Rinnovamento della piattaforma di identificazione HIN: quali adeguamenti vi riguardano?
Nell’ambito del rinnovamento dell’infrastruttura di HIN e della collaborazione con ELCASecurity, verranno effettuati diversi adeguamenti tecnici e migrazioni.
Come comunicato nella newsletter di aprile e sul Blog di HIN, in futuro HIN utilizzerà la tecnologia di ELCA per i processi di identificazione e autenticazione nell’ambito dell’ identità HIN. Per garantire insieme un funzionamento senza interruzioni, abbiamo bisogno del vostro sostegno.
Se uno di questi argomenti è di vostro interesse, vi invitiamo ad attivarvi subito
1. HIN Access Gateway (AGW)
La nuova versione dell’HIN Access Gateway sarà implementata a partire dal 17 agosto 2026.
Cosa dovete fare in qualità di amministratori AGW?
1. Installazione
La nuova versione 4 verrà installata automaticamente sull’Access Gateway esistente.
Fanno eccezione le installazioni Cluster, che non verranno rilasciate automaticamente. Forniremo ulteriori informazioni in merito a tempo debito.
2. Adeguamento delle regole firewall entro e non oltre il 31 luglio 2026
- Un requisito fondamentale affinché l’installazione automatica funzioni è che l’AGW sia in grado di stabilire una connessione Internet con il seguente host: idp.id.hin.ch (http/ porta 443/tcp).
- È consigliabile verificare subito le regole firewall per assicurarsi che l’AGW possa stabilire questa connessione.
- Gli indirizzi IP dell’host sono: 185.154.38.46 und 193.168.215.45
- Poiché gli indirizzi IP possono variare, consigliamo di utilizzare il nome host idp.id.hin.ch nelle regole firewall.
È importante che effettuiate questa modifica sul firewall entro e non oltre il 31 luglio 2026.
3. Altri requisiti affinché la transizione avvenga senza intoppi
- Assicurarsi che l’AGW sia aggiornato alla versione 3.1.50 o successive e che Kerberos sia abilitato come metodo di autenticazione.
Dovreste aver già effettuato questo passaggio in collaborazione con il nostro servizio di assistenza tecnica. In caso contrario, vi invitiamo a rivolgervi al nostro servizio d’assistenza. Per ulteriori informazioni tecniche, consultare le pagine del nostro Servizio d’assistenza
I requisiti AGW per l’aggiornamento automatico in sintesi
| Tema | Requisito |
|---|---|
| Nome host | idp.id.hin.ch |
| Indirizzi IP dell’host | 185.154.38.46 e 193.168.215.45 |
| Versione AGW | 3.1.50 o successiva |
| Metodo di autenticazione | Kerberos |
2. Endpoint SAML
2.1 HIN Federation Service con collegamento SAML (senza CIP, con Post Binding)
Se si utilizza l’integrazione SAML per l’autenticazione con le identità HIN, è necessario utilizzare un nuovo endpoint:
Per configurare il sistema, utilizzare i metadati disponibili al seguente URL:
|
|---|
La transizione al nuovo endpoint potrà essere avviata non prima del 15 giugno 2026 e dovrà essere completata entro e non oltre il 14 settembre 2026.
Se desiderate effettuare una migrazione già nel mese di giugno, non esitate a contattarci tramite il servizio d’assistenza HIN.
Importante: dopo il 14 settembre 2026, i vecchi endpoint non potranno più essere utilizzati.
Informazioni importanti
L’indirizzo IP di broker.hin.ch è 185.98.123.154.
Se necessario, dovrete modificare le regole firewall.
- Ci occuperemo noi di importare i certificati validi del vostro fornitore di servizi.
- L’integrazione deve avvenire direttamente sul nuovo endpoint di produzione (broker.hin.ch).
- In futuro, le chiamate all’endpoint per la disconnessione con il parametro di richiesta ?logout non saranno più supportate.
- Per ogni emittente SAML è possibile registrare un solo certificato. Le modalità precise per il rinnovo dei certificati saranno descritte in questa sede a tempo debito.
- Finora era possibile specificare il livello di autenticazione richiesto tramite un parametro di query. Questa funzione non è più supportata.
Ora è necessario utilizzare il contesto di autenticazione. In questo contesto, il precedente parametro «authLevel=HIN» corrisponde ora al valore «http://hin.ch/profile/mfa» nell’AuthenticationContext della richiesta SAML:
|
<samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>http://hin.ch/profile/mfa</saml:AuthnContextClassRef> |
2.2 Accesso CIP tramite SAML (Artifact Binding)
Se utilizzate l’integrazione SAML per accedere ai sistemi CIP, dovrete ora utilizzare un altro endpoint. Gli endpoint attualmente disponibili su idp.fed.hin.ch e epr.fed.hin.ch saranno sostituiti.
Per configurare il proprio sistema, utilizzare i metadati pubblicati al seguente URL:
|
|---|
Il nuovo endpoint SAML è IDP.id.HIN.ch.
La transizione al nuovo endpoint potrà essere avviata a partire dal 15 giugno 2026 e dovrà essere completata entro e non oltre il 14 settembre 2026.
Importante: dopo il 14 settembre 2026, i vecchi endpoint non potranno più essere utilizzati. Se non è stato impostato un nuovo endpoint, non è possibile effettuare l’autenticazione.
Informazioni importanti
- La firma della risposta SAML da parte dell’IDP HIN rimane invariata.
- Ci occuperemo noi di importare i certificati validi del vostro fornitore di servizi.
- Gli attributi forniti vengono ridotti a quelli definiti nell’Allegato 8 della CIP: GLN, Surname, Lastname, Date of Birth, Gender.
Se sono necessari ulteriori attributi, questi devono essere richiesti tramite il Servizio dati base HIN (SDS). Per ulteriori informazioni, contattate il nostro servizio d’assistenza. - È necessario modificare gli indirizzi IP dell’IDP e adeguare le regole firewall (se presenti):
- Deve essere possibile effettuare richieste all’IDP tramite questi indirizzi IP: 185.154.38.46, 193.168.215.45
- L’IDP contatterà i fornitori di servizi SAML utilizzando questi indirizzi di origine: 193.168.215.13, 193.168.215.12
- Per ogni emittente SAML è possibile registrare un solo certificato. Le modalità precise per il rinnovo dei certificati saranno descritte in questa sede a tempo debito.
- Richieste all’Artifact Resolution Endpoint: l’autenticazione tramite mTLS viene ignorata.
- Per il momento, l’integrazione deve avvenire direttamente sul nuovo endpoint di produzione (idp.id.hin.ch). Non appena sarà disponibile un ambiente di prova, vi informeremo in questa sede.
- Per l’integrazione è necessario utilizzare identità HIN verificate tramite identificazione video. Non è possibile utilizzare identità di prova.
Il Binding nella richiesta di autenticazione (authnRequest) non è più automaticamente il Redirect Binding e deve ora essere specificato espressamente:
- Per il Post Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" - Per il Redirect Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Nell’Attribute Statement, il Name Format verrà modificato e includerà ora un «Friendly Name»:
- Formato odierno:
|
<saml2:Attribute Name="GLN" NameFormat="urn:oasis:names:tc:ebcore:partyid-type:DataUniversalNumberingSystem:0060"> <saml2:AttributeValue xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml2:AttributeValue> </saml2:Attribute> |
- Nuovo formato:
|
<saml:Attribute FriendlyName="Global Location Number" Name="GLN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml:AttributeValue> </saml:Attribute> |
3. È necessario richiedere nuove identità di test nel contesto CIP
Le identità di test nel contesto CIP perderanno la loro validità con la transizione prevista per il 14 settembre 2026 e dovranno essere richieste nuovamente.
Nelle prossime settimane HIN informerà i clienti interessati su come richiedere nuove identità di test per garantire un funzionamento senza interruzioni.
E per le altre identità di test?
Tutte le altre identità di test potranno continuare a essere utilizzate anche dopo la transizione alla nuova piattaforma, prevista per il 14 settembre 2026.
Informazioni sul nuovo client HIN
Grazie alla collaborazione con ELCASecurity, è disponibile un aggiornamento anche per il client HIN che riguarda tutti i membri. Il client HIN può ora essere utilizzato per gli accessi di massimo livello (per l’accesso CIP) senza che sia più necessario un cellulare per effettuare il login. Il livello di riservatezza è stato innalzato. In un post del Blog troverete informazioni sulle novità e sulle eventuali misure necessarie da parte degli utenti.
4. App HIN Authenticator
Anche l’app Authenticator verrà aggiornata, pertanto sarà necessario configurarla nuovamente come secondo fattore.
L’app Authenticator attuale potrà essere utilizzata fino al 14 settembre 2026.
In questo modo potrete continuare a utilizzare l’app HIN Authenticator come secondo fattore
Passo 1: configurazione della modalità di accesso alternativa tramite password e codice SMS
Per poter accedere al proprio login HIN in qualsiasi momento, è necessario configurare l’accesso tramite password e codice SMS per le emergenze. In futuro, in caso di smarrimento dei dati di accesso, vi invieremo tramite questo canale anche un codice per reimpostare il vostro account. Vi consigliamo di configurare fin da ora la modalità di accesso tramite password e codice SMS.
Passo 2: aggiornamento dell’app Authenticator:
Vi consigliamo di attivare l’aggiornamento automatico delle app sul vostro smartphone: in questo modo avrete la certezza che la nuova versione venga installata automaticamente sul vostro dispositivo. Naturalmente potete anche installare l’app manualmente; sarà disponibile per il download a partire dal 14 settembre.
Passo 3: configurazione della nuova app Authenticator HIN (possibile a partire dal 15 settembre 2026):
Accedete al portale Self Service e, alla voce di menu «Fattori», aggiungete l’app Authenticator come secondo fattore. Una volta completata questa operazione, l’app Authenticator verrà selezionata come secondo fattore preferito al successivo accesso.
Esistono alternative all’app HIN Authenticator?
In alternativa, sono disponibili altre due modalità di accesso
- Login con client HIN: in futuro sarà possibile utilizzare il client HIN per effettuare l’accesso senza bisogno di un cellulare. Alle istruzioni
- Accesso con codice SMS: riceverete sul cellulare un SMS contenente un codice monouso. Le seguenti istruzioni, a partire dal punto due, vi saranno d’aiuto: Alle istruzioni
5. Hardware Token
Non verranno emessi nuovi Hardware Token. Quelli utilizzati finora scadranno il 14 settembre 2026.
Pertanto, entro il 14 settembre 2026 dovrete configurare una modalità di accesso alternativa:
- Login con client HIN: il client HIN è il software per accedere alla piattaforma HIN in modo semplice e sicuro. Installare il client HIN
- Accesso con codice SMS: riceverete sul cellulare un SMS contenente un codice monouso. Le seguenti istruzioni, a partire dal punto due, vi saranno d’aiuto: Alle istruzioni
- App HIN Authenticator: un’altra possibilità è utilizzare l’app HIN Authenticator. Vi preghiamo di seguire le istruzioni riportate al punto 4.