Differenze tra le versioni di "Metadata"
(25 versioni intermedie di 3 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
− | = | + | {{deprecated|1=Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.}} |
+ | ===Aggregati di metadata=== | ||
+ | {{Deprecated-small|NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).}} | ||
'''IDEM Produzione''': | '''IDEM Produzione''': | ||
http://md.idem.garr.it/metadata/idem-metadata-sha256.xml | http://md.idem.garr.it/metadata/idem-metadata-sha256.xml | ||
Riga 12: | Riga 14: | ||
===Certificato=== | ===Certificato=== | ||
Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato. | Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato. | ||
− | https://md.idem.garr.it/certs/idem-signer- | + | https://md.idem.garr.it/certs/idem-signer-20241118.pem |
Fingerprint sha1 del certificato: | Fingerprint sha1 del certificato: | ||
− | + | 0E:21:81:8E:06:02:D1:D9:D1:CF:3D:4C:41:ED:5F:F3:43:70:16:79 | |
===Istruzioni di configurazione=== | ===Istruzioni di configurazione=== | ||
+ | {{Deprecated-small|NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).}} | ||
Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione [[Guide]]. | Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione [[Guide]]. | ||
− | ====Shibboleth Identity Provider 3.x+==== | + | ====Shibboleth Identity Provider 3.x+ & 4.0:==== |
− | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem |
*salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | *salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | ||
− | *configurare certificato e flusso di metadata desiderato in <code>/ | + | *configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': |
+ | <syntaxhighlight lang="xml"> | ||
+ | <MetadataProvider id="URLMD-IDEM-Federation" | ||
+ | xsi:type="FileBackedHTTPMetadataProvider" | ||
+ | backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | ||
+ | metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> | ||
+ | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | ||
+ | certificateFile="%{idp.home}/credentials/idem-signer-20241118.pem"/> | ||
+ | <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | ||
+ | <MetadataFilter xsi:type="EntityRoleWhiteList"> | ||
+ | <RetainedRole>md:SPSSODescriptor</RetainedRole> | ||
+ | </MetadataFilter> | ||
+ | </MetadataProvider> | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | ====Shibboleth Identity Provider 4.1+:==== | ||
+ | |||
+ | *scaricare il certificato da <nowiki>https://md.idem.garr.it/certs/idem-signer-20241118.pem</nowiki> | ||
+ | *salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | ||
+ | *configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | ||
+ | <syntaxhighlight lang="xml"> | ||
+ | <MetadataProvider id="URLMD-IDEM-Federation" | ||
+ | xsi:type="FileBackedHTTPMetadataProvider" | ||
+ | backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | ||
+ | metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> | ||
+ | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | ||
+ | certificateFile="%{idp.home}/credentials/idem-signer-20241118.pem"/> | ||
+ | <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | ||
+ | <MetadataFilter xsi:type="EntityRole"> | ||
+ | <RetainedRole>md:SPSSODescriptor</RetainedRole> | ||
+ | </MetadataFilter> | ||
+ | </MetadataProvider> | ||
+ | </syntaxhighlight> | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
====Shibboleth Service Provider 2.5+==== | ====Shibboleth Service Provider 2.5+==== | ||
− | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem |
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | *salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | ||
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''': | *configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''': | ||
+ | <syntaxhighlight lang="xml"> | ||
+ | <MetadataProvider type="XML" | ||
+ | uri="http://md.idem.garr.it/metadata/idem-metadata-sha256.xml" | ||
+ | backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200"> | ||
+ | <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | ||
+ | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/> | ||
+ | </MetadataProvider> | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | ====Shibboleth Service Provider 3.x+==== | ||
+ | |||
+ | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem | ||
+ | *salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | ||
+ | *configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''eduGAIN e IDEM Produzione''': | ||
+ | <syntaxhighlight lang="xml"> | ||
+ | <MetadataProvider type="XML" | ||
+ | url="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml" | ||
+ | backingFilePath="edugain2idem-metadata-sha256.xml" | ||
+ | maxRefreshDelay="7200"> | ||
+ | <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | ||
+ | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/> | ||
+ | </MetadataProvider> | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | ====simpleSAMLphp Identity Provider 1.4+==== | ||
+ | |||
+ | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem | ||
+ | *salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code> | ||
+ | *configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''': | ||
+ | <syntaxhighlight lang="php"> | ||
+ | <?php | ||
+ | |||
+ | $config = [ | ||
+ | 'sets' => [ | ||
+ | 'idem' => [ | ||
+ | 'cron' => ['hourly'], | ||
+ | 'sources' => [ | ||
+ | [ | ||
+ | 'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml', | ||
+ | 'certificates' => [ | ||
+ | '/var/simplesamlphp/cert/federation-cert.pem', | ||
+ | ], | ||
+ | 'template' => [ | ||
+ | 'tags' => ['idem'], | ||
+ | 'authproc' => [ | ||
+ | 51 => ['class' => 'core:AttributeMap', 'oid2name'], | ||
+ | ], | ||
+ | ], | ||
+ | |||
+ | 'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata | ||
+ | ], | ||
+ | ], | ||
+ | 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10) | ||
+ | 'outputDir' => 'metadata/', | ||
+ | |||
+ | 'outputFormat' => 'flatfile', | ||
+ | ], | ||
+ | ], | ||
+ | ]; | ||
+ | </syntaxhighlight> | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
====simpleSAMLphp Service Provider 1.4+==== | ====simpleSAMLphp Service Provider 1.4+==== | ||
+ | |||
+ | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem | ||
+ | *salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code> | ||
+ | *configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Produzione''': | ||
+ | <syntaxhighlight lang="php"> | ||
+ | <?php | ||
+ | |||
+ | $config = [ | ||
+ | 'sets' => [ | ||
+ | 'idem' => [ | ||
+ | 'cron' => ['hourly'], | ||
+ | 'sources' => [ | ||
+ | [ | ||
+ | 'src' => 'http://md.idem.garr.it/metadata/idem-metadata-sha256.xml', | ||
+ | 'certificates' => [ | ||
+ | '/var/simplesamlphp/cert/federation-cert.pem', | ||
+ | ], | ||
+ | 'template' => [ | ||
+ | 'tags' => ['idem'], | ||
+ | 'authproc' => [ | ||
+ | 51 => ['class' => 'core:AttributeMap', 'oid2name'], | ||
+ | ], | ||
+ | ], | ||
+ | |||
+ | 'types' => ['saml20-idp-remote'], // Load only SAML v2.0 IDP from metadata | ||
+ | ], | ||
+ | ], | ||
+ | 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10) | ||
+ | 'outputDir' => 'metadata/', | ||
+ | |||
+ | 'outputFormat' => 'flatfile', | ||
+ | ], | ||
+ | ], | ||
+ | ]; | ||
+ | </syntaxhighlight> |
Versione attuale delle 15:24, 11 ott 2024
Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.
Aggregati di metadata
NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).
IDEM Produzione:
http://md.idem.garr.it/metadata/idem-metadata-sha256.xml
eduGAIN e IDEM Produzione:
http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml
IDEM Test:
http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
Certificato
Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato.
https://md.idem.garr.it/certs/idem-signer-20241118.pem
Fingerprint sha1 del certificato:
0E:21:81:8E:06:02:D1:D9:D1:CF:3D:4C:41:ED:5F:F3:43:70:16:79
Istruzioni di configurazione
NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).
Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione Guide.
Shibboleth Identity Provider 3.x+ & 4.0:
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in una directory accessibile a Shibboleth, ad es.
/opt/shibboleth-idp/credentials
. - configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,
ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/idem-signer-20241118.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
Shibboleth Identity Provider 4.1+:
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in una directory accessibile a Shibboleth, ad es.
/opt/shibboleth-idp/credentials
. - configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,
ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/idem-signer-20241118.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRole">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
Shibboleth Service Provider 2.5+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in una directory accessibile a
shibd
, ad es./etc/shibboleth
. - configurare certificato e flusso di metadata desiderato in
shibboleth2.xml
, ad es. per il flusso IDEM Produzione:
<MetadataProvider type="XML"
uri="http://md.idem.garr.it/metadata/idem-metadata-sha256.xml"
backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
<MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
</MetadataProvider>
Shibboleth Service Provider 3.x+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in una directory accessibile a
shibd
, ad es./etc/shibboleth
. - configurare certificato e flusso di metadata desiderato in
shibboleth2.xml
, ad es. per il flusso eduGAIN e IDEM Produzione:
<MetadataProvider type="XML"
url="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml"
backingFilePath="edugain2idem-metadata-sha256.xml"
maxRefreshDelay="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
<MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
</MetadataProvider>
simpleSAMLphp Identity Provider 1.4+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in
/var/simplesamlphp/cert/federation-cert.pem
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php
, ad es. per il flusso IDEM Test:
<?php
$config = [
'sets' => [
'idem' => [
'cron' => ['hourly'],
'sources' => [
[
'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
'certificates' => [
'/var/simplesamlphp/cert/federation-cert.pem',
],
'template' => [
'tags' => ['idem'],
'authproc' => [
51 => ['class' => 'core:AttributeMap', 'oid2name'],
],
],
'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata
],
],
'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
'outputDir' => 'metadata/',
'outputFormat' => 'flatfile',
],
],
];
simpleSAMLphp Service Provider 1.4+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
- salvarlo in
/var/simplesamlphp/cert/federation-cert.pem
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php
, ad es. per il flusso IDEM Produzione:
<?php
$config = [
'sets' => [
'idem' => [
'cron' => ['hourly'],
'sources' => [
[
'src' => 'http://md.idem.garr.it/metadata/idem-metadata-sha256.xml',
'certificates' => [
'/var/simplesamlphp/cert/federation-cert.pem',
],
'template' => [
'tags' => ['idem'],
'authproc' => [
51 => ['class' => 'core:AttributeMap', 'oid2name'],
],
],
'types' => ['saml20-idp-remote'], // Load only SAML v2.0 IDP from metadata
],
],
'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
'outputDir' => 'metadata/',
'outputFormat' => 'flatfile',
],
],
];