SPID Quality Assessment about spid-idp-proxy-shibboleth HOT 8 CLOSED

Ciao, all'interno di questo Proxy puoi implementare la seguente configurazione di SP che sicuramente ti offrirà sollievo :)
https://github.com/italia/spid-sp-shibboleth/issues

considera di proporre mediante PR l'aggiornamento di questo repository così da usare il repository del SP aggiornato e riumuovere un po di codice legacy, usando questa semplice dipendenza

from spid-idp-proxy-shibboleth.

Ciao,
non ho trovato configurazioni per i punti da me indicati, potresti essere più preciso :)

grazie

from spid-idp-proxy-shibboleth.

Ops, ho fatto confusione pensando che fosse il repo di ansible shibboleth

@robertogallea ^

from spid-idp-proxy-shibboleth.

Ciao,
Come avrai visto, la configurazione dell'SP in questo repo rimanda a quella di italia/spid-sp-shibboleth. Hai usato quella? La configurazione in questione supera i test da te menzionati, quindi mi domando se magari non esegui spid-sp-test con qualche opzione non corretta.

from spid-idp-proxy-shibboleth.

Ciao Roberto, grazie per la risposta.
Si ho utilizzato la configurazione descritta in italia/spid-sp-shibboleth, rispetto a questa però ho dovuto modificare il SessionInitiator per utilizzare il DS (come configurato nelle istruzioni non funzionava):

        <SessionInitiator type="Chaining" id="Login" Location="/Login">

        <SessionInitiator type="SAML2"
                          id="Login"
                          Location="/Login"
                          outgoingBinding="urn:oasis:names:tc:SAML:profiles:SSO:request-init"
                          isPassive="false"
                          acsIndex="0"
                          acsByIndex="true"
                          signing="true">
            <samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                                xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
                                ID="id_2475824857420t590258902ccccc"
                                Version="2.0"
                                IssueInstant="2017-01-01T00:00:00Z"
                                AttributeConsumingServiceIndex="0"
                                ForceAuthn="true">
                <saml:Issuer NameQualifier="https://iam.inarcassa.it/shibboleth"
                             Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://iam.inarcassa.it/shibboleth</saml:Issuer>
                <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
            </samlp:AuthnRequest>
        </SessionInitiator>

        <SessionInitiator type="SAMLDS"
                          URL="https://iam.inarcassa.it/shibboleth-ds/index.html">
        </SessionInitiator>
        </SessionInitiator

Potrebbe essere questo che crea il problema nella verifica dei punti di cui sopra?
Per le verifiche ho utilizzo l'immagine Docker italia/spid-saml-check, non è altrettando valido?
Per completezza riporto di seguito le versioni dei software utilizzati:

• shibboleth-embedded-ds-1.2.2-3.1.noarch
• shibboleth-3.3.0-1.x86_64
• shibboleth-identity-provider-4.1.6

Sono in una fase di stallo, grazie per qualsiasi informazioni utile a risolvere il problema.

from spid-idp-proxy-shibboleth.

Nessuna idea?

Grazie

from spid-idp-proxy-shibboleth.

Ciao,
ho guardato meglio la tua problematica. Come indicato sulle issue del repository di shibboleth-sp, il soddisfacimento dei seguenti test non è ancora supportato:

#28
#43
#44
#45
#46
#47
#48
#49
#70
#71
#73
#74
#75
#76
#97
#98

Si tratta tuttavia di test sui quali AGID soprassiede.

Rispetto ai test che a te falliscono, solo i seguenti non fanno parte di quella lista:
79. Assertion - Attributo NotOnOrAfter di Condition non specificato | FAIL
80. Assertion - Attributo NotOnOrAfter di Condition mancante | FAIL
84. Assertion - Elemento AudienceRestriction di Condition mancante | FAIL

#79 e #80 dovrebbero essere correttamente soddisfatti.

Per L'#84 prova a vedere se è legato alle note presenti nel file https://github.com/italia/spid-sp-shibboleth/blob/master/shibboleth/security-policy.xml

from spid-idp-proxy-shibboleth.

Ciao, grazie Roberto.
Effettivamente alcuni controlli sono soprasseduti da AGID, siamo riusciti a completare la registrazione con successo.

Grazie mille

from spid-idp-proxy-shibboleth.