Differenze tra le versioni di "RegistraEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
 
(79 versioni intermedie di 4 utenti non mostrate)
Riga 1: Riga 1:
 
==Registrazione IdP==
 
==Registrazione IdP==
 +
Prima di entrare nella '''Federazione IDEM di produzione''' è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
 +
 +
Lo strumento per registrare i metadata si chiama '''IDEM Registry'''.
 +
 +
La prima registrazione di un'entità '''non''' richiede "Log in".
 +
 +
In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.
 +
 +
===Pre-requisiti:===
 +
 +
#Aver completato l'installazione di un Identity Provider (IdP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
 +
#L'IdP '''deve''' rilasciare i seguenti attributi al SP IDEM Registry (<code>entityID="<nowiki>https://registry.idem.garr.it/shibboleth</nowiki>"</code>):
 +
#*email
 +
#*eduPersonPrincipalName
 +
#*eduPersonTargetedID
 +
#*givenName
 +
#*surname
 +
#In caso di mancato rilascio attributi consultare la sezione [[ComeRilasciareAttributiShibv4]] e [[RilascioAttributi]].
  
 
===Workflow===
 
===Workflow===
Prerequisiti:
+
Ecco gli step a cura del gestore dell'IdP:
# aver completato l'installazione di un Identity Provider(IdP) seguendo le guide di installazione suggerite da IDEM soprattutto al riguardo della sezione dedicata alla configurazione degli attribute-filter.
 
  
Per poter inserire un nuovo Identity Provider(IdP) nella '''Federazione IDEM di produzione''' è necessario che l'IdP sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Identity Provider via IDEM Entity Registry|come funziona?]])
 +
#Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <[mailto:Idem-help@garr.it idem-help@garr.it]> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
 +
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione tramite il ticket aperto al punto 2.
 +
#Da questo momento è possibile fare login su [https://registry.idem.garr.it IDEM Entity Registry] premendo su '''Login via IDEM,''' selezionare e raggiungere il '''proprio istituto/IdP''' e '''accedere''' inserendo le proprie credenziali utente:
 +
#*se il login ha problemi tornare al punto "[[#Workflow|Pre-requisiti]]" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
 +
#Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
 +
#Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.
  
Questi gli step a cura del gestore dell'IdP:
+
'''IMPORTANTE'''<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
  
#Dirigersi su [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[#Procedura_guidata_via_IDEM_Entity_Registry|come funziona?]])
+
===Requisiti===
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
+
L'Identity Provider deve rispettare i requisiti indicati nel [[Profilo Tecnico Operativo]].
#Da questo momento è possibile fare login su [https://registry.idem.garr.it IDEM Entity Registry] selezionando come Home Organization il nuovo IdP e inserendo le proprie credenziali:
+
 
#*se il login ha problemi tornare al punto "[[#Workflow|Pre-requisiti]]" verificando la corretta configurazione dei filtri per il rilascio degli attributi
+
Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it] usando il ticket già aperto in precedenza.
#Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura
+
 
#Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura
+
===Modulo di registrazione===
 +
Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in [[ProcedureAdesione#Registrazione entit.C3.A0]]
  
Da questo momento inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
+
==Registrazione SP==
 +
===Workflow===
 +
Prerequisito:
  
Indicativamente, come richiesto da IDEM Metadata Profile, non deve mai mancare:
+
*Aver completato l'installazione di un Service Provider (SP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
  
*Scheda Metadata -> Organization
+
Prima di inserire un nuovo Service Provider (SP) nella '''Federazione IDEM di produzione''' è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
*Scheda Metadata -> Contacs
 
*Scheda Metadata -> UI Information
 
*Scheda Metadata -> SAML
 
  
[[#Aggiornamento_metadata_via_IDEM_Entity_Registry|Come fare l'aggiornamento dei metadata in Registry?]]
+
Ecco gli step a cura del gestore del SP:
  
La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella '''Federazione IDEM di produzione'''.
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Service Provider via IDEM Entity Registry|come funziona?]])
 +
#Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <[mailto:Idem-help@garr.it idem-help@garr.it]> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
 +
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
  
Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile e il test di accesso al servizio ''IDEM SP DEMO'' mostra il corretto rilascio degli attributi  '<code>persistent-id</code>' e '<code>affiliation</code>'
+
====IMPORTANTE====
 +
<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
  
Per il test di accesso eseguire una login su https://sp-demo.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it] usando il ticket già aperto in precedenza.
+
===Requisiti===
 +
Il Service Provider deve rispettare i requisiti indicati nel [[Profilo Tecnico Operativo]].
  
===Procedura guidata via IDEM Entity Registry===
+
Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.
  
#Dalla Home Page scegliere [https://registry.idem.garr.it/rr3/providers/idp_registration "''<u>Inserisci un Nuovo Identity Provider nella IDEM Test Federation</u>''"]
+
===Modulo di registrazione===
#Nella schermata successiva incollare il frammento di metadata come prodotto dall'installazione dell'idp (ad es. in Shibboleth cercare il file <code>idp-metadata.xml</code>)
+
Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in [[ProcedureAdesione#Registrazione entit.C3.A0]]
#Nella schermata successiva completare le varie schede come proposto nella tabella sottostante:
 
  
{| class="wikitable"
+
==SP registration==
!General
+
===Workflow===
!Organization
+
Prerequisites:
!Contacts
 
!UI Information
 
!UI Hints
 
!SAML
 
!Certificates
 
|-
 
|Selezionare la '''IDEM Test Federation'''
 
ed inserire la propria '''e-mail'''
 
|Completare in doppia lingua (IT e EN) le voci:
 
* '''Name of organization,'''
 
* '''Displayname of organization,'''
 
* '''URL to information about organization'''
 
|Con il bottone '''Add Contact''' aggiungere almeno un contatto
 
di tipo '''Technical''' con indirizzo e-mail '''impersonale'''
 
|Completare in doppia lingua (IT e EN) le voci:
 
* '''Name of organization,'''
 
* '''Description of user community serviced,'''
 
* '''URL to information about the Identity Provider,'''
 
* '''URL to Privacy Policy of the Identity Provider,'''
 
* '''Logo of Service'''
 
|facoltativo
 
|già completo
 
|già completo
 
|}
 
La descrizione completa delle voci evidenziate in grassetto è disponibile qui sotto nel paragrafo <u>[[#Aggiornamento_metadata_via_IDEM_Entity_Registry:|"Aggiornamento metadata via IDEM Entity Registry"]]</u>
 
  
Per concludere l'inserimento dei metadata premere il bottone blu '''"Register"''' disponibile in basso a destra in ciascuna delle schede
+
*The Service Provider (SP) has been already deployed (for reference please follow [[Guide|IDEM installation guides]])
  
===Aggiornamento metadata via IDEM Entity Registry===
+
In order to join the I'''DEM production Federation''' the SP is required to join the '''IDEM Test Federation''' first.
  
#Raggiungere la scheda della propria entità: '''Identity Provider'''
+
Here are the steps to be followed by the SP admin:
#Entrare in modalità di modifica premendo sul bottone: [[File:RR EditPencil.png|37px]] e poi su '''Edit Provider''' dal Menù a sinistra che appare
 
#Dalla scheda "'''Organization'''" inserire:
 
#*'''Name of organization''': Nome dell'organizzazione in Italiano e in Inglese
 
#*'''Displayname of organization''': Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
 
#*'''URL to information about organization''': URL del sito web dell'organizzazione
 
#Dalla scheda "'''Contacts'''" inserire:
 
#*Almeno un indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP compreso del prefisso "mailto:"
 
#Dalla scheda "'''UI Information'''" inserire:
 
#*'''Name of organization''': Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
 
#*'''Description of user community serviced''': Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
 
#*'''URL to information about the Identity Provider'''
 
#:Tale pagina dovrà contenere:
 
#::*Elenco attributi supportati dall'IdP
 
#::*Federazioni a cui l'IdP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#::*Indirizzo di posta elettronica di supporto agli utenti su IDEM e le credenziali di autenticazione
 
#*'''URL to Privacy Policy of the Identity Provider''': Privacy Policy dell'organizzazione/IdP
 
#*'''Logo of Service''': Logo dell'organizzazione visualizzato sui Discovery Service
 
#:Tali Loghi, secondo le indicazioni date da [https://wiki.refeds.org/display/FBP/MDUI+-+Software+recommendations#MDUI-Softwarerecommendations-PerMDUIElementinformation-IdP REFEDS], devono:
 
#::*Essere reperibili da URL protette da HTTPS (con certificato valido)
 
#::*Avere la dimensione di 80x60 px (o diversa purchè rispetti l'aspect-ratio) per il logo più grande in ITA e in ENG
 
#::*Avere la dimensione di 16x16 px (o diversa purchè rispetti l'aspect-ratio) per il logo più piccolo in ITA e in ENG
 
#::*Avere lo sfondo trasparente (possibilmente)
 
#Dalla scheda "'''SAML'''" verificare:
 
#*Che l''''entityID''' sia corretto
 
#*Che tutti gli '''endpoint'''/URL siano protetti da '''HTTPS'''
 
#*Che tutti gli endpoints: '''SingleSignOn Service endpoints''', '''Single Logout Service endpoints''', '''Artifact Resolution Service endpoints''', '''AttributeAuthorityDescriptor''' non presentino errori di binding
 
#*Che il "'''Supported protocol enumerations'''" sia valorizzato al solo "<code>urn:oasis:names:tc:SAML:2.0:protocol</code>" (SAML v2) (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
 
#*Che nella lista di "'''Supported Name Identifiers'''" siano spuntati tutti gli identificatori (SAML v2) supportati dal proprio IdP (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
 
#*Che lo "'''Scope'''" sia correttamente valorizzato con il dominio istituzionale (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
 
#Dalla scheda '''"Certificates'''" è possibile aggiungere un nuovo certificato e rimuovere un precedente certificato:
 
#*sezione '''IDPSSODescriptor:''' obbligatorio almeno 1 certificato valido
 
#**bottone <u>"Remove certificate"</u> per eliminare un certificato esistente, bottone <u>"Add certificate for IDPSSODescriptor"</u> per aggiungerne uno nuovo
 
#*sezione '''AttributeAuthorityDescriptor:''' obbligatorio almeno 1 certificato valido
 
#**bottone <u>"Remove certificate"</u> per eliminare un certificato esistente, bottone <u>"Add certificate for AttributeAuthorityDescriptor"</u> per aggiungerne uno nuovo
 
  
<br />
+
#Access the [https://registry.idem.garr.it IDEM Entity Registry] and submit the entity metadata following the '''wizard''' ([[IDEMRegistry#How_to_register_a_new_Service_Provider_on_IDEM_Entity_Registry|how it works]]).
 +
#Open a ticket for the entity registration by sending an email to <[mailto:Idem-help@garr.it idem-help@garr.it]> with the entityID of the entity.
 +
#Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.
  
==Registrazione SP==
+
'''IMPORTANT'''<blockquote>Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on [[ProcedureAdesione#Register a service]].</blockquote>If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.
Per poter inserire un nuovo Service Provider(IdP) nella Federazione IDEM di produzione si rende necessario:
 
  
#L''''entityID''' usato nei documenti di adesione deve corrispondere a quello usato dall'entità
+
===Requirements===
#Se l'istituzione '''desidera''' partecipare nell'interfederazione eduGAIN, deve apporre la propria croce sul checkbox per l'opt-in del modulo RRR (Resource Registration Request)
+
Next table includes metadata requirements '''to be fullfilled by SP admin''' as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):
#Accedere al [https://registry.idem.garr.it IDEM Entity Registry] e:
+
{| class="wikitable"
#:#Raggiungere la scheda della propria entità: '''Service Provider'''
+
!Requirement
#:#Entrare in modalità di modifica premendo sul bottone: [[File:RR EditPencil.png|37px]] e poi su '''Edit Provider''' dal Menù a sinistra che appare
+
!short description
#:#Dalla scheda "'''Organization'''" inserire:
+
!Ref.
#:#*'''Name of organization''': Nome dell'organizzazione in Italiano e in Inglese
+
!Note
#:#*'''Displayname of organization''': Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
+
|-
#:#*'''URL to information about the Service''': URL del sito web dell'organizzazione
+
|KeyDescriptor
#:#Dalla scheda "'''Contacts'''" inserire:
+
|must include an element <code><md:KeyDescriptor></code> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit.
#:#*Almeno un indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP compreso del prefisso "mailto:"
+
|IDEM Metadata Profle [1], sect. 6.1
#:#Dalla scheda "'''UI Information'''" inserire:
+
|
#:#*'''Name of the Service''': Nome della risorsa da mostrare all'utente in Italiano e in Inglese
+
|-
#:#*'''URL to information about the Service''':
+
|Organization
#:#:Tale pagina dovrà:
+
|must include an element <code><md:Organization></code> with related sub-elements:
#:#::*Descrivere la risorsa federata per l'utente finale
 
#:#::*Descrivere il pubblico a cui è rivolto
 
#:#::*Indicare a quale organizzazione appartiene/da qual è erogata.
 
#:#::*Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
 
#:#::*Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
 
#:#::*Federazioni a cui l'SP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#*'''Description of the Service''': Descrizione della comunità di utenti autorizzati ad utilizzare la risorsa
 
#:#*'''URL to Privacy Policy of the Identity Provider''': Privacy Policy dell'organizzazione/SP
 
#:#*'''Logo of Service''': Loghi della risorsa visualizzati dagli utenti
 
#:#:Tali Loghi, secondo le indicazioni date da [https://wiki.refeds.org/display/FBP/MDUI+-+Software+recommendations#MDUI-Softwarerecommendations-PerMDUIElementinformation-SP REFEDS], devono:
 
#:#:*Essere reperibili da URL protette da HTTPS (con certificato valido)
 
#:#:*Avere la dimensione di 64x350px (o diversa purchè rispetti l'aspect-ratio) per il logo più grande in ITA e in ENG
 
#:#:*Avere lo sfondo trasparente (possibilmente)
 
#:#Dalla scheda "'''SAML'''" verificare:
 
#:#*Che l''''entityID''' sia corretto
 
#:#*Che tutti gli '''endpoint'''/URL siano protetti da '''HTTPS'''
 
#:#*Che tutti gli endpoints: '''Assertion Consumer Service''', '''ArtifactResolutionService''', '''SingleLogoutService''', '''RequestInitiator Locations''', '''Discovery Response Locations''' non presentino errori di binding
 
#:#*Che il "'''Supported protocol enumerations'''" sia valorizzato al solo "'''<code>urn:oasis:names:tc:SAML:2.0:protocol</code>'''" (SAML v2)
 
#:#*Che la lista di "'''Supported Name Identifiers'''" sia ordinata in modo che in test compaia l'identificatore che si desidera ricevere come '<nowiki/>'''preferito''''. Gli identificatori maggiormente usati dagli IdP sono: "''urn:oasis:names:tc:SAML:2.0:nameid-format:transient''", "''urn:oasis:names:tc:SAML:2.0:nameid-format:persistent''"
 
#:#Dalla scheda "'''Required Attributes'''" inserire:
 
#:#*tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a [mailto:idem-help@garr.it idem-help@garr.it] il perchè durante la valutazione.
 
  
===Validazione metadata===
+
*<code><md:OrganizationName></code>
 +
*<code><md:OrganizationDisplayName></code>
 +
*<code><md:OrganizationURL></code>
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
All element values must be both in Italian and English.
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
+
|IDEM Metadata Profile [1], sect. 6.2
#:*Premere su "Validate"
+
|
#:*Controllare che '''''Errors''''' e '''''Warnings''''' non abbiano anomalie per il proprio SP
+
|-
 +
|mdui
 +
|must include an element <code><mdui:UIInfo></code> with related sub-elements:
  
===Validazione SSL===
+
*<code><mdui:DisplayName></code>: same as <code><md:OrganizationDisplayName></code>;
 +
*<code><mdui:Description></code>: example to be used: "IdP per gli utenti di.." + Organizzazione;
 +
*<code><mdui:InformationURL></code>: a page for users information;
 +
*<code><mdui:PrivacyStatementURL></code>: a page containing the privacy policy about user data;
 +
*<code><mdui:Logo></code>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.
  
#Controllare la robustezza del proprio SP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
 
#*Controllare certificato e catena della CA sulla porta 443
 
#*Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
 
#Pagina di Login:
 
#*Verificare che sia protetta da una CA riconosciuta dal browser
 
  
===Test di accesso===
+
All element values must be both in Italian and English.
Eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it]
+
|IDEM Metadata Profile [1], sect. 6.3.2
 +
|
 +
|-
 +
|AttributeConsumingService
 +
|must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  
==SP registration==
+
*<md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  
To be able to add a new Service Provider(IdP) on IDEM GARR AAI you need to:
+
*<md:RequestedAttribute> with isRequired="false" if the attributes is optional
 +
|IDEM Metadata Profile [1], sect. 6.4
 +
|
 +
|-
 +
|ContactPerson
 +
|must include at least an element <code><md:ContactPerson></code> with <code>contactType="technical"</code> containing an element <code><md:EmailAddress></code> in which the email address includes the prefix "mailto:", i.e. <code><md:EmailAddress><nowiki>mailto:destination@domain.dom</nowiki></md:EmailAddress></code>.
 +
|IDEM Metadata Profile [1], sect. 6.5
 +
|
 +
|}
  
#Check that the '''entityID''' used into the membership documents is the same
+
Please refer to [[IDEMRegistry#Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry|Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry]]
#If the resourc '''wants''' partecipate into eduGAIN interfederation, has to check the opt-in checkbox on the RRR module (Resource Registration Request)
 
#Access into [https://registry.idem.garr.it IDEM Entity Registry] and:
 
#:#Open your entity under '''Service Provider''' tab
 
#:#Enter in the editing mode by pressing: [[File:RR EditPencil.png|37px]] and then on '''Edit Provider''' from the left menù
 
#:#From tab "'''Organization'''" insert:
 
#:#*'''Name of organization''': Italian and in English name of the organization owner the resource
 
#:#*'''Displayname of organization''': Italian and in English name of the organization owner the resource to show on Discovery Services
 
#:#*'''URL to information about the Service''': URL of the website of the organization
 
#:#From tab "'''Contacts'''" insert:
 
#:#*an address of a mailing-list contains the technical contacts responsable of the correct working of the SP with the "mailto:" prefix
 
#:#From tab "'''UI Information'''" insert:
 
#:#*'''Name of the Service''': Italian and English name of the resource to show to the users
 
#:#*'''URL to information about the Service''':
 
#:#:This page will have:
 
#:#::*A description of the federated resource for the final user.
 
#:#::*A description of the interested audience for the resource.
 
#:#::*A description of the owner institution.
 
#:#::*An email address to support the final users and the Identity Provider managers
 
#:#::*The Privacy Policy references
 
#:#::*Federations who the resource is member of by using logos and references ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#<u>PrivacyStatementUrl</u>: Privacy Policy del SP ([https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers TEMPLATE])
 
#:#*'''Description of the Service''': Description of the user community allowed to access/use to the resource
 
#:#*'''URL to Privacy Policy of the Identity Provider''': SP's Privacy Policy ([https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers TEMPLATE])
 
#:#*'''Logo of Service''': Resource logo useful to IdP User Consent page
 
#:#:By following the reccomendations provided by [https://wiki.refeds.org/display/FBP/MDUI+-+Software+recommendations#MDUI-Softwarerecommendations-PerMDUIElementinformation-SP REFEDS], logos have to:
 
#:#:*Be available on protected HTTPS URL
 
#:#:*Be 64x350px (or different if respect the aspect-ratio)
 
#:#:*has a transparent background
 
#:#From tab "'''SAML'''" check:
 
#:#*That the '''entityID''' is correct
 
#:#*That all '''endpoint'''/URL are protect by '''HTTPS'''
 
#:#*That all endpoints: '''Assertion Consumer Service''', '''ArtifactResolutionService''', '''SingleLogoutService''', '''RequestInitiator Locations''', '''Discovery Response Locations''' don't have binding errors on the following endpoinds:
 
#:#*That "'''Supported protocol enumerations'''" is set to "'''<code>urn:oasis:names:tc:SAML:2.0:protocol</code>'''" (SAML v2)
 
#:#*That the "'''Supported Name Identifiers'''" list is ordered so that on the top there is the '''preferred''' identifier to receive. Identifiers most by used are: "''urn:oasis:names:tc:SAML:2.0:nameid-format:transient''", "''urn:oasis:names:tc:SAML:2.0:nameid-format:persistent''"
 
#:#From tab "'''Required Attributes'''" insert:
 
#:#*each attribute needed to access the resource by the users. These attributes have to be riported on the resource's Privacy Policy page. If the attributes required are different than ePSA (eduPersonScopedAffiliation) and ePTID(eduPersonTargetedID), contact [mailto:idem-help@garr.it idem-help@garr.it] and provide the reason during the validation.
 
  
===Metadata Validation===
+
Metadata completeness will speed up the evaluation phase and the joing process.
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
 
#:*Press on "Validate"
 
#:*Check that '''''Errors''''' and '''''Warnings''''' do not report anomalies for the SP.
 
  
===Certificate Validation===
+
In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=[https://idp.aai-test.garr.it/ https://idp.aai-test.garr.it]) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.<!-- da spostare -->
  
#Check IdP health on: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
===Registration module===
#*Check certificate and CA chain on port 443
+
Once you have completed the technical registration of the entity metadata, you can proceed with the submission of the registration module following the instructions on [[ProcedureAdesione#Register an entity]]
#*Check certificate on port  443 does not have a Weak key (Debian)
 
#Login page:
 
#*Check it is protected by a CA recognized by the browser
 
  
===Access Test===
+
==Riferimenti/Links==
Log in onto your resource by using https://idp311.idem.garr.it/ and after you verified you can see the required attributes, inform about the time you accessed it via email  [mailto:idem-help@garr.it idem-help@garr.it]
+
[1] [[Media:IDEM METADATA PROFILE V1.1-ita-eng.pdf|IDEM METADATA PROFILE V1.1]]

Versione attuale delle 11:00, 2 lug 2025

Registrazione IdP

Prima di entrare nella Federazione IDEM di produzione è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Lo strumento per registrare i metadata si chiama IDEM Registry.

La prima registrazione di un'entità non richiede "Log in".

In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.

Pre-requisiti:

  1. Aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM.
  2. L'IdP deve rilasciare i seguenti attributi al SP IDEM Registry (entityID="https://registry.idem.garr.it/shibboleth"):
    • email
    • eduPersonPrincipalName
    • eduPersonTargetedID
    • givenName
    • surname
  3. In caso di mancato rilascio attributi consultare la sezione ComeRilasciareAttributiShibv4 e RilascioAttributi.

Workflow

Ecco gli step a cura del gestore dell'IdP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <idem-help@garr.it> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
  3. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione tramite il ticket aperto al punto 2.
  4. Da questo momento è possibile fare login su IDEM Entity Registry premendo su Login via IDEM, selezionare e raggiungere il proprio istituto/IdP e accedere inserendo le proprie credenziali utente:
    • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
  5. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
  6. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

L'Identity Provider deve rispettare i requisiti indicati nel Profilo Tecnico Operativo.

Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Modulo di registrazione

Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in ProcedureAdesione#Registrazione entit.C3.A0

Registrazione SP

Workflow

Prerequisito:

  • Aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Prima di inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Ecco gli step a cura del gestore del SP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Aprire un ticket per la registrazione dell'entità inviando un'email all'indirizzo <idem-help@garr.it> indicando l'avvenuto inserimento dell'entità nell'IDEM Entity Registry e l'entityID.
  3. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

Il Service Provider deve rispettare i requisiti indicati nel Profilo Tecnico Operativo.

Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

Modulo di registrazione

Una volta avviata la registrazione tecnica dell'entità, sarà possibile procedere con l'invio del modulo di registrazione come indicato in ProcedureAdesione#Registrazione entit.C3.A0

SP registration

Workflow

Prerequisites:

In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.

Here are the steps to be followed by the SP admin:

  1. Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works).
  2. Open a ticket for the entity registration by sending an email to <idem-help@garr.it> with the entityID of the entity.
  3. Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.

IMPORTANT

Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on ProcedureAdesione#Register a service.

If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.

Requirements

Next table includes metadata requirements to be fullfilled by SP admin as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):

Requirement short description Ref. Note
KeyDescriptor must include an element <md:KeyDescriptor> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit. IDEM Metadata Profle [1], sect. 6.1
Organization must include an element <md:Organization> with related sub-elements:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.2
mdui must include an element <mdui:UIInfo> with related sub-elements:
  • <mdui:DisplayName>: same as <md:OrganizationDisplayName>;
  • <mdui:Description>: example to be used: "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: a page for users information;
  • <mdui:PrivacyStatementURL>: a page containing the privacy policy about user data;
  • <mdui:Logo>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.


All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.3.2
AttributeConsumingService must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  • <md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  • <md:RequestedAttribute> with isRequired="false" if the attributes is optional
 IDEM Metadata Profile [1], sect. 6.4
ContactPerson must include at least an element <md:ContactPerson> with contactType="technical" containing an element <md:EmailAddress> in which the email address includes the prefix "mailto:", i.e. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sect. 6.5

Please refer to Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

Metadata completeness will speed up the evaluation phase and the joing process.

The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.

In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.

Registration module

Once you have completed the technical registration of the entity metadata, you can proceed with the submission of the registration module following the instructions on ProcedureAdesione#Register an entity

Riferimenti/Links

[1] IDEM METADATA PROFILE V1.1

Estratto da "https://wiki.idem.garr.it/w/index.php?title=RegistraEntita&oldid=13871"