Differenze tra le versioni di "Metadata"
Jump to navigation
Jump to search
| Riga 4: | Riga 4: | ||
{{Deprecated-small|NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).}} | {{Deprecated-small|NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).}} | ||
'''IDEM Produzione''': | '''IDEM Produzione''': | ||
| − | + | https://md.idem.garr.it/metadata/idem-metadata-sha256.xml | |
'''eduGAIN e IDEM Produzione''': | '''eduGAIN e IDEM Produzione''': | ||
| − | + | https://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml | |
'''IDEM Test''': | '''IDEM Test''': | ||
| − | + | https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml | |
===Certificato=== | ===Certificato=== | ||
Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato. | Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato. | ||
| − | https://md.idem.garr.it/certs/idem-signer- | + | [https://md.idem.garr.it/certs/idem-signer-legacy.pem https://md.idem.garr.it/certs/idem-signer-legacy.pem] |
| − | + | ||
| − | + | 1. Recuperare il certificato della Federazione: | |
| + | |||
| + | * <code>wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /etc/shibboleth/idem-signer-legacy.pem</code> | ||
| + | |||
| + | 2. Controllare la validità del certificato: | ||
| + | |||
| + | * Eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br/>deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> | ||
===Istruzioni di configurazione=== | ===Istruzioni di configurazione=== | ||
| Riga 24: | Riga 30: | ||
====Shibboleth Identity Provider 3.x+ & 4.0:==== | ====Shibboleth Identity Provider 3.x+ & 4.0:==== | ||
| − | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem |
*salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | *salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | ||
*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | *configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | ||
| Riga 31: | Riga 37: | ||
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" | ||
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | ||
| − | metadataURL=" | + | metadataURL="https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | ||
| − | certificateFile="%{idp.home}/credentials/idem-signer- | + | certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> |
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | ||
<MetadataFilter xsi:type="EntityRoleWhiteList"> | <MetadataFilter xsi:type="EntityRoleWhiteList"> | ||
| Riga 43: | Riga 49: | ||
====Shibboleth Identity Provider 4.1+:==== | ====Shibboleth Identity Provider 4.1+:==== | ||
| − | *scaricare il certificato da <nowiki>https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> |
*salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | *salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>. | ||
*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | *configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | ||
| Riga 50: | Riga 56: | ||
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" | ||
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" | ||
| − | metadataURL=" | + | metadataURL="https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | ||
| − | certificateFile="%{idp.home}/credentials/idem-signer- | + | certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> |
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | ||
<MetadataFilter xsi:type="EntityRole"> | <MetadataFilter xsi:type="EntityRole"> | ||
| Riga 62: | Riga 68: | ||
====Shibboleth Service Provider 2.5+==== | ====Shibboleth Service Provider 2.5+==== | ||
| − | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem |
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | *salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | ||
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''': | *configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''': | ||
<syntaxhighlight lang="xml"> | <syntaxhighlight lang="xml"> | ||
<MetadataProvider type="XML" | <MetadataProvider type="XML" | ||
| − | uri=" | + | uri="https://md.idem.garr.it/metadata/idem-metadata-sha256.xml" |
backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200"> | backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200"> | ||
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | ||
| − | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer- | + | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-legacy.pem"/> |
</MetadataProvider> | </MetadataProvider> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Riga 76: | Riga 82: | ||
====Shibboleth Service Provider 3.x+==== | ====Shibboleth Service Provider 3.x+==== | ||
| − | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem |
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | *salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>. | ||
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''eduGAIN e IDEM Produzione''': | *configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''eduGAIN e IDEM Produzione''': | ||
<syntaxhighlight lang="xml"> | <syntaxhighlight lang="xml"> | ||
<MetadataProvider type="XML" | <MetadataProvider type="XML" | ||
| − | url=" | + | url="https://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml" |
backingFilePath="edugain2idem-metadata-sha256.xml" | backingFilePath="edugain2idem-metadata-sha256.xml" | ||
maxRefreshDelay="7200"> | maxRefreshDelay="7200"> | ||
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> | ||
| − | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer- | + | <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-legacy.pem"/> |
</MetadataProvider> | </MetadataProvider> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Riga 91: | Riga 97: | ||
====simpleSAMLphp Identity Provider 1.14+==== | ====simpleSAMLphp Identity Provider 1.14+==== | ||
| − | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem |
| − | *salvarlo in <code>/var/simplesamlphp/cert/ | + | *salvarlo in <code>/var/simplesamlphp/cert/idem-signer-legacy.pem</code> |
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''': | *configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''': | ||
<syntaxhighlight lang="php"> | <syntaxhighlight lang="php"> | ||
| Riga 103: | Riga 109: | ||
'sources' => [ | 'sources' => [ | ||
[ | [ | ||
| − | 'src' => ' | + | 'src' => 'https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml', |
'certificates' => [ | 'certificates' => [ | ||
| − | '/var/simplesamlphp/cert/ | + | '/var/simplesamlphp/cert/idem-signer-legacy.pem', |
], | ], | ||
'template' => [ | 'template' => [ | ||
| Riga 128: | Riga 134: | ||
====simpleSAMLphp Service Provider 1.14+==== | ====simpleSAMLphp Service Provider 1.14+==== | ||
| − | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer- | + | *scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem |
| − | *salvarlo in <code>/var/simplesamlphp/cert/ | + | *salvarlo in <code>/var/simplesamlphp/cert/idem-signer-legacy.pem</code> |
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Produzione''': | *configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Produzione''': | ||
<syntaxhighlight lang="php"> | <syntaxhighlight lang="php"> | ||
| Riga 140: | Riga 146: | ||
'sources' => [ | 'sources' => [ | ||
[ | [ | ||
| − | 'src' => ' | + | 'src' => 'https://md.idem.garr.it/metadata/idem-metadata-sha256.xml', |
'certificates' => [ | 'certificates' => [ | ||
| − | '/var/simplesamlphp/cert/ | + | '/var/simplesamlphp/cert/idem-signer-legacy.pem', |
], | ], | ||
'template' => [ | 'template' => [ | ||
Versione delle 13:35, 29 ott 2024
Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.
Aggregati di metadata
NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).
IDEM Produzione:
https://md.idem.garr.it/metadata/idem-metadata-sha256.xml
eduGAIN e IDEM Produzione:
https://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml
IDEM Test:
https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
Certificato
Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato.
https://md.idem.garr.it/certs/idem-signer-legacy.pem
1. Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /etc/shibboleth/idem-signer-legacy.pem
2. Controllare la validità del certificato:
- Eseguire il comando:
openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
Istruzioni di configurazione
NOTA BENE: Gli aggregati di metadata sono da considerare deprecati e da utilizzare solo per sistemi che non supportano MDQ (vedi https://mdx.idem.garr.it).
Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione Guide.
Shibboleth Identity Provider 3.x+ & 4.0:
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in una directory accessibile a Shibboleth, ad es.
/opt/shibboleth-idp/credentials. - configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
Shibboleth Identity Provider 4.1+:
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in una directory accessibile a Shibboleth, ad es.
/opt/shibboleth-idp/credentials. - configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRole">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
Shibboleth Service Provider 2.5+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in una directory accessibile a
shibd, ad es./etc/shibboleth. - configurare certificato e flusso di metadata desiderato in
shibboleth2.xml, ad es. per il flusso IDEM Produzione:
<MetadataProvider type="XML"
uri="https://md.idem.garr.it/metadata/idem-metadata-sha256.xml"
backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
<MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-legacy.pem"/>
</MetadataProvider>
Shibboleth Service Provider 3.x+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in una directory accessibile a
shibd, ad es./etc/shibboleth. - configurare certificato e flusso di metadata desiderato in
shibboleth2.xml, ad es. per il flusso eduGAIN e IDEM Produzione:
<MetadataProvider type="XML"
url="https://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml"
backingFilePath="edugain2idem-metadata-sha256.xml"
maxRefreshDelay="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
<MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-legacy.pem"/>
</MetadataProvider>
simpleSAMLphp Identity Provider 1.14+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in
/var/simplesamlphp/cert/idem-signer-legacy.pem - configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:
<?php
$config = [
'sets' => [
'idem' => [
'cron' => ['hourly'],
'sources' => [
[
'src' => 'https://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
'certificates' => [
'/var/simplesamlphp/cert/idem-signer-legacy.pem',
],
'template' => [
'tags' => ['idem'],
'authproc' => [
51 => ['class' => 'core:AttributeMap', 'oid2name'],
],
],
'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata
],
],
'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
'outputDir' => 'metadata/',
'outputFormat' => 'flatfile',
],
],
];
simpleSAMLphp Service Provider 1.14+
- scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-legacy.pem
- salvarlo in
/var/simplesamlphp/cert/idem-signer-legacy.pem - configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Produzione:
<?php
$config = [
'sets' => [
'idem' => [
'cron' => ['hourly'],
'sources' => [
[
'src' => 'https://md.idem.garr.it/metadata/idem-metadata-sha256.xml',
'certificates' => [
'/var/simplesamlphp/cert/idem-signer-legacy.pem',
],
'template' => [
'tags' => ['idem'],
'authproc' => [
51 => ['class' => 'core:AttributeMap', 'oid2name'],
],
],
'types' => ['saml20-idp-remote'], // Load only SAML v2.0 IDP from metadata
],
],
'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
'outputDir' => 'metadata/',
'outputFormat' => 'flatfile',
],
],
];
