ma che sappia io non è possibile avere un single sign on su sistemi eterogenei
la normativa in questi casi obbliga a rifare l'autenticazione.
Single sign on = stesse credenziali per sistemi diversi. SPID e CIE sono, per definizione,
dei single sign on.
Poi sì, strettamente il single sign on prevederebbe di fare login una singola volta, ma questo
non è vero per quasi nessun sistema di single sign on, al di fuori del recinto dell'issuer
(ad esempio: il SSO di Google ti fa fare login una volta sola sui sistemi Google, ma non su
quelli "login with Google", per fortuna). La definizione stretta mi sembra sempre meno usata,
e intendevo in senso più lato.
> renderebbe impossibile una facile revoca degli account, che è
> invece fondamentale (metti che ti rubano la CIE, nel caso specifico).
è sufficiente validare la catena di certificati e verificare se ce n'è
uno revocato
Questo prevede un server centralizzato, a meno di non aspettare del tempo
per la propagazione delle revoche, che non è sempre accettabile e difficilmente
lo è in un sistema per la verifica dell'identità di una persona su sistemi della PA.
--
Lorenzo Breda