Rinnovamento della piattaforma di identificazione HIN

Rinnovamento della piattaforma di identificazione HIN: quali adeguamenti vi riguardano?

Alessandro Vitale
Alessandro Vitale

Nell’ambito del rinnovamento dell’infrastruttura di HIN e della collaborazione con ELCASecurity, verranno effettuati diversi adeguamenti tecnici e migrazioni.

1. HIN Access Gateway (AGW)

 

La nuova versione dell’HIN Access Gateway sarà implementata a partire dal 17 agosto 2026.

 

Cosa dovete fare in qualità di amministratori AGW?

 

1. Installazione

La nuova versione 4 verrà installata automaticamente sull’Access Gateway esistente.

Fanno eccezione le installazioni Cluster, che non verranno rilasciate automaticamente. Forniremo ulteriori informazioni in merito a tempo debito.

 

2. Adeguamento delle regole firewall entro e non oltre il 31 luglio 2026

  • Un requisito fondamentale affinché l’installazione automatica funzioni è che l’AGW sia in grado di stabilire una connessione Internet con il seguente host: idp.id.hin.ch (http/ porta 443/tcp).
  • È consigliabile verificare subito le regole firewall per assicurarsi che l’AGW possa stabilire questa connessione.
  • Gli indirizzi IP dell’host sono: 185.154.38.46 und 193.168.215.45
  • Poiché gli indirizzi IP possono variare, consigliamo di utilizzare il nome host idp.id.hin.ch nelle regole firewall.

È importante che effettuiate questa modifica sul firewall entro e non oltre il 31 luglio 2026.

3. Altri requisiti affinché la transizione avvenga senza intoppi

  • Assicurarsi che l’AGW sia aggiornato alla versione 3.1.50 o successive e che Kerberos sia abilitato come metodo di autenticazione.

Dovreste aver già effettuato questo passaggio in collaborazione con il nostro servizio di assistenza tecnica. In caso contrario, vi invitiamo a rivolgervi al nostro servizio d’assistenza. Per ulteriori informazioni tecniche, consultare le pagine del nostro Servizio d’assistenza

Ulteriori domande frequenti sul nuovo AGW

I requisiti AGW per l’aggiornamento automatico in sintesi

Tema Requisito
Nome host idp.id.hin.ch
Indirizzi IP dell’host 185.154.38.46 e 193.168.215.45
Versione AGW 3.1.50 o successiva
Metodo di autenticazione Kerberos

2. Endpoint SAML

 

2.1 HIN Federation Service con collegamento SAML (senza CIP, con Post Binding)

Se si utilizza l’integrazione SAML per l’autenticazione con le identità HIN, è necessario utilizzare un nuovo endpoint:

Per configurare il sistema, utilizzare i metadati disponibili al seguente URL:

  • https://broker.hin.ch/realms/HINBroker/protocol/saml/descriptor

 

La transizione al nuovo endpoint potrà essere avviata non prima del 15 giugno 2026 e dovrà essere completata entro e non oltre il 14 settembre 2026.

Se desiderate effettuare una migrazione già nel mese di giugno, non esitate a contattarci tramite il servizio d’assistenza HIN.

Importante: dopo il 14 settembre 2026, i vecchi endpoint non potranno più essere utilizzati.

Informazioni importanti

L’indirizzo IP di broker.hin.ch è 185.98.123.154.

Se necessario, dovrete modificare le regole firewall.

  • Ci occuperemo noi di importare i certificati validi del vostro fornitore di servizi.
  • L’integrazione deve avvenire direttamente sul nuovo endpoint di produzione (broker.hin.ch).
  • In futuro, le chiamate all’endpoint per la disconnessione con il parametro di richiesta ?logout non saranno più supportate.
  • Per ogni emittente SAML è possibile registrare un solo certificato. Le modalità precise per il rinnovo dei certificati saranno descritte in questa sede a tempo debito.
  • Finora era possibile specificare il livello di autenticazione richiesto tramite un parametro di query. Questa funzione non è più supportata.

Ora è necessario utilizzare il contesto di autenticazione. In questo contesto, il precedente parametro «authLevel=HIN» corrisponde ora al valore «http://hin.ch/profile/mfa» nell’AuthenticationContext della richiesta SAML:

 

<samlp:RequestedAuthnContext Comparison="exact">  <saml:AuthnContextClassRef>http://hin.ch/profile/mfa</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>

Ulteriori domande frequenti sul tema SAML

2.2 Accesso CIP tramite SAML (Artifact Binding)

Se utilizzate l’integrazione SAML per accedere ai sistemi CIP, dovrete ora utilizzare un altro endpoint. Gli endpoint attualmente disponibili su idp.fed.hin.ch e epr.fed.hin.ch saranno sostituiti.

Per configurare il proprio sistema, utilizzare i metadati pubblicati al seguente URL: 

  • https://idp.id.hin.ch/auth/realms/hinid/protocol/saml/descriptor

 

Il nuovo endpoint SAML è IDP.id.HIN.ch.

La transizione al nuovo endpoint potrà essere avviata a partire dal 15 giugno 2026 e dovrà essere completata entro e non oltre il 14 settembre 2026.

Importante: dopo il 14 settembre 2026, i vecchi endpoint non potranno più essere utilizzati. Se non è stato impostato un nuovo endpoint, non è possibile effettuare l’autenticazione.

Informazioni importanti

  • La firma della risposta SAML da parte dell’IDP HIN rimane invariata.
  • Ci occuperemo noi di importare i certificati validi del vostro fornitore di servizi.
  • Gli attributi forniti vengono ridotti a quelli definiti nell’Allegato 8 della CIP: GLN, Surname, Lastname, Date of Birth, Gender.
    Se sono necessari ulteriori attributi, questi devono essere richiesti tramite il Servizio dati base HIN (SDS). Per ulteriori informazioni, contattate il nostro servizio d’assistenza
  • È necessario modificare gli indirizzi IP dell’IDP e adeguare le regole firewall (se presenti):
    • Deve essere possibile effettuare richieste all’IDP tramite questi indirizzi IP: 185.154.38.46, 193.168.215.45
    • L’IDP contatterà i fornitori di servizi SAML utilizzando questi indirizzi di origine: 193.168.215.13, 193.168.215.12
  • Per ogni emittente SAML è possibile registrare un solo certificato. Le modalità precise per il rinnovo dei certificati saranno descritte in questa sede a tempo debito.
  • Richieste all’Artifact Resolution Endpoint: l’autenticazione tramite mTLS viene ignorata.
  • Per il momento, l’integrazione deve avvenire direttamente sul nuovo endpoint di produzione (idp.id.hin.ch). Non appena sarà disponibile un ambiente di prova, vi informeremo in questa sede.
  • Per l’integrazione è necessario utilizzare identità HIN verificate tramite identificazione video. Non è possibile utilizzare identità di prova.

Il Binding nella richiesta di autenticazione (authnRequest) non è più automaticamente il Redirect Binding e deve ora essere specificato espressamente:

  • Per il Post Binding:
    "ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
  • Per il Redirect Binding:
    "ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"

Nell’Attribute Statement, il Name Format verrà modificato e includerà ora un «Friendly Name»:

  • Formato odierno:
 

<saml2:Attribute Name="GLN" NameFormat="urn:oasis:names:tc:ebcore:partyid-type:DataUniversalNumberingSystem:0060"> <saml2:AttributeValue xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml2:AttributeValue> </saml2:Attribute>

 

  • Nuovo formato:
 

<saml:Attribute FriendlyName="Global Location Number" Name="GLN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml:AttributeValue> </saml:Attribute>

Ulteriori domande frequenti sul tema SAML

3. È necessario richiedere nuove identità di test nel contesto CIP

 

Le identità di test nel contesto CIP perderanno la loro validità con la transizione prevista per il 14 settembre 2026 e dovranno essere richieste nuovamente.

Nelle prossime settimane HIN informerà i clienti interessati su come richiedere nuove identità di test per garantire un funzionamento senza interruzioni.

E per le altre identità di test?

Tutte le altre identità di test potranno continuare a essere utilizzate anche dopo la transizione alla nuova piattaforma, prevista per il 14 settembre 2026.

Ulteriori domande frequenti sulle identità di test
client HIN

Informazioni sul nuovo client HIN

Grazie alla collaborazione con ELCASecurity, è disponibile un aggiornamento anche per il client HIN che riguarda tutti i membri. Il client HIN può ora essere utilizzato per gli accessi di massimo livello (per l’accesso CIP) senza che sia più necessario un cellulare per effettuare il login. Il livello di riservatezza è stato innalzato. In un post del Blog troverete informazioni sulle novità e sulle eventuali misure necessarie da parte degli utenti.

4. App HIN Authenticator

 

Anche l’app Authenticator verrà aggiornata, pertanto sarà necessario configurarla nuovamente come secondo fattore.

L’app Authenticator attuale potrà essere utilizzata fino al 14 settembre 2026.

In questo modo potrete continuare a utilizzare l’app HIN Authenticator come secondo fattore

 

Passo 1: configurazione della modalità di accesso alternativa tramite password e codice SMS

Per poter accedere al proprio login HIN in qualsiasi momento, è necessario configurare l’accesso tramite password e codice SMS per le emergenze. In futuro, in caso di smarrimento dei dati di accesso, vi invieremo tramite questo canale anche un codice per reimpostare il vostro account. Vi consigliamo di configurare fin da ora la modalità di accesso tramite password e codice SMS.

Alle istruzioni

Passo 2: aggiornamento dell’app Authenticator:

Vi consigliamo di attivare l’aggiornamento automatico delle app sul vostro smartphone: in questo modo avrete la certezza che la nuova versione venga installata automaticamente sul vostro dispositivo. Naturalmente potete anche installare l’app manualmente; sarà disponibile per il download a partire dal 14 settembre.

Passo 3: configurazione della nuova app Authenticator HIN (possibile a partire dal 15 settembre 2026):

Accedete al portale Self Service e, alla voce di menu «Fattori», aggiungete l’app Authenticator come secondo fattore. Una volta completata questa operazione, l’app Authenticator verrà selezionata come secondo fattore preferito al successivo accesso.

Esistono alternative all’app HIN Authenticator?

In alternativa, sono disponibili altre due modalità di accesso

  • Login con client HIN:  in futuro sarà possibile utilizzare il client HIN per effettuare l’accesso senza bisogno di un cellulare. Alle istruzioni&nbsp;
  • Accesso con codice SMS: riceverete sul cellulare un SMS contenente un codice monouso. Le seguenti istruzioni, a partire dal punto due, vi saranno d’aiuto:  Alle istruzioni
Ulteriori domande frequenti sull’app HIN Authenticator

5. Hardware Token

Non verranno emessi nuovi Hardware Token. Quelli utilizzati finora scadranno il 14 settembre 2026.

 

Pertanto, entro il 14 settembre 2026 dovrete configurare una modalità di accesso alternativa:

  • Login con client HIN: il client HIN è il software per accedere alla piattaforma HIN in modo semplice e sicuro. Installare il client HIN
  • Accesso con codice SMS: riceverete sul cellulare un SMS contenente un codice monouso. Le seguenti istruzioni, a partire dal punto due, vi saranno d’aiuto:  Alle istruzioni
  • App HIN Authenticator: un’altra possibilità è utilizzare l’app HIN Authenticator. Vi preghiamo di seguire le istruzioni riportate al punto 4.

Ulteriori informazioni

Intervista a Christophe Gerber, CEO di ELCASecurity
L’identità HIN in sintesi
L’HIN Access in sintesi
Contatto Servizio d’assistenza HIN
Alessandro Vitale
Autore: Alessandro Vitale - Responsabile assistenza

In qualità di esperto nel campo della tecnologia e dell’assistenza, condivido con voi suggerimenti e consigli relativi all’utilizzo dei nostri servizi, dei nostri prodotti e della rete in generale. Insieme a me scoprirete il lato semplice del mondo digitale e vi accorgerete di quanto possa essere divertente risolvere sfide e criticità.

Competenze
In veste di Responsabile dell’Assistenza HIN, i clienti si collocano al centro della mia quotidianità lavorativa. Amo il mio lavoro e non mi stanco mai di assisterli insieme al mio team in caso di domande o difficoltà tecniche. Ogni richiesta è per me specifica e unica così come lo è il cliente stesso – ed è proprio questo a rendere il mio compito così entusiasmante. Ho iniziato a lavorare nell’ingegneria dei sistemi e nel servizio di assistenza tecnica, ambiti in cui ho svolto anche la mia formazione come addetto all’informatica. Lavoro in HIN da oltre sei anni.

Contenuti redazionali
In qualità di esperto nel campo della tecnologia e dell’assistenza, condivido con voi suggerimenti e consigli relativi all’utilizzo dei nostri servizi, dei nostri prodotti e della rete in generale. Insieme a me scoprirete il lato semplice del mondo digitale e vi accorgerete di quanto possa essere divertente risolvere sfide e criticità.

Curiosità personali
Nella sfera privata, sono un vero e proprio appassionato della «dolce vita» italiana e i soggiorni sul Mar Adriatico sono per me semplicemente irrinunciabili. Quando non posso viaggiare, ricreo l’atmosfera italiana cucinando piatti a base di pasta nella mia cucina. Mi interesso inoltre di innovazioni tecniche e leggo molti blog specialistici.

Altri articoli da Alessandro Vitale