ID_AUTH_CHANNEL_02 - Direct Trust mutual Transport-Level Security

Questo pattern di sicurezza prevede l’utilizzo del canale HTTPS con autenticazione client, per le comunicazioni sul confine tra i due domini, con reciproca validazione dei certificati degli enti in gioco.

Descriviamo di seguito i passi di configurazione da effettuare:

  • La creazione della relativa API prevede che nella sezione «ModI», elemento «Sicurezza Canale», venga selezionato il pattern «ID_AUTH_CHANNEL_02» come indicato in Fig. 145.

    ../../../_images/modipa_api_canale2.png

    Fig. 145 Selezione del pattern «ID_AUTH_CHANNEL_02» per l’API

  • Nel caso si voglia configurare una fruizione, le maschere di configurazione terranno conto degli aspetti di sicurezza sul canale garantendo che l’endpoint specificato nel connettore di uscita sia di tipo HTTPS, indipendentemente dal pattern adottato nella API (TLS sempre obbligatorio). L’autenticazione HTTPS può essere gestita opzionalmente da GovWay o, in alternativa, delegata alla configurazione della JVM sull’application server. Per la gestione in GovWay sono disponibili i campi per la configurazione HTTPS, con l’obbligo di impostare l’autenticazione client (vedi sez. Autenticazione Https).

  • Nel caso si voglia configurare una erogazione, il pattern di sicurezza «ID_AUTH_CHANNEL_02» impatta sulla configurazione del Controllo Accessi, previsto nella configurazione specifica dell’erogazione:

    • La sezione «Autenticazione Canale» è impostata forzatamente a «HTTPS» (Fig. 146).

    ../../../_images/modipa_erogazione_authTrasporto.png

    Fig. 146 Autenticazione Canale HTTPS

    • Nella sezione «Autorizzazione Canale» è possibile attivare l’autorizzazione per richiedente inserendo gli identificativi dei soggetti autorizzati tra quelli identificati tramite il certificato SSL (Fig. 147). Abilitando tale sezione sarà possibile inserire i criteri di autorizzazione, come descritto nella sez. Autorizzazione, con la differenza che in questo caso le politiche saranno riferite esclusivamente ai soggetti censiti in configurazione (e non gli applicativi, per i quali si rimanda alla sez. Sicurezza Messaggio).

    ../../../_images/modipa_erogazione_authCanale.png

    Fig. 147 Autorizzazione Canale su soggetti