govway icon indicating copy to clipboard operation
govway copied to clipboard
verified publisher icon link-it

chiarimenti su configurazione fruizione ModI MPLS NCN-CO

Open ilkosta opened this issue 3 years ago • 1 comments

scenario da realizzare:

Vorremmo utilizzare Govway per l'implementazione di una fruizione per MLPS secondo il profilo ModI ed i pattern ID_AUTH_CHANNEL_01 e ID_AUTH_REST_01, dove il token per l'accesso alle API viene rilasciato da un authorization server IDCS di MLPS.

Il flusso della fruizione puo' essere riassunto con:

  1. chiamata all'IDCS di MLPS passando (nel body della POST) un JWT autogenerato contenente i riferimenti al sigillo condiviso e firmato con questo
  2. L'IDCS risponde con un JWT da usare per le invocazioni dell'API ( a scadenza dello stesso occorre ricominciare da 1)
  3. invocazione dell'API passando il JWT ottenuto dall'IDCS (punto 2) nell'header Authoriztion
  4. si riceve la risposta dalle API

dubbi

Leggendo velocemente la documentazione relativa al profilo ModI per quanto riguardo la sicurezza del messaggio ID_AUTH_REST_01 non sono riuscito a vedere come poter inserire i punti 1 e 2 del flusso qui sopra.

Qualche indicazione su come poter procedere con GovWay per implementare questo tipo di fruizione?

grazie per qualsiasi suggerimento o contributo

ilkosta avatar May 26 '22 07:05 ilkosta

Ciao Costantino, la documentazione relativa al profilo ModI ID_AUTH_REST_01 si riferisce alla modalità in cui il token viene prodotto direttamente dal fruitore. Nello scenario con MLPS invece il token viene prodotto dal Ministero e GovWay deve essere configurato per ottenerlo tramite una negoziazione che prevede lo scambio di un ulteriore JWT firmato.

La configurazione di GovWay prevede quindi:

Nella configurazione della token policy dovrai impostare i vari parametri che hai ottenuto da MLPS:

  • kid personalizzato nella sezione 'JWT Header'
  • clientId indicato in tutti e tre i campi 'Client ID', 'Subject' e 'Issuer' nella sezione 'JWT Header'
  • audience
  • scope

NOTA: per poter personalizzare i parametri sopra indicati devi avere l'ultima versione di GovWay (3.3.6.p1) dove è stata introdotta la possibilità di personalizzare i parametri della Signed JWT.

andreapoli avatar May 26 '22 09:05 andreapoli