Differenze tra le versioni di "RegistraEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
(Creata pagina con "== Registrare un IdP == === Istruzioni metadata === # '''entityID''': Verificare che sia riportato lo stesso valore su: #* Richiesta di Adesione ('''RA''') #* Identity Provide...")
 
 
(124 versioni intermedie di 5 utenti non mostrate)
Riga 1: Riga 1:
== Registrare un IdP ==
+
==Registrazione IdP==
=== Istruzioni metadata ===
+
Prima di entrare nella '''Federazione IDEM di produzione''' è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
# '''entityID''': Verificare che sia riportato lo stesso valore su:
 
#* Richiesta di Adesione ('''RA''')
 
#* Identity Provider Registration Request ('''IDPRR''')
 
#* Metadata dell'entità: IDEM Entity Registry & IdP Metadata
 
# '''eduGAIN''': Verificare quanto indicato sul modulo IDPRR per l'opt-out dall'interfederazione. Valore di default: ''Opt-In''
 
# '''IdP Metadata''':
 
#* ''Lo Scope'':
 
#** <code><shibmd:Scope></code>: Il valore/i valori dei domini in questo elemento sono relativi all'organizzazione?
 
#*** Verificare con: [https://www.whois.com/whois WHOIS]
 
#* ''MDUI e varie'':
 
#:# <u>DisplayName</u>: Nome dell'organizzazione visualizzato nei Discovery Service
 
#:#* <code><mdui:DisplayName xml:lang="en"></code>: University...
 
#:#* <code><mdui:DisplayName xml:lang="it"></code>: Università...
 
#:# <u>Description</u>: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
 
#:#* <code><mdui:Description xml:lang="en"></code>
 
#:#* <code><mdui:Description xml:lang="it"></code>
 
#:# <u>InformationUrl</u>: Pagina informativa per gli utenti finali.
 
#:#* <code><mdui:InformationUrl xml:lang="en"></code>
 
#:#* <code><mdui:InformationUrl xml:lang="it"></code>
 
#:#: Tale pagina dovrà contenere:
 
#:#::* Elenco attributi supportati dall'IdP
 
#:#::* Federazioni a cui l'IdP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#::* Indirizzo di posta elettronica di supporto agli utenti su IDEM e le credenziali di autenticazione
 
#:# <u>PrivacyStatementUrl</u>: Privacy Policy dell'organizzazione/IdP
 
#:#* <code><mdui:PrivacyStatementUrl xml:lang="en"></code>
 
#:#* <code><mdui:PrivacyStatementUrl xml:lang="it"></code>
 
#:# <u>Logo</u>: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio delle dimensioni indicate)
 
#:#* <code><mdui:Logo xml:lang="en" width="16" height="16"></code>
 
#:#* <code><mdui:Logo xml:lang="en" width="80" height="60"></code>
 
#:#* <code><mdui:Logo xml:lang="it" width="16" height="16"></code>
 
#:#* <code><mdui:Logo xml:lang="it" width="80" height="60"></code>
 
#:# <u>OrganizationName</u>: Nome dell'organizzazione
 
#:#* <code><md:OrganizationName xml:lang="en"></code>
 
#:#* <code><md:OrganizationName xml:lang="it"></code>
 
#:# <u>OrganizationDisplayName</u>: Nome dell'organizzazione da mostrare sui Discovery Service
 
#:#* <code><md:OrganizationDisplayName xml:lang="en"></code>: University...
 
#:#* <code><md:OrganizationDisplayName xml:lang="it"></code>: Università...
 
#:# <u>OrganizationUrl</u>: URL del sito web dell'organizzazione
 
#:#* <code><md:OrganizationUrl xml:lang="en"></code>
 
#:#* <code><md:OrganizationUrl xml:lang="it"></code>
 
#:# <u>ContactPerson</u>: Contatti relativi all'IdP e all'organizzazione
 
#:#* <code><md:ContactPerson contactType="technical"></code>: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP
 
#* <code>ValidUntil</code>: sui metadata dell'IdP forniti alla federazione IDEM '''non devono essere presenti'''
 
#* ''Endpoint HTTPS'': tutti gli endpoint/URL devono essere protette da HTTPS
 
#* ''Binding'': assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
 
#:* <code><ArtifactResolutionService></code>
 
#:* <code><SingleLogoutService></code>
 
#:* <code><SingleSignOnService></code>
 
#:* <code><AttributeService></code>
 
=== Validazione metadata ===
 
#* ''EduGAIN Validator'': https://technical.edugain.org/validator2
 
#:* Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
 
#:* Premere su "Validate"
 
#:* Controllare che '''''Errors''''' e '''''Warnings''''' non abbiano anomalie per il proprio IdP.
 
=== Validazione certificati ===
 
#* Controllare la robustezza del proprio IdP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
 
#* Controllare certificato e catena della CA sulla porta 443
 
#* Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
 
# '''Pagina di Login''':
 
#* Verificare che sia protetta da una CA riconosciuta dal browser
 
=== Test di accesso ===
 
#* eseguire una login su https://sp24-test.garr.it/secure e, dopo aver verificato di vedere '<code>eduPersonTargetedID</code>' e '<code>affiliation</code>', comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it]
 
  
== Registrazione SP ==
+
Lo strumento per registrare i metadata si chiama '''IDEM Registry'''.
=== Istruzioni metadata ===
+
 
# '''entityID''': Verificare che sia riportato lo stesso valore su:
+
La prima registrazione di un'entità '''non''' richiede "Log in".
#* Resource Registration Request ('''RRR''')
+
 
#* Metadata dell'entità: IDEM Entity Registry & SP Metadata
+
In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.
# '''eduGAIN''': Verificare quanto indicato sul modulo RRR per l'opt-in dall'interfederazione. Valore di default: ''Opt-Out''
+
 
# '''SP Metadata''':
+
===Pre-requisiti:===
#* ''MDUI e varie'':
+
 
#:# <u>DisplayName</u>: Nome semplice e parlante della risorsa federata. Vietato l'uso della parola "''IDEM''" se non erogata dal Servizio IDEM GARR AAI.
+
#Aver completato l'installazione di un Identity Provider (IdP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
#:#* <code><mdui:DisplayName xml:lang="en"></code>: <Nome servizio> provided by <Nome Ente>
+
#L'IdP '''deve''' rilasciare i seguenti attributi al SP IDEM Registry (<code>entityID="<nowiki>https://registry.idem.garr.it/shibboleth</nowiki>"</code>):
#:#* <code><mdui:DisplayName xml:lang="it"></code>: <Nome servizio> erogato da <Nome Ente>
+
#*email
#:# <u>Description</u>: Descrizione breve della risorsa federata. Cosa può fare l'utente con essa.
+
#*eduPersonPrincipalName
#:#* <code><mdui:Description xml:lang="en"></code>
+
#*eduPersonTargetedID
#:#* <code><mdui:Description xml:lang="it"></code>
+
#*givenName
#:# <u>InformationUrl</u>: Pagina informativa per gli utenti finali.
+
#*surname
#:#* <code><mdui:InformationUrl xml:lang="en"></code>
+
#In caso di mancato rilascio attributi consultare la sezione [[ComeRilasciareAttributiShibv4]] e [[RilascioAttributi]].
#:#* <code><mdui:InformationUrl xml:lang="it"></code>
+
 
#:#: Tale pagina dovrà:
+
===Workflow===
#:#::* Descrivere la risorsa federata per l'utente finale
+
Ecco gli step a cura del gestore dell'IdP:
#:#::* Descrivere il pubblico a cui è rivolto
+
 
#:#::* Indicare a quale organizzazione appartiene/da qual è erogata.
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Identity Provider via IDEM Entity Registry|come funziona?]])
#:#::* Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
+
#Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <[mailto:Idem-help@garr.it idem-help@garr.it]> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
#:#::* Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
+
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione tramite il ticket aperto al punto 2.
#:#::* Federazioni a cui l'SP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
+
#Da questo momento è possibile fare login su [https://registry.idem.garr.it IDEM Entity Registry] premendo su '''Login via IDEM,''' selezionare e raggiungere il '''proprio istituto/IdP''' e '''accedere''' inserendo le proprie credenziali utente:
#:# <u>PrivacyStatementUrl</u>: Privacy Policy dell'organizzazione/SP ([https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers TEMPLATE])
+
#*se il login ha problemi tornare al punto "[[#Workflow|Pre-requisiti]]" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
#:#* <code><mdui:PrivacyStatementUrl xml:lang="en"></code>
+
#Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
#:#* <code><mdui:PrivacyStatementUrl xml:lang="it"></code>
+
#Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.
#:# <u>Logo</u>: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio)
+
 
#:#* <code><mdui:Logo xml:lang="en" width="16" height="16"></code>
+
'''IMPORTANTE'''<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
#:#* <code><mdui:Logo xml:lang="en" width="80" height="60"></code>
+
 
#:#* <code><mdui:Logo xml:lang="it" width="16" height="16"></code>
+
===Requisiti===
#:#* <code><mdui:Logo xml:lang="it" width="80" height="60"></code>
+
L'Identity Provider deve rispettare i requisiti indicati nel [[Profilo Tecnico Operativo]].
#:# <u><AttributeConsumingService></u>:
+
 
#:#* <RequestedAttribute>: Indicare tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a [mailto:idem-help@garr.it idem-help@garr.it] il perchè durante la valutazione.
+
Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it] usando il ticket già aperto in precedenza.
#:# <u>OrganizationName</u>: Nome dell'organizzazione
+
 
#:#* <code><md:OrganizationName xml:lang="en"></code>
+
===Modulo di registrazione===
#:#* <code><md:OrganizationName xml:lang="it"></code>
+
Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in [[ProcedureAdesione#Registrazione entit.C3.A0]]
#:# <u>OrganizationDisplayName</u>: Nome della risorsa federata da mostrare
+
 
#:#* <code><md:OrganizationDisplayName xml:lang="en"></code>: <Nome servizio> provided by <Nome Ente>
+
==Registrazione SP==
#:#* <code><md:OrganizationDisplayName xml:lang="it"></code>: <Nome servizio> erogato da <Nome Ente>
+
===Workflow===
#:# <u>OrganizationUrl</u>: URL del sito web dell'organizzazione a cui la risorsa appartiene
+
Prerequisito:
#:#* <code><md:OrganizationUrl xml:lang="en"></code>
+
 
#:#* <code><md:OrganizationUrl xml:lang="it"></code>
+
*Aver completato l'installazione di un Service Provider (SP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
#:# <u>ContactPerson</u>: Contatti relativi alla risorsa
+
 
#:#* <code><md:ContactPerson contactType="technical"></code>: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP
+
Prima di inserire un nuovo Service Provider (SP) nella '''Federazione IDEM di produzione''' è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
#* <code>ValidUntil</code>: sui metadata del SP forniti alla federazione IDEM '''non devono essere presenti'''
+
 
#* ''Endpoint HTTPS'': tutti gli endpoint/URL devono essere protette da HTTPS
+
Ecco gli step a cura del gestore del SP:
#* ''Binding'': assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
+
 
#:* <code><ArtifactResolutionService></code>
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Service Provider via IDEM Entity Registry|come funziona?]])
#:* <code><SingleLogoutService></code>
+
#Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <[mailto:Idem-help@garr.it idem-help@garr.it]> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
#:* <code><AssertionConsumerService></code>
+
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
=== Validazione metadata ===
+
 
#* ''EduGAIN Validator'': https://technical.edugain.org/validator2
+
====IMPORTANTE====
#:* Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
+
<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
#:* Premere su "Validate"
+
 
#:* Controllare che '''''Errors''''' e '''''Warnings''''' non abbiano anomalie per il proprio SP
+
===Requisiti===
=== Validazione SSL ===
+
Il Service Provider deve rispettare i requisiti indicati nel [[Profilo Tecnico Operativo]].
#* Controllare la robustezza del proprio SP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
 
#* Controllare certificato e catena della CA sulla porta 443
+
Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.
#* Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
+
 
# '''Pagina di Login''':
+
===Modulo di registrazione===
#* Verificare che sia protetta da una CA riconosciuta dal browser
+
Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in [[ProcedureAdesione#Registrazione entit.C3.A0]]
=== Test di accesso ===
+
 
#* eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it]
+
==SP registration==
 +
===Workflow===
 +
Prerequisites:
 +
 
 +
*The Service Provider (SP) has been already deployed (for reference please follow [[Guide|IDEM installation guides]])
 +
 
 +
In order to join the I'''DEM production Federation''' the SP is required to join the '''IDEM Test Federation''' first.
 +
 
 +
Here are the steps to be followed by the SP admin:
 +
 
 +
#Access the [https://registry.idem.garr.it IDEM Entity Registry] and submit the entity metadata following the '''wizard''' ([[IDEMRegistry#How_to_register_a_new_Service_Provider_on_IDEM_Entity_Registry|how it works]]).
 +
#Open a ticket for the entity registration by sending an email to <[mailto:Idem-help@garr.it idem-help@garr.it]> with the entityID of the entity.
 +
#Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.
 +
 
 +
'''IMPORTANT'''<blockquote>Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on [[ProcedureAdesione#Register a service]].</blockquote>If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.
 +
 
 +
===Requirements===
 +
Next table includes metadata requirements '''to be fullfilled by SP admin''' as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):
 +
{| class="wikitable"
 +
!Requirement
 +
!short description
 +
!Ref.
 +
!Note
 +
|-
 +
|KeyDescriptor
 +
|must include an element <code><md:KeyDescriptor></code> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit.
 +
|IDEM Metadata Profle [1], sect. 6.1
 +
|
 +
|-
 +
|Organization
 +
|must include an element <code><md:Organization></code> with related sub-elements:
 +
 
 +
*<code><md:OrganizationName></code>
 +
*<code><md:OrganizationDisplayName></code>
 +
*<code><md:OrganizationURL></code>
 +
 
 +
All element values must be both in Italian and English.
 +
|IDEM Metadata Profile [1], sect. 6.2
 +
|
 +
|-
 +
|mdui
 +
|must include an element <code><mdui:UIInfo></code> with related sub-elements:
 +
 
 +
*<code><mdui:DisplayName></code>: same as <code><md:OrganizationDisplayName></code>;
 +
*<code><mdui:Description></code>: example to be used: "IdP per gli utenti di.." + Organizzazione;
 +
*<code><mdui:InformationURL></code>: a page for users information;
 +
*<code><mdui:PrivacyStatementURL></code>: a page containing the privacy policy about user data;
 +
*<code><mdui:Logo></code>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.
 +
 
 +
 
 +
All element values must be both in Italian and English.
 +
|IDEM Metadata Profile [1], sect. 6.3.2
 +
|
 +
|-
 +
|AttributeConsumingService
 +
|must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
 +
 
 +
*<md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
 +
 
 +
*<md:RequestedAttribute> with isRequired="false" if the attributes is optional
 +
|IDEM Metadata Profile [1], sect. 6.4
 +
|
 +
|-
 +
|ContactPerson
 +
|must include at least an element <code><md:ContactPerson></code> with <code>contactType="technical"</code> containing an element <code><md:EmailAddress></code> in which the email address includes the prefix "mailto:", i.e. <code><md:EmailAddress><nowiki>mailto:destination@domain.dom</nowiki></md:EmailAddress></code>.
 +
|IDEM Metadata Profile [1], sect. 6.5
 +
|
 +
|}
 +
 
 +
Please refer to [[IDEMRegistry#Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry|Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry]]
 +
 
 +
Metadata completeness will speed up the evaluation phase and the joing process.
 +
 
 +
The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.
 +
 
 +
In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=[https://idp.aai-test.garr.it/ https://idp.aai-test.garr.it]) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.<!-- da spostare -->
 +
 
 +
===Registration module===
 +
Once you have completed the technical registration of the entity metadata, you can proceed with the submission of the registration module following the instructions on [[ProcedureAdesione#Register an entity]]
 +
 
 +
==Riferimenti/Links==
 +
[1] [[Media:IDEM METADATA PROFILE V1.1-ita-eng.pdf|IDEM METADATA PROFILE V1.1]]

Versione attuale delle 11:00, 2 lug 2025

Registrazione IdP

Prima di entrare nella Federazione IDEM di produzione è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Lo strumento per registrare i metadata si chiama IDEM Registry.

La prima registrazione di un'entità non richiede "Log in".

In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.

Pre-requisiti:

  1. Aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM.
  2. L'IdP deve rilasciare i seguenti attributi al SP IDEM Registry (entityID="https://registry.idem.garr.it/shibboleth"):
    • email
    • eduPersonPrincipalName
    • eduPersonTargetedID
    • givenName
    • surname
  3. In caso di mancato rilascio attributi consultare la sezione ComeRilasciareAttributiShibv4 e RilascioAttributi.

Workflow

Ecco gli step a cura del gestore dell'IdP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <idem-help@garr.it> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
  3. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione tramite il ticket aperto al punto 2.
  4. Da questo momento è possibile fare login su IDEM Entity Registry premendo su Login via IDEM, selezionare e raggiungere il proprio istituto/IdP e accedere inserendo le proprie credenziali utente:
    • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
  5. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
  6. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

L'Identity Provider deve rispettare i requisiti indicati nel Profilo Tecnico Operativo.

Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Modulo di registrazione

Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in ProcedureAdesione#Registrazione entit.C3.A0

Registrazione SP

Workflow

Prerequisito:

  • Aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Prima di inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Ecco gli step a cura del gestore del SP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <idem-help@garr.it> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
  3. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

Il Service Provider deve rispettare i requisiti indicati nel Profilo Tecnico Operativo.

Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

Modulo di registrazione

Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in ProcedureAdesione#Registrazione entit.C3.A0

SP registration

Workflow

Prerequisites:

In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.

Here are the steps to be followed by the SP admin:

  1. Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works).
  2. Open a ticket for the entity registration by sending an email to <idem-help@garr.it> with the entityID of the entity.
  3. Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.

IMPORTANT

Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on ProcedureAdesione#Register a service.

If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.

Requirements

Next table includes metadata requirements to be fullfilled by SP admin as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):

Requirement short description Ref. Note
KeyDescriptor must include an element <md:KeyDescriptor> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit. IDEM Metadata Profle [1], sect. 6.1
Organization must include an element <md:Organization> with related sub-elements:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.2
mdui must include an element <mdui:UIInfo> with related sub-elements:
  • <mdui:DisplayName>: same as <md:OrganizationDisplayName>;
  • <mdui:Description>: example to be used: "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: a page for users information;
  • <mdui:PrivacyStatementURL>: a page containing the privacy policy about user data;
  • <mdui:Logo>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.


All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.3.2
AttributeConsumingService must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  • <md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  • <md:RequestedAttribute> with isRequired="false" if the attributes is optional
 IDEM Metadata Profile [1], sect. 6.4
ContactPerson must include at least an element <md:ContactPerson> with contactType="technical" containing an element <md:EmailAddress> in which the email address includes the prefix "mailto:", i.e. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sect. 6.5

Please refer to Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

Metadata completeness will speed up the evaluation phase and the joing process.

The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.

In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.

Registration module

Once you have completed the technical registration of the entity metadata, you can proceed with the submission of the registration module following the instructions on ProcedureAdesione#Register an entity

Riferimenti/Links

[1] IDEM METADATA PROFILE V1.1

Estratto da "https://wiki.idem.garr.it/w/index.php?title=RegistraEntita&oldid=13871"