e premendo il link/bottone “Aggiungi Documento di Identità” ( Figura 2.9a ). Tale funzionalità permette di salvare da computer locale la documentazione digitale utile alla identificazione

Figura 2.9a: Aggiunta file documenti di identità al profilo utente Cliccando il bottone si presenta una maschera di caricamento file ( Figura 2.9b ) E' possibile un unico caricamento multiplo; con i tasti “Aggiungi allegato” e “Rimuovi” si aggiungono e tolgono file alla lista di pre-caricamento. Col bottone “Sfoglia” (o “Browse”) si scelgono i file dal computer locale. I file devono essere di tipo ed estensione pdf. Una volta sicuri della lista di caricamento si procede all'upload col tasto “Carica documenti”. Nota : I file, una volta caricati, non possono essere cancellati.


15 /68


I file sono poi disponibili per download e visualizzazione in fondo al profilo utente, con lo stesso nome che avevano al momento del caricamento.

Figura 2.9b: Caricamento ed associazione documenti utente

2.5 Stampa dati utente

L’utente operatore RA clicca sul pulsante “Stampa dati utente”. Il sistema produce un documento .pdf (come quello in Figura 2.10 ) di cui è possibile eseguire il download. Tale modulo deve essere stampato, firmato dall'utente durante la fase di riconoscimento e conservato dalla RA, insieme alla copia del documento di identità.


16 /68



17 /68


Figura 2.10 - Dati identità e informativa trattamento dati all’IdM Manuale d’uso per Operatore FedERa versione 2.0.2 data 06/03/2017

18 /68


2.6 Identificazione utente

L’operatore, dal dettaglio di un utente identificato a livello medio/basso, clicca sul pulsante “Identifica”. Il sistema presenta la maschera di modifica dei dati dell’utente con tutti i valori editabili eccetto il codice fiscale e lo username ( Figura 2.11 ) L’operatore RA inserisce, se non presenti, i dati del documento di riconoscimento (che sono obbligatori). A questo punto son possibili due scelte per l’operatore RA:

(i) se si vuole assegnare una busta cieca contenente nuova password (PIN) e PUK per il recupero della stessa, selezionare il pulsante “Associa busta cieca”, oppure

(ii) per identificare l’utente senza assegnargli una busta ma forzando il reset della password per l’utente al prossimo login, selezionare il pulsante “Salva senza busta”.


19 /68


Figura 2.11 - Pagina identificazione utenti Se l’operatore decide di assegnare una busta cieca, il sistema presenta la lista delle buste cieche disponibili ( Figura 2.12 ) per la registration authority.


20 /68


Figura 2.12 - Selezione di una busta cieca

L’operatore ne seleziona una da associare all’utente e clicca sul pulsante “Associa”. C’è anche la possibilità di ricercare nell’insieme delle buste disponibili una determinata busta, inserendo il numero desiderato e digitando il tasto “Ricerca busta singola”. La busta contiene un codice PUK, per il recupero password, e la nuova password valida per il prossimo accesso al sistema.


21 /68


Figura 2.13 - Busta cieca Il sistema mostra il dettaglio dell’utente con il messaggio di esito positivo dell’operazione. Il sistema incrementa il livello di affidabilità dell’utente da basso o medio ad alto. I pulsanti per l’incremento non sono più visibili nella pagina di dettaglio dell’utente. Il sistema invia conferma via mail dell’avvenuto incremento. Attenzione : La funzionalità di identificazione è solitamente eseguibile solo una volta per un determinato utente per il passaggio ad affidabilità di livello “Alto” ma nel caso di identificazione precedente con “documentazione cartacea” è possibile procedere alla re-identificazione “de visu” tramite il tasto “Identifica de visu” che comparirà solo al presentarsi delle condizioni appena indicate (utente ad affidabilità alta e identificazione cartacea). Sarà in questo caso possibile editare il profilo dell'utente per inserire i dati necessari alla identificazione di questo tipo, includendo i dati del documento di identità. L' identificazione dell'utente deve avvenire nella solita modalità (riconoscimento a vista con la verifica della carta di identità; conservazione della copia del documento di identità e del modulo con informativa della privacy firmato dall'utente). La voce di profilo utente “Metodologia di incremento affidabilità” indica lo stato di questo valore per l'utente visualizzato.


22 /68


2.7 Associazione busta cieca

L’operazione di associazione busta cieca permette all’operatore di assegnare una nuova busta cieca ad un utente che l’ha smarrita o ha dimenticato la password per l’accesso. L’operatore RA dal dettaglio dell’utente seleziona “Associa busta cieca”. Il sistema presenta la lista delle buste cieche disponibili per la registration authority ( Figura 2.12 ). C’è la possibilità di ricercare nell’insieme delle buste disponibili una determinata busta, inserendo il numero desiderato. L’operatore seleziona il numero della busta e la associa all’utente cliccando sul pulsante “Associa”. La busta contiene un codice PUK, per il recupero password, e la nuova password valida per il prossimo accesso al sistema. Il sistema mostra il dettaglio dell’utente con il messaggio di esito positivo dell’operazione. Nella pagina del profilo utente verranno visualizzati il dettaglio del Numero della busta cieca assegnata e la Data di associazione della stessa. ( Fig.2.14 )


23 /68


Figura 2.14 - Visualizzazione Numero e Data associazione busta cieca


24 /68


2.8 Rimozione utente

L’operazione di rimozione utente consente all’operatore RA di rimuovere un utente dall’RA gestita. L’utente non potrà più effettuare l’accesso nel sistema Federa. ( NB : per rimuovere più utenti contemporaneamente si utilizzi la funzionalità descritta al paragrafo , Figura 2.4 ). Per rimuovere un utente l’operatore seleziona il pulsante “Rimuovi utente” dalla pagina di dettaglio dell’utente selezionato ( Figura 2.5 e Figura 2.6 ). Il sistema richiede la conferma dell’operazione mostrando la schermata in Figura 2.15 .

Figura 2.15 - Conferma di rimozione utente L’operatore RA clicca sul pulsante “Conferma” e il sistema presenta un messaggio con l’esito positivo dell’operazione. Nota : Si rammenti che la possibilità di eliminare utenze da operatore RA è concessa solo agli operatori RA di tipo “amministratore”.

2.9 Sospensione utente

L’operazione di sospensione utente consente all’operatore RA di sospendere un utente attivo dalla RA gestita. L’utente non potrà più effettuare l’accesso nel sistema Federa fino alla riattivazione (alla sospensione la data di scadenza account viene impostata alla data in cui avviene la sospensione) Per sospendere un utente l’operatore seleziona il pulsante “Sospendi utente” dalla pagina di dettaglio dell’utente selezionato ( Figura 2.5 e Figura 2.6 ). Il sistema presenta il dettaglio dell’utente con il messaggio di esito positivo dell’operazione di sospensione ( Figura 2.16 ).


25 /68


Figura 2.16 - Sospensione di un utente Il pulsante “Sospendi utente” non è più visibile, l’operatore potrà, invece, riattivare l’utente cliccando sul pulsante “Attiva utente”.

2.10 Attivazione utente

L’operazione di attivazione utente consente all’operatore RA di attivare un utente sospeso dall’RA gestita. L’utente potrà nuovamente effettuare l’accesso al sistema Federa. ( NB . Alla riattivazione la data di scadenza account verrà calcolata a partire da quella in cui avviene la riattivazione. Il numero di giorni di “validità” dipenderà dalla policy password dell’utente).


26 /68


Per attivare un utente l’operatore seleziona il pulsante “Attiva utente” dalla pagina di dettaglio dell’utente selezionato. Il sistema presenta il dettaglio dell’utente con il messaggio di esito positivo dell’operazione di attivazione ( Figura 2.17 ). Il pulsante “Attiva utente” non è più visibile, l’operatore potrà, invece, sospendere l’utente cliccando sul pulsante “Sospendi utente”.

Figura 2.17 - Attivazione di un utente precedentemente in stato sospeso

2.11 Scelta RA

Un operatore RA può operare per più registration authority, se così configurato.


27 /68


Tramite la funzionalità “Scelta RA” accessibile tramite la corrispondente voce di menù, l’operatore può selezionare la registration authority su cui operare. L’operatore seleziona “Scelta RA” dal menù. Il sistema mostra la lista delle registration authority associate all’operatore ( Figura 2.18 ).

Figura 2.18 - Scelta della RA su cui operare L’operatore seleziona la registration authority cliccando sul link “Scegli” a destra. Il sistema presenterà l’home page con il nome dell’ente, il logo e l’informazione riportata nel campo “RA selezionata” del box arancio relative alla RA scelta ( Figura 2.19 ).


28 /68


Figura 2.19 - Pannello operatore dopo il cambio di RA

2.12 Registrazione de visu

La registrazione de visu (voce di menù) consente all’operatore RA di registrare un nuovo utente presso la registration authority con modalità di riconoscimento “de visu” per identificazione con livello di affidabilità “Alto”. Questa modalità deve essere utilizzata solo per identificazioni de visu, in presenza del richiedente e con memorizzazione dei dati del documento di identità presentato. L' identificazione dell'utente deve avvenire nella solita modalità (riconoscimento a vista con la verifica della carta di identità; conservazione della copia del documento di identità e del modulo con informativa della privacy firmato dall'utente). Il sistema mostra la maschera di inserimento dati dell’utente ( Figura 2.20 ). Tutti i campi contrassegnati dall’asterisco sono obbligatori. Nella sezione ”Altre informazioni” i valori: indirizzo (di domicilio e/o di residenza) e CAP (di domicilio e/o di residenza) saranno obbligatori qualora si selezionasse come luogo (di domicilio e/o di residenza) un comune italiano. In caso di luogo (di domicilio e/o di residenza) estero i campi non sono obbligatori. L’operatore è tenuto a conservare copia del documento di identità dell’utente e il documento con il riepilogo Dati Identità firmato. E’ necessario conservare copia cartacea. E’ inoltre possibile caricare i documenti sul sistema usando la funzione di upload.


29 /68


Figura 2.20 - Maschera di inserimento dati utente L’operatore RA seleziona il pulsante “Avanti”


30 /68


Il sistema presenta una pagina con il riepilogo dei dati inseriti ( Figura 2.21 ).

Figura 2.21 - Riepilogo dei dati L’operatore RA clicca sul pulsante “Avanti”. Il sistema presenta la lista delle buste cieche disponibili per la registration authority ( Figura 2.22 ). L’operatore ne seleziona una da associare all’utente e clicca sul pulsante “Associa”. C’è anche la possibilità di ricercare nell’insieme delle buste disponibili una determinata busta, inserendo il numero desiderato e digitando il tasto “Ricerca busta singola”. Manuale d’uso per Operatore FedERa versione 2.0.2 data 06/03/2017

31 /68


Nota : Il numero di buste cieche disponibili per una determinata RA può esaurirsi. Nel caso si presenti il messaggio di indisponibilità delle buste, richiederne un nuovo lotto agli amministratori FedERa .

Figura 2.22 - Associazione busta cieca La busta cieca contiene un codice PUK, per il recupero password, e la nuova password (codice PIN), valida per il prossimo accesso al sistema. Il sistema invia una mail di conferma contenente un promemoria con le credenziali dell’utente. Il sistema presenta una pagina con l’esito positivo dell’operazione e un pulsante per il download del file contenente la documentazione da consegnare all’utente.


32 /68


Figura 2.23 - Utente registrato, stampa dei dati da firmare L’operatore seleziona il pulsante “Stampa dati utente per firma”. Viene generato un documento Dati identità ( Figura 2.24 )


33 /68



34 /68


Figura 2.24 - Stampa dati per firma e informativa trattamento dati all’IdM


35 /68


2.12.1 Registrazione de visu di minori La procedura per la registrazione de visu di utenti minorenni è analoga a quella appena vista. L’utente minorenne dovrà presentarsi allo sportello insieme al genitore o a chi ne fa le veci. L’operatore anche in questo caso dovrà stampare il documento “Dati Identità” (vedi figura) che in questo caso prevederà anche lo spazio per l’inserimento dei dati del genitore il quale dovrà firmare il documento contestualmente al minore. L’operatore è tenuto a conservare copia del documento di identità dell’utente, del genitore o chi ne fa le veci e il documento con il riepilogo Dati Identità firmato. E’ necessario conservare copia cartacea. E’ inoltre possibile caricare i documenti sul sistema usando la funzione di upload.


36 /68



37 /68


2.13 Incremento livello di affidabilità Questa sezione descrive le modalità di incremento del livello di affidabilità disponibili per l’Operatore RA.

2.13.1 Incremento tramite upload di documenti digitali

La funzionalità di gestione dei documenti digitali consente all’operatore RA di evadere le richieste di incremento del livello di affidabilità inviate tramite upload della documentazione firmata digitalmente dall'utente. Questo procedura, se va a buon fine, porta il livello di affidabilità dell'utente ad “Alto”. Nota : Per essere efficaci per la identificazione, i file inviati dall'utente devono essere digitalmente firmati cosìcchè l'operatore possa determinarne la validità (tramite strumento di verifica esterno a FedERa di cui l'operatore deve essere dotato) L’operatore seleziona dal menù la voce “Documenti digitali”. Il sistema presenta la lista degli utenti che hanno fatto richiesta di identificazione tramite questa modalità ( Figura 2.25 ).

Figura 2.25 - Documenti digitali Selezionando un codice fiscale dalla lista, l’operatore accede al dettaglio dell’utente ( Figura 2.5 e Figura 2.6 ). Selezionando “Dettaglio” l’operatore accede alla schermata seguente, che consente di evadere o respingere la richiesta di identificazione ( Figura 2.25 ).


38 /68


Figura 2.26 - Accettazione / rifiuto del documento digitale L’operatore RA cliccando sul pulsante “Download documentazione” effettua il download della documentazione inviata dall’utente e ne verifica la firma. La documentazione scaricata deve essere composta da due file, la scansione di un documento di identità e il file con il riepilogo dei dati dell’utente firmato digitalmente. ( Figura 2.26 ) Se la richiesta è valida l’operatore RA clicca su “Accetta Richiesta”. Il sistema avvisa l’utente via mail, ne rimuove la richiesta da quelle presenti e mostra la lista delle richieste inevase con il messaggio di esito positivo dell’operazione. Se la documentazione ricevuta non è valida, l’operatore RA seleziona il pulsante “Rifiuta richiesta” e facoltativamente inserisce un messaggio nell’area di testo “Note”. Tale messaggio verrà inviato insieme alla mail che avverte l’utente del rifiuto della richiesta di incremento. Il sistema rimuove la richiesta da quelle presenti e mostra la lista delle richieste inevase con il messaggio di esito positivo dell’operazione di rifiuto richiesta ( Figura 2.27 ).


39 /68


Figura 2.27 - Rifiuto di una richiesta

Nella pagina del profilo utente, nel solo caso in cui questi abbia fatto richiesta di incremento del livello di affidabilità tramite questa modalità e che sia andata a buon fine, verrà visualizzato il link per il download del documento corrispondente alla richiesta evasa con successo. ( Fig.2.28 )


40 /68


Fig.2.28 - Link download documento utente


41 /68


2.13.2 Incremento tramite riconoscimento de visu

L’utente può registrarsi online ottenendo un livello di affidabilità basso o medio e successivamente richiedere un incremento ad alto recandosi allo sportello della RA e facendosi riconoscere de visu dall’operatore. L’Operatore dovrà stampare e far firmare all’utente il foglio con i riepilogo dati utente. Dovrà inoltre conservare una copia del documento di identità e del documento con i dati utente firmato. Tale documentazione deve essere conservata in modalità cartacea.


42 /68


3 Operatore Attribute Authority FedERa

3.1 Introduzione

La presente sezione illustra e spiega le operazioni che l’operatore di Attribute Authority può eseguire. L'Attribute Authority (AA) svolge la funzione di certificare un insieme di attribut i per gli utenti della Federazione. L'insieme degli attributi che le AA federate possono certificare è definito dagli amministratori FedERa ed è tipicamente un sottoinsieme degli attributi della Federazione. Non vi è un limite prefissato alle AA della Federazione; esse possono afferire a diverse entità (P.A., ordini professionali, etc). L'insieme degli attributi pervenuti da tutte le AA per uno specifico utente, in aggiunta a quelli forniti dal Gestore di Credenziali, è definito Profilo Utente . Tramite il profili utente, i servizi potranno operare logiche di accesso ed operatività condizionali alla valorizzazione od alla presenza o meno di un certo attributo o serie di attributi. Gli attributi di una AA sono detti certificati , in quanto sono appunto certificati da enti terzi ed affidabili ( e non sono quindi autocertificati dall'utente stesso, ad esempio). Un operatore AA certifica un utente della federazione basandosi sul codice fiscale (C.F) dell'utente stesso per individuarlo. Il sistema supporta la amministrazione di AA multiple per lo stesso ruolo di operatore, se configurato per questo. Le principali attività che un operatore AA dovrà eseguire saranno:

• certificazione di attributi per un utente • ricerca di utenti con attributi certificati • modifica di attributi certificati utente già esistenti • cancellazione attributi certificati utente • selezione della AA per la quale l’operatore sta lavorando.

Nel seguito saranno mostrate nel dettaglio queste operazioni e la modalità per eseguirle. La trattazione procederà per singole operazioni, presentando, per ciascuna, le immagini delle schermate che l’operatore ad ogni passo visualizzerà. Nota : Le Attribute Authority FedERa possono avere dei filtri rispettivamente agli attributi certificabili per singola AA. Questi filtri sono impostati dagli operatori amministratori Federa e sono solitamente settati in base alla richiesta di creazione della AA.


43 /68


3.2 Il pannello operatore AA

Dopo aver eseguito l’autenticazione, l’operatore sarà diretto sulla pagina principale, o home page , dell’utente operatore AA. Il link di accesso per gli operatori AA è https://federa.lepida.it/idm/aaop/home-op-aa.htm Tutte le pagine visualizzabili dall’operatore AA hanno una parte sinistra (formata da un box informazioni e il menù di navigazione) e una testata non soggette a variazioni nel corso della navigazione. In Figura 3.1 è mostrata la home page.

Figura 3.1 - Home page operatore AA

In testata, sulla parte alta a destra è presente un link con il nome dell’operatore che ha effettuato il login. Tale link consente di tornare, in ogni momento, alla pagina principale. Al centro della testata è indicato il nome dell’ente su cui l’operatore AA sta lavorando e, se disponibile, sulla destra è presente il logo dell’ente. Sulla parte sinistra della pagina, nel riquadro arancione, sono mostrate le informazioni dell’utente operatore AA che ha effettuato l'accesso; esse sono:

• Utente – nome e cognome dell’utente operatore AA • UserId – codice fiscale e dominio presso cui l’utente operatore AA è registrato • Dominio – il dominio presso il quale l’utente-operatore è registrato. • AA selezionata – la AA su cui l’operatore sta agendo (la vista è utile nei casi in cui l'operatore possa

gestire più AA)


44 /68

https://federa.lepida.it/idm/aaop/home-op-aa.htm

https://federa.lepida.it/idm/aaop/home-op-aa.htm


Posto al di sotto del riquadro con le informazioni dell’utente, è presente il menù dell’operatore. Cliccando sulle voci di menù si accede alle funzionalità dell’operatore; queste sono :

• Cambia AA • N uovo utente certificato • R icerca utente certificato • A ttributi certificabili

3.2.1 Cambia AA

Un operatore AA può operare (se così configurato) per più Attribute Authority. Tramite la funzionalità “ Cambia AA ”, accessibile cliccando la corrispondente voce di menù, l’operatore può selezionare la Attribute Authority su cui operare e su cui opererà sino ad eventuale cambio. L’operatore seleziona “ Cambia AA ” dal menù. Il sistema mostra la lista delle Attribute Authority associate all’operatore ( Figura 3.2 ).

Figura 3.2 - Pannello di scelta della AA corrente

L’operatore seleziona la Attribute Authority desiderata e clicca sul link “ Scegli ” (in rosso) Il sistema presenterà la home page con il nome della nuova AA scelta e l’informazione riportata nel campo “ AA selezionata ” del box arancio relative alla AA scelta ( Figura 3.3 ).


45 /68


Figura 3.3 - Home Page nuova AA selezionata

3.2.2 Creazione utente certificato

La funzionalità “ Nuovo utente certificato ” permette all'operatore AA, presso la Attribute Authority correntemente selezionata, di associare ad un utente della federazione un insieme di attributi e relativi valori. L’operatore seleziona “ Nuovo utente certificato ” dal menù. Il sistema mostra la maschera per l'inserimento di un nuovo utente certificato ( Figura 3.4 ). L'operatore AA deve specificare il codice fiscale di un utente già presente nella federazione e solo in seguito può specificare uno o più attributi, ed il loro valore, per l'utente. Nota: Nel caso l'utente non venga trovato nella federazione, l'avanzamento della operazioni sarà bloccato. Il controllo viene effettuato in background una volta che si è finito di scrivere il C.F. Si consiglia di non usare il copia e incolla o quanto meno scrivere almeno un carattere del C.F da tastiera per facilitare l'automatismo di controllo. Si precisa che esistono due tipologie di valori degli attributi, quelli a valorizzazione libera e quelli con lista di valori prestabiliti .


46 /68


Figura 3.4 - Creazione nuovo utente certificato dalla AA

In Figura 3.5 si mostra a scopo di esempio, come si valorizza l'attributo “ statoNascita ”, il quale è stato precedentemente configurato dall'amministratore della federazione come attributo a valorizzazione limitata . L'operatore AA può quindi scegliere solo una tra le differenti opzioni mostrate. Una volta selezionato il valore, facendo click sul bottone " Aggiungi Attributo ", l'operatore AA conferma il valore dell'attributo e può quindi procedere con altre operazioni, quali ad esempio la certificazione di un altro attributo per l'utente.

Figura 3.5 - Certificazione attributo utente (a valorizzazione limitata)


47 /68


In Figura 3.6 , l'operatore AA sceglie di valorizzare l'attributo "telefono" che essendo a valorizzazione libera permette di inserire una informazione qualsiasi.

Figura 3.6 - Certificazione attributo utente ( a valorizzazione libera )

Facendo click sul bottone "Avanti" (in fondo alla pagina e sotto la lista degli attributi correnti) gli attributi certificati specificati precedentemente per l'utente vengono memorizzati e si visualizza la pagina di esito operazione in Figura 3.7 . Nota: La memorizzazione effettiva avviene solamente alla pressione del tasto " Avanti ", e quindi non ogni volta che si preme il tasto " Aggiungi Attributo ". Si noti che un attributo, una volta aggiunto, sparisce dalla tendina e non è più aggiungibile per lo stesso utente, a meno che l'attributo già inserito non venga eliminato dal profilo.


48 /68


Figura 3.7 - Schermata finale dopo il salvataggio attributi utente

Cliccando sul bottone " Esci ", si torna alla home page, o in alternativa si può cliccare su una qualsivoglia voce di menù desiderata.

3.3.3 Ricerca utente certificato

Dalla voce di menù " Ricerca utente certificato " si visualizza la pagina in Figura 3.8 .

Figura 3.8 - Ricerca utente certificato

Specificando il codice fiscale di un utente della federazione ( Figura 3.8 ) è possibile ottenere le informazioni riguardanti tale utente, premendo il tasto “ Cerca ”. Le informazioni utente (profilo) sono visualizzabili cliccando sul link in rosso nell'elenco di identificativi trovati.


49 /68


Figura 3.9 - Ricerca utente certificato presso la AA corrente

3.3.4 Dettagli utente certificato

In Figura 3.10 è possibile vedere la pagina di dettaglio di un utente certificato. Oltre al codice fiscale dell'utente della federazione, vengono mostrati i nomi degli attributi e i corrispondenti valori certificati dalla AA.


50 /68


Figura 3.10 - Dettaglio utente certificato presso la AA corrente

La pagina di dettaglio utente certificato può mostrare dei messaggi d'errore o avvertimento per l'operatore nei seguenti due casi:

• Sono presenti uno o più attributi certificati dell'utente che non sono più censiti tra gli attributi certificabili della federazione.

• Sono presenti uno o più attributi con valori non consentiti, cioè all'infuori della corrispondente lista di valori prestabiliti (in casi di attributi di tale specie)

In Figura 3.11 è mostrato un utente certificato con valori attributi che violano le due precedenti condizioni; l'attributo o gli attributi erronei sono evidenziati da un riquadro, dello stesso colore della scritta riportante il messaggio di errore rilevato.


51 /68


Figura 3.11 - Avvisi di inconsistenza degli attributi dell utente

3.3.5 Modifica utente certificato

Dalla pagina di dettaglio di un utente certificato, facendo click sul bottone " Modifica Utente " (in alto, sopra la dicitura “ identificativo utente ”), si visualizza la pagina in Figura 3.12 in cui è possibile:

• modificare il codice fiscale utente • aggiungere o rimuovere attributi utente.


52 /68


Figura 3.12 - Modifica attributi utente presso la AA corrente

Si noti che non è possibile modificare direttamente il valore di un attributo preesistente, ma è necessario eliminarlo e reinserirlo col nuovo valore. A modifiche effettuate, premere il tasto “ Avanti ” per vedere il riepilogo e salvare l'aggiornamento, oppure “ Indietro ” od “ Esci ” per non farlo.

3.3.6 Cancellazione attributi utente certificato

Dalla pagina "Utente Certificato" in Figura 3.10 è possibile cancellare tutti gli attributi di un utente facendo click sul bottone " Rimuovi utente " (in alto, sopra alla dicitura “ identificativo utente ”) e confermando. L' operazione elimina effettivamente l'utente certificato da quella AA.


53 /68


3.4 Attributi Certificabili

Dalla voce di menù " Attributi certificabili " si visualizza la pagina in Figura 3.13 , nella quale risultano gli attributi definiti all'interno della Federazione che quella specifica AA può valorizzare per i propri utenti. Nota: Si ricorda che le AA possono avere limitazioni rispetto all'elenco di attributi da esse certificabili. In questa pagina si visualizzano gli attributi di questa specifica AA. In tabella sono mostrati:

• il nome tecnico dell'attributo (Nome) • il suo nome esteso (Friendly Name) • la tipologia (valori liberi o prestabiliti).

Nel caso di attributo a valorizzazione limitata, viene elencata la gamma di valori possibili.

Figura 3.13 - Schermata degli attributi certificabili dalla AA corrente


54 /68


4 Operatore Service Provider FedERa

4.1 Introduzione

La presente sezione illustra e spiega le operazioni che l'operatore di Service Provider (SP) può eseguire. FedERa permette di filtrare l'accesso ad un servizio integrato tramite la gestione di una lista di attributi associati all'utente che perviene ai servizi, nonché tramite regole di accesso basate sugli stessi. E' disponibile una interfaccia per gli operatori SP, designati dagli Enti tramite richiesta agli amministratori FedEra, che permette di gestire appunto questa funzionalità. Link di accesso alla interfaccia SP: https://federa.lepida.it/idm/spop/home-op-sp.htm Fondamentalmente, gli operatori SP possono gestire e condizionare l'accesso ad un proprio servizio amministrato, sulla base delle informazioni trasmesse e sulla loro valorizzazione. Le informazioni a corredo dell'utente sono collezionate dai Gestori di Credenziali (IdP) e dalle Attribute Authority (AA) federate. Le Attribute Autority sono entità federate il cui unico scopo è fare da certificatori accreditati per attributi assegnati agli utenti. Le informazioni gestite sono dette attributi e sono associate alla richiesta di accesso al servizio ad opera del sistema FedERa per un determinato utente. Tali attributi possono pervenire,come già detto, sia da degli IdP che da delle AA; nel caso di attributi provenienti da qualche AA si parla di attributi detti certificati , poiché sono garantiti da terze parti (e quindi ad esempio non autocertificati dall'utente stesso). Nota : Tecnicamente, gli attributi pervenuti dalle AA sono “taggati” con un suffisso “_AAxxx” dove xxx è un numero progressivo che serve a discriminare la AA di provenienza all'interno dell'ambito dello specifico messaggio SAML di autenticazione. Questa differenziazione è visibile solo al servizio “consumatore” e non riguarda la interfaccia operatore. L' insieme di tutti gli attributi raccolti per l'accesso al servizio è detto Profilo Utente e su di esso si possono imporre condizioni sia di presenza di uno specifico attributo (es: “ data di nascita ”) sia di logica (es: “ maggiorenne alla data di accesso al servizio ” ). Per ogni servizio integrato è possibile definire un Profilo di Servizio , cioè un insieme di attributi che servono all'adeguato funzionamento del servizio. E' possibile definire gli attributi che sono considerati obbligatori ed opzionali per ottenere l'accesso. Quando un Profilo di Servizio è impostato ed abilitato, accadono le seguenti cose:

• Di tutti gli attributi raccolti a monte, solo quelli indicati vengono lasciati passare, se presenti. • Tra gli attributi impostati, quelli obbligatori, se non presenti, impediscono l'accesso.


55 /68

https://federa.lepida.it/idm/spop/home-op-sp.htm

https://federa.lepida.it/idm/spop/home-op-sp.htm


Per un servizio è inoltre possibile definire delle regole logiche per poter accedere, che sono basate sugli attributi (obbligatori). Le regole di accesso sono anche dette ACL ( Access Control List ) e permettono un certo numero di valutazioni sul valore dell'attributo (es: “ uguale a ”, “ non uguale a ”, “ inizia con ”,“ contiene ”, “ finisce con ”, etc ). Tali regole possono anche essere combinate in maniera multipla, con regole in “ AND ” e “ OR ” logico tra loro per ottenere Profili di Accesso al Servizio complessi. L' operatore SP determina e gestisce il Profilo di Accesso al Servizio dei servizi da esso gestiti (è possibile la gestione di servizi multipli per lo stesso operatore ) tramite le seguenti macro funzionalità:

• Selezione del Service Provider • Gestione del Profilo Utente • Gestione Access Control List

Nel seguito sono mostrate nel dettaglio queste operazioni.


56 /68


4.2 Il pannello operatore SP

Dopo aver eseguito l’autenticazione, l’operatore sarà diretto sulla pagina principale, o home page , dell’utente operatore SP. Tutte le pagine visualizzabili dall’operatore SP hanno una parte sinistra (formata da un box informazioni e il menù di navigazione) e una testata, entrambe non soggette a variazioni nel corso della navigazione. In Figura 4.1 è mostrata la home page.

Figura 4.1 - Pannello operatore - Home Page Nel box informazioni è sempre visualizzato Utente, UserId, Dominio e Service Provider correnti. Nota : Si presti attenzione alla voce “SP selezionato” sempre durante le operazioni e soprattutto al momento dell'accesso, in caso si sia operatori multiservizio, per evitare di operare su una risorsa sbagliata a causa della selezione di default. La voce “SP selezionato” indica l'identificativo del servizio (EntityID). Dalla home page, è possibile accedere alle funzioni di:

1. selezione del servizio corrente 2. gestione del profilo di servizio 3. gestione ACL del servizio

Segue una descrizione di queste funzionalità.


57 /68


4.2.1 Selezione del servizio corrente (voce menù “Cambia SP”)

La voce di menù “Cambia SP”, serve a selezionare il Service Provider (SP) correntemente in uso e sul quale si opererà nel resto della navigazione, fin quando non si decida di variarlo o finché non si esce. Nota: Nel caso l'operatore SP sia associato ad un unico servizio, non sarà necessario selezionarlo ogni volta, in quanto predefinito (default). Cliccando sulla voce di menù “Cambia SP” viene mostrata la seguente schermata tipo di selezione:

Figura 4.2 - Selezione Service Provider corrente - Cambia SP La tabella mostrata, riporta le colonne “Service ID”, “Descrizione” e “Seleziona” ( Figura 4.2 ) Le prime due servono ad identificare il servizio desiderato, mentre la terza contiene un link rosso con scritta “Scegli” che permette appunto la selezione dello SP corrente. A selezione effettuata, nel riquadro arancione posto sopra al menù, verrà indicata la scelta effettuata (tramite lo ID del servizio), con etichetta “ SP selezionato ”.


58 /68


4.2.2 Gestione del profilo di servizio per l'utente (voce menù “Gestione Profilo Utente”)

Cliccando, nel menù a sinistra, sulla voce “Gestione Profilo Utente”, viene visualizzata la profilazione necessaria attualmente per l'accesso al servizio. Per un servizio non configurato per utilizzare i profili di accesso, la schermata iniziale è quella di Figura 4.3 .

Figura 4.3: Profilazione disabilitata (Dettaglio area di lavoro)

Oltre ad una sezione testuale illustrativa, sono presenti due link/bottoni in alto (“ Salva ”, “ Annulla ”), un bottone “ Esci ” in fondo alla pagina ed una spunta (checkbox) associata alla dicitura “ Abilita il profilo utente ”. La spunta “ Abilita il profilo utente ”, se non marcata, fa sì che il servizio corrente non richieda, né filtri, particolari attributi per l'accesso e quindi, tutti i dati disponibili in Federazione associati al login dell'utente, vengono passati allo SP senza limitazioni di accesso ad opera del gateway Federa. Nota: Si precisa che le operazioni inerenti alla profilazione ed autorizzazione avvengono a livello di Gateway centralizzato FedERa (incluso il diniego di accesso) e non a livello dello specifico SP. A fronte di una corretta autenticazione ed, in seguito, alla aderenza alle regole di filtraggio ed accesso al servizio, il gateway passa il messaggio SAML con le informazioni al Service Provider per entrare nel servizio richiesto. Si noti anche che, a valle di questa operazione, nulla vieta allo SP di implementare proprie ed ulteriori logiche di controllo di accesso, sulla base dei dati trasmessi. Marcando la spunta “ Abilita il profilo utente ”, si attiva la funzionalità di profilazione servizio. Questa funzionalità si divide in due caratteristiche principali:

• Definizione del set di attributi richiesti dal servizio • Definizione degli attributi obbligatori ed opzionali


59 /68


La interfaccia iniziale ( Figura 4.4 ) per la gestione degli attributi del profilo è composta da due tendine (combobox), un pulsante per la aggiunta attributi e l'elenco degli attributi attivi attualmente per il servizio. Le tendina in alto (“ Nome attributo ”) serve per la selezione dell'attributo da aggiungere al profilo, quella seguente (“ Obbligatorio/opzionale ”) serve a definire la obbligatorietà o meno della presenza di quell'attributo per l'accesso al servizio. Nota: Si osservi che, di default, sono già presenti degli attributi in lista; tali attributi sono detti “attributi di sistema”,sono obbligatori e non sono gestibili dall'operatore.

Figura 4.4 - Abilitazione profilo - Interfaccia iniziale (Dettaglio area di lavoro)

4.2.2.1 Definizione del set di attributi richiesti dal servizio

Il set di attributi del servizio, ( Profilo di Servizio ) ha lo scopo di elencare, su scelta dell'operatore SP, i nomi degli attributi richiesti per accedere al servizio. Nota : I nomi visualizzati corrispondono al Name del protocollo SAML e non al friendlyName Per aggiungere un attributo al profilo del servizio, l'operatore deve:


60 /68


• selezionare un attributo certificabile della Federazione dalla tendina “ Nome Attributo ” ( Figura 4.5 ) • marcare tale attributo come obbligatorio o meno dalla tendina “ Obbligatorio/Opzionale ” ( Figura 4.6 ) • aggiungerlo alla lista ( tasto “ Aggiungi attributo ”)

Per aggiungere un nuovo attributo, si reitera l'operazione.

Figura 4.5 - Impostazione profilo di accesso - Scelta attributo certificabile

Figura 4.6 - Impostazione profilo di servizio - Definizione della obbligatorietà di un attributo Nota : Prestare attenzione, durante l'inserimento, al fatto che il valore di default per l'aggiunta di un attributo è “Opzionale” E' importante notare le seguenti caratteristiche, a profilazione attivata:

1. Gli attributi presenti in lista, sono i soli che possono essere trasmessi allo SP. 2. Gli attributi presenti in lista, marcati come opzionali , se mancanti per quello specifico utente, non

pregiudicano l'accesso al servizio. 3. Gli attributi presenti in lista, marcati come obbligatori , se mancanti, pregiudicano l'accesso al servizio,

impedendo l'accesso all'utente. Aggiunto un attributo in lista, al di sotto di esso compare un tasto “Elimina attributo” per rimuoverlo.


61 /68


Si noti che, una volta aggiunto un attributo in lista, esso scompare dalla tendina di selezione; nel caso di rimozione dalla lista, l'attributo torna ad essere selezionabile. Si veda un esempio di dettaglio di lista in Figura 4.7 . Una volta terminato l'inserimento degli attributi è necessario salvare la lista, cliccando il link/bottone “Salva” (vedi Figura 4.3 ) altrimenti la impostazione sarà persa ed il servizio non otterrà i dati secondo la nuova configurazione. Se non si desidera salvare, si può premere “Annulla” in alto oppure “Esci” in basso oppure semplicemente navigare in un altra parte della pagina. Nota : Fare attenzione, soprattutto in caso di liste attributi lunghe, a non dimenticarsi della operazione di salvataggio a causa della uscita di vista del bottone “Salva” che si trova in alto alla pagina. In generale, per ogni modifica fatta alla lista che si vuole mantenere è necessario salvarla. Questo include anche la abilitazione/disabilitazione. Non è sufficiente togliere la spunta per disabilitare (e vice versa per abilitare). Un elemento utile in certi casi (es: test o situazioni temporanee) è il fatto che se si disabilita il profilo, la lista precedente scompare dalla vista ma rimane a disposizione al momento della riabilitazione del profilo per poter essere ripristinata così com'era. Per effettuare la modifica di una lista attributi si tenga presente che non si “cambia” un elemento già in lista ma lo si elimina e/o lo si aggiunge. Si presti attenzione a non confondere il tasto “Elimina attributo” (soprattutto in caso di liste lunghe); esso è sempre sotto all'attributo corrispondente e non sopra. Nota : Durante le operazioni di modifica da questa voce di menù non si sta intervenendo effettivamente sugli attributi passati al servizio finché non si effettua il salvataggio. E' quindi possibile prendersi il tempo necessario per comporla o ricomporla, ricordando poi al termine di salvarla per rendere effettive le modifiche attuate . Le modifiche effettuate al Profilo di Servizio al momento del salvataggio sono immediatamente efficaci sul servizio stesso.


62 /68


Figura 4.7 - Esempio lista attributi Profilo di Servizio (Dettaglio area di lavoro)


63 /68


4.2.3 Gestione ACL del servizio (voce menù “Gestione Access Control List”)

Le ACL definiscono regole logiche tramite cui permettere l'accesso al servizio selezionato. Condizioni necessarie per poterle impostare sono:

• Profilo di Servizio Abilitato • Almeno un attributo obbligatorio definito

Per essere sicuri di avere il dato da elaborare sempre a disposizione, le ACL operano solamente su attributi obbligatori. Nota : Le ACL entrano in azione a valle della validazione del profilo utente. La interfaccia iniziale di questa funzionalità disabilitata è quella in Figura 4.8 .

Figura 4.8 - Interfaccia iniziale ACL (Dettaglio area di lavoro) Marcando la spunta “ Abilita Access Control Lis t” si attiva la funzionalità ACL per il servizio. Ovviamente se nessuna regola è ancora definita e salvata, la abilitazione ACL non ha nessun effetto pratico sul servizio ( Figura 4.9 )


64 /68


Figura 4.9 - Impostazione ACL - Nessuna regola definita Si noti che le regole che compongono una ACL possono essere tante e svariate: uno dei casi complessi viene qui mostrato come combinazione di regole semplici. Per poter impostare le regole di accesso premere il bottone “ Aggiungi Regola ”. La composizione delle ACL definisce una regola per volta: per poter selezionare una regola la si deve scegliere ogni volta dalla tendina mostratata in Figura 4.10 . Si noti che le prime due regole dall'alto in Figura 4.10 sono particolari: esse permettono la combinazione di regole semplici; sono dette regole composte o di combinazione.

Figura 4.10 - Definizione ACL - Selezione regola Le regole disponibili sono quelle visibili in Figura 4.10 . A scopo di esempio creiamo ed impostiamo questa ipotetica condizione di accesso al servizio: Manuale d’uso per Operatore FedERa versione 2.0.2 data 06/03/2017

65 /68


“L'utente in fase di accesso deve essere autenticato dal Comune di Topolinia ED essere maggiorenne al momento del login NONCHE' essere di genere femminile (contemporaneamente) OPPURE basta che possieda un indirizzo email appartenente al dominio paperopoli.com” La regola finale è quella in Figura 4.11 . Per comporla, bisogna prima pensare alla “regola padre”. In questo esempio vogliamo che ci siano 2 cose che permettono, indipendentemente l'una dall'altra, di entrare: le prime 3 condizioni elencate assieme , oppure l'ultima che vale come tutte e 3 le altre per quanto riguarda la autorizzazione al login. Si tenga presente che le regole “composte” (da altre regole) sono delimitate da parentesi rotonde aperte e chiuse, in visualizzazione. Step di composizione: a) A regole azzerate, scegliere di aggiungere la regola composta “ Deve essere verificata almeno una delle seguenti sotto-regole ”. Essendo una regola composta, permette di scegliere altre regole come elementi che la compongono. b) Aggiungere una sotto-regola (composta) “ Devono essere verificate tutte le seguenti sotto-regole ” a quella del punto a. (verrà completata nei punti successivi). Nota : Cliccare il pulsante “Aggiungi regola” esattamente sotto alla dicitura della regola più in alto (“almeno”) c) Aggiungere una sotto-regola (semplice) “ Il seguente attributo deve terminare con il seguente valore ” a quella del punto a. Nota : Cliccare il pulsante “Aggiungi regola” esattamente sotto alla dicitura della regola più in alto (“almeno”) Inserire la quarta condizione: emailAddress in nome Attributo e “paperopoli.com” in campo di testo libero Valore. d) i punti precedenti determinano lo scheletro della regola marcata col numero “1” in Figura 4.11 . Manca di compilare la sotto-regola composta che racchiude le prime 3 condizioni elencate. e) Ora si aggiungono le 3 condizioni della sotto-regola marcata con “2” in Figura 4.11 . Nota : Cliccare il pulsante “Aggiungi regola” esattamente sotto alla dicitura della regola dopo la prima parentesi rotonda (“tutte”) per ognuna delle tre condizioni. f) Aggiungere la prima delle 3 condizioni: scegliere la regola semplice “ Il seguente attributo deve essere uguale al seguente valore ” quindi selezionare “autenticatingAuthority” in nome Attributo e nel campo di testo libero, inserire “Comune di Topolinia” g) Aggiungere la seconda delle 3 condizioni: scegliere la regola semplice “La differenza tra la data di autenticazione e la data del seguente attributo deve essere maggiore di” quindi selezionare “dataNascita” in nome Attributo e nel campo di testo libero, inserire “18”. In caso di campi data è necessario selezionare anche la unità di misura del tempo. Selezionare “anni”.


66 /68


h) Aggiungere la terza delle 3 condizioni: scegliere la regola semplice “Il seguente attributo deve essere uguale al seguente valore” quindi selezionare “sesso” in nome Attributo e nel campo di testo libero, inserire il carattere “F” g) Salvare la regola cliccando il link/bottone in alto “Salva” A questo punto la ACL è impostata ed attiva per il servizio corrente.

Figura 4.11 - Definzione ACL - Regola complessa Per modificare una regola, ricordarsi che le regole non si “cambiano” ma si aggiungono e/o tolgono. Si noti che premendo il tasto “Elimina Regola ” su una regola semplice si elimina solo quella mentre se lo si fa su una regole composta, si eliminano tutte le regole in essa contenute. Nota : Durante le operazioni di modifica da questa voce di menù non si sta intervenendo effettivamente sulla ACL applicata al servizio finché non si effettua il salvataggio.


67 /68


E' quindi possibile prendersi il tempo necessario per comporla o ricomporla, ricordando poi al termine di salvarla per rendere effettive le modifiche attuate . Una volta salvata, la ACL è immediatamente efficace sul servizio


68 /68

Manuale d’uso – Operatore FedERa - lepida.it · Manuale d’uso per Operatore FedERa ... utenti...

Documents

Transcript of Manuale d’uso – Operatore FedERa - lepida.it · Manuale d’uso per Operatore FedERa ... utenti...