Differenze tra le versioni di "MetadataLegacy2024"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
Riga 1: Riga 1:
Se usate MDX non leggete
+
{{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}}
 
 
SSP:
 
 
 
*se mdq: nessun cambiamento
 
*se aggregato:
 
**soluzione migliore: usare certificato, lo possono usare fin da subito, VA COMUNICATO IL NUOVO CERTIFICATO
 
**soluzione peggiore: modificare fingerprint il 18/11, VA COMUNICATA LA NUOVA FINGERPRINT
 
 
 
Shibboleth:
 
 
 
*nessun cambiamento necessario
 
 
 
 
 
Tutti gli altri: ADFS Toolkit, SaToSa, ecc.<br />
 
 
 
*consigliamo di utilizzare il nuovo certificato fin da subito
 
**<nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki><br />
 
  
 
===Shibboleth===
 
===Shibboleth===
Riga 81: Riga 64:
 
</syntaxhighlight>
 
</syntaxhighlight>
 
#*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno  (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'')
 
#*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno  (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'')
 +
 +
=== Altri Framework - ADFS Toolkit, SaToSa, ecc. ===
 +
 +
Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
 +
 +
* https://md.idem.garr.it/certs/idem-signer-legacy.pem

Versione delle 11:51, 29 ott 2024

Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.

Shibboleth

  1. Recupera il certificato della Federazione:
    • wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
  2. Controllare la validità del certificato:
    • SHA1:
      eseguire il comando: openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout
      deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
    • MD5:
      eseguire il comando: openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout
      deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
  3. Modifica la configurazione:
    • configurare certificato e flusso di metadata desiderato in /opt/shibboleth-idp/conf/metadata-providers.xml, ad es. per il flusso IDEM Test:
      <MetadataProvider id="URLMD-IDEM-Federation" 
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" 
                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
                   certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
   <MetadataFilter xsi:type="EntityRole"> 
      <RetainedRole>md:SPSSODescriptor</RetainedRole>
   </MetadataFilter>
</MetadataProvider>
    • Verificare il funzionamento con: bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService

SimpleSAMLphp

  1. Recupera il certificato della Federazione:
    • wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
  2. Controllare la validità del certificato:
    • SHA1:
      eseguire il comando: openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
      deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
    • MD5:
      eseguire il comando: openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout
      deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
  3. Modifica la configurazione:
    • configurare certificato e flusso di metadata desiderato in /var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:
      <?php

$config = [
   'sets' => [
      'idem' => [
         'cron'    => ['hourly'],
         'sources' => [
                       [
                        'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
                        'certificates' => [
                           '/var/simplesamlphp/cert/idem-signer-legacy.pem',
                        ],
                        'template' => [
                           'tags'  => ['idem'],
                           'authproc' => [
                              51 => ['class' => 'core:AttributeMap', 'oid2name'],
                           ],
                        ],

                        'types' => ['saml20-sp-remote'],   // Load only SAML v2.0 SP from metadata
                       ],
                      ],
         'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
         'outputDir'   => 'metadata/',

         'outputFormat' => 'flatfile',
      ],
   ],
];
    • Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su Metarefresh: fetch metadata o aspettare 1 giorno (Sostituire ssp-idp.example.org il proprio IdP Full Qualified Domain Name)

Altri Framework - ADFS Toolkit, SaToSa, ecc.

Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):

Estratto da "https://wiki.idem.garr.it/w/index.php?title=MetadataLegacy2024&oldid=13435"