Creazione di un'identità

L'identità in Identity può nascere in tre modi:

• autoregistrazione
• inserimento da parte di segreterie
• applicativo

L'identità confluisce in GODiVA nel momento in cui diventa LoA2. Il Level of Assurance 2 può essere assegnato solo in presenza di determinati dettagli dell'anagrafica.

Autoregistrazione

L'utente stesso può richiesre la creazione di un identità all'interno dei nostri sistemi.

Dovrà inserire un set di dettagli minimo per procedere alla creazione. I dettagli sono:

• Nome
• Cognome
• Sesso
• Luogo di nascita
• Data di nascita
• nazionalità
• social number (codice fiscale per italiani)
• indirizzo email
• password

Il sistema controllerà l'univocità dei dati con le anagrafiche già presenti su Identity, mostrando eventualmente un alert all'utente in caso sia già presente.
Se l'identità già esiste, si procede con il recovery.

L'identità creata sarà LoA1 su e sarà presente solo su Identity Management (non finirà su GODiVA).

Recovery

Ci possono essere 3 situazioni che si verificano nella fase di recovery:

• non è presente nessun indirizzo email: recovery guidato.
• è presente un indirizzo email che l'utente riconosce (viene visualizzato all'utente in questo formato: fr****ni@infn.it)→ procedura reset password.
• è presente un indirizzo email, ma l'utente non lo riconosce, o non è più attivo: recovery guidato.

Recovery guidato

Nel caso di recovery guidato l'utente dovrà inserire il suo (nuovo) indirizzo email, scegliere la sede di riferiemento, e allegare un documento di riconoscimento che attesti la sua identità.
Il sistema invierà un email all'indirizzo dell'utente, che dovrà essere validato per procedere con la richiesta.
Alla validazione dell'email, il sistema inserirà una entry di richiesta su Identity management e invierà una notifica alla segreteria, in modo tale che possa gestire la pratica (associare la nuova email all'identità esistente).

In questo passaggio la procedura, visto che la segreteria visualizza il documento dell'utente, promuove l'identità a LoA2.

Inserimento da parte di segreterie

Le segreterie avranno la possibilità di registrare una nuova identità il cui utilizzo è finalizzato a procedure amministrative (es: presa di servizio dipendenti, nuova associazione ecc..).
L'identità creata sarà già LoA2.

I dettagli necessari per la creazione di una nuova identità sono:

• Nome
• Cognome
• Sesso
• Luogo di nascita
• Data di nascita
• nazionalità
• social number (codice fiscale per italiani)
• indirizzo email ( * )

( * ) se viene inserito l'indirizzo email, la procedura invierà un email all'utente, con le istruzioni per effettuare il recovery della password.

Inserimento da parte di un'applicazione

Le applicazioni potranno disporre di un modulo che crea un'identità per necessità del suo workflow.
L'identità creata sara LoA1 e i dati necessari alla creazione sono:

• Nome
• Cognome
• Sesso
• Luogo di nascita
• Data di nascita
• nazionalità
• social number (codice fiscale per italiani)
• indirizzo email

L'email sarà inviata all'utente da Identity Management e il testo sarà proposto dall'applicazione.

Arricchimento/modifica dei dettagli di un'identità

Ci sono tre possibilità di arricchimento dell'identità.

• Autocertificato: l'utente in autonomia può aggiungere i propri dettagli dall'interfaccia.
• Segreteria: la segreteria può modificare i dettagli degli utenti
• Applicativo: un'applicazione può richiedere all'identità l'inserimento di uno o più dettagli, che saranno utili per la pratica interna all'applicazione.
  L'utente, accedendo a userportal, è vincolato all'inserimento del dettaglio richiesto.

Operazioni sull'identità

Creazione account (per ora indirizzo email) per un'identità

Sarà possibile inserire un indirizzo email associato ad un'identità da parte di utenti autorizzati.
Contestualmente sarà inviata alla persona una notifica con le istruzioni per il recovery della password.

Verifica dell'identità (Level of assurance)

Comportamente simile a quanto avviene oggi su userportal, con i vari flussi di richiesta.

Fusione di due identità

Il sistema deve prevedere la fusione di due identità.

Occorre distinguere tra i dettagli univoci e quelli che possono essere sommati a quelli dell'identità risultante.

Ci sono 3 casi di fusione:

• LoA1 - LoA1: caso semplice, viene eseguita la fusione solo su Identity Management e sincronizzata con LDAP
• LoA1 - LoA2: i dati del LoA1 confluiscono sul LoA2, che viene sincronizzato su GODiVA. Infine il LoA1 viene eliminato.
• LoA2 - LoA2: la fusione sarà eseguita da GODiVA, e sarà recepita da userportal tramite kafka.

Utilizziamo kafka per comunicare la fusione di 2 identità, in modo che le app che hanno pratiche aperte con il vecchio uuid, possano sostituirlo con il nuovo.

Definizione del DTO di un'anagrafica/identità

AnagraficaSyncDTO {
    uuid	string
    cognome	string
    nome	string
    sesso	string
    codiceFiscale	string
    tipoAnagrafica	integer($int32)
    titolo	string
    dataDiNascita	string($date-time)
    luogoDiNascita {
            idLuogoDiNascita integer($int32)
            location	string
            locationParent string
            attribute string
    }
    nazionalita string
    toPurge	boolean

    dettagli {[
            idTipoDettaglio
            idDettaglio
            descrizione
            valore
            dal
            al
    ]}


    authz {[
            attributeName
            attributeValue
    ]}

}

Identity Management come staging delle richieste di modifica ai dati dell'identità.