7.1.1. Flussi ad Alto Livello per l'Emissione di Attestati Elettronici

7.1.1.1. Flusso ad Alto Livello per PID

La Fig. 7.1 mostra un'architettura generale ed evidenzia le principali operazioni coinvolte nell'emissione del PID.

Fig. 7.1 Emissione del PID - Architettura generale e flusso ad alto livello.

Il flusso ad alto livello inizia con l'Utente che desidera ottenere un PID e avvia la propria Istanza del Wallet (Passo 0). Di seguito la descrizione dei passaggi rappresentati nell'immagine precedente:

1. Individuazione e Trust del PID Provider: l'Istanza del Wallet individua il PID Provider fidato utilizzando il Catalogo degli Attestati Elettronici e i Servizi di Federazione, stabilendo la trust verso il PID Provider secondo il Trust Model e ottenendo i suoi Metadata, che indicano i formati del PID, gli algoritmi supportati e qualsiasi altro parametro necessario per esigenze di interoperabilità.

2. Richiesta del PID: utilizzando l'Authorization Code Flow definito in [OpenID4VCI], l'Istanza del Wallet richiede il PID al PID Provider.

3. Individuazione e Trust del Fornitore di Wallet: il PID Provider verifica l'autenticità e la validità dell'Istanza del Wallet, stabilendo la trust verso il Fornitore di Wallet e ottenendo i Metadata del Wallet con i parametri necessari per le esigenze di interoperabilità, secondo il Trust Model.

4. Autenticazione dell'Utente: il PID Provider autentica l'Utente con CieID Livello di Garanzia Alto (L3), agendo come un Identity and Access Management Proxy verso il sistema nazionale di eID.

5. Recupero dei dati PID dal Registro Pubblico Nazionale: il PID Provider ottiene i dati PID richiesti dal Registro Pubblico Nazionale (ANPR), che agisce come Fonte Autentica.

6. Emissione del PID: il PID Provider rilascia un PID vincolato al materiale crittografico posseduto dall'Istanza del Wallet richiedente.

7.1.1.2. Flusso ad Alto Livello per (Q)EAA

La Fig. 7.2 mostra un'architettura generale ed evidenzia le principali operazioni coinvolte nell'emissione di un (Q)EAA, seguendo le ipotesi elencate di seguito:

• l'Utente ha un PID valido memorizzato nella propria Istanza del Wallet;

• il (Q)EAA richiede un profilo di implementazione ad alta sicurezza.

Fig. 7.2 Emissione di (Q)EAA - Architettura generale e flusso di alto livello.

Analogamente al flusso ad alto livello del PID, il diagramma sopra illustra un flusso ad alto livello per (Q)EAA che inizia dall'Utente che desidera ottenere un (Q)EAA (passo 0). Di seguito la descrizione delle operazioni più rilevanti coinvolte nell'emissione del (Q)EAA:

1. Individuazione e Trust del (Q)EAA Provider: l'Istanza del Wallet ottiene l'elenco dei (Q)EAA Provider fidati utilizzando il Catalogo degli Attestati Elettronici e le API di Federazione (ad esempio, utilizzando l'endpoint Subordinate Listing del Trust Anchor e dei suoi Intermediari), quindi ispeziona i Metadata alla ricerca della disponibilità di Attestati Elettronici di ciascun (Q)EAA Provider.

2. Richiesta del (Q)EAA: utilizzando l'Authorization Code Flow, definito in [OpenID4VCI], l'Istanza del Wallet richiede un (Q)EAA al (Q)EAA Provider.

3. Individuazione e Trust del Fornitore di Wallet: il (Q)EAA Provider verifica l'autenticità e la validità dell'Istanza del Wallet. Durante questo passaggio, il (Q)EAA Provider stabilisce la trust con il Fornitore di Wallet e recupera i Metadata del Wallet contenenti i parametri necessari per l'interoperabilità, come definito dal Trust Model.

4. Autenticazione dell'Utente: il (Q)EAA Provider, agendo come App di Verifica, autentica l'Utente verificando la presentazione del PID.

5. Ottenimento degli Attributi: il (Q)EAA Provider recupera gli Attributi dell'Utente dalla relativa Fonte Autentica.

6. Emissione del (Q)EAA: il (Q)EAA Provider rilascia un (Q)EAA vincolato al materiale crittografico posseduto dall'Istanza del Wallet richiedente.