Differenze tra le versioni di "Gruppo di Lavoro OIDC"
Riga 217: | Riga 217: | ||
* Angelo Rossini | * Angelo Rossini | ||
* Stefano Zanelli | * Stefano Zanelli | ||
+ | |||
+ | --------------------------------------- | ||
+ | |||
+ | '''30 Gennaio 2020''', ore 15:00-16:37 | ||
+ | |||
+ | *argomenti: OIDC Connect Federation 1.0, introduzione. Bilancio delle esperienze di gruppo, conclusione profilo OIDC ideale. | ||
+ | '''Presenti''' | ||
+ | * Maurizio Festi | ||
+ | * Angelo Rossini | ||
+ | * Giuseppe De Marco | ||
+ | * Michele D’Amico | ||
+ | * Antonio Florio | ||
+ | * Nunzio Napolitano |
Versione delle 11:31, 31 gen 2020
Il gruppo di lavoro OIDC (OpenID Connect) si occupa di analizzare ed esemplificare l'adozione di OIDC in contesto federativo.
Per partecipare inviate una email ai coordinatori del gruppo.
Indice
Componenti
Questo gruppo di Lavoro si avvarrà di un numero minimo di 5 componenti.
Giuseppe De Marco (coordinatore) | giuseppe.demarco@unical.it |
Maurizio Festi (coordinatore) | maurizio.festi@unitn.it |
Michele D'Amico | michele.damico@agid.gov.it |
Marco Pirovano | marco.pirovano@unibocconi.it |
Angelo Rossini | a.rossini@cineca.it |
Dario Pilori | d.pilori@inrim.it |
Antonio Florio | florio@agid.gov.it |
Stefano Zanelli | stefano.zanelli@unitn.it |
Davide Vaghetti | davide.vaghetti@garr.it |
Nunzio Napolitano | nunzio.napolitano@uniparthenope.it |
Obiettivi
Il gruppo vuole analizzare i casi di uso e le tecniche federative al di sopra di OpenID Connect Federation, avvalendosi della partecipazione degli operatori di servizio delle federazioni, tecnologi e sviluppatori esperti del settore delle IAM (Identity and Access Management). Gli obiettivi possono essere riassunti come segue:
1.Analizzare il draft riguardante OpenID Connect in contesto Federativo;
2.Sviluppare casi di uso e scenari federativi, considerando le innovazioni apportate da:
- Web Finger, dynamic discovery e dynamic client registration, Trust Chains, Federation API
- Opzionale: individuare soluzioni innovative per la riqualifica dei processi di registrazione e validazione delle entità, individuare casi di uso per gli operatori di servizio (tools, signing services...)
3. Valutare l'adozione di soluzioni Proxy/Gateway per l'interfacciamento ed ibridazione di infrastrutture SAML2/OIDC. Task opzionali:
- Considerare l'adozione di SaToSa;
- Sviluppare o implementare alcuni esempi al di sopra delle librerie ufficiali jwtconnect.io, esempi di implementazioni certificate:
- https://github.com/rohe/oidc-op
- https://github.com/openid/JWTConnect-Python-OidcRP
- https://github.com/peppelinux/django-oidc-op
Opzionale: Tracciare lo stato di sviluppo e la fattibilità implementativa di Shibboleth OIDC extension per ShibIdP
- considerare ulteriori alternative, certificabili, in PHP, Javascript e altri linguaggi.
4. Individuare le soluzioni applicative usabili all'interno della federazione, applicando la OpenID Conformance test suite. Produrre un esempio di esecuzione degli unit test.
I primi due obiettivi sono di comune interesse per il gruppo di lavoro. L'obiettivo numero tre ed il numero quattro possono considerare dei sottogruppi di almeno due partecipanti.
Modalità operative
I lavori del gruppo sono stati suddivisi in tre momenti:
Brainstorming, raccolta delle esperienze e delle esigenze individuali relative a oAuth2 e OIDC. Analisi di una sessione ordinaria di autenticazione OIDC.
- Redarre la tabella dei profili di implementazione (Vedi "Risorse utili" -> "OIDC-OAuth Deployment Profiles").
- Produrre documentazione su un caso d'uso tipico OIDC
- Produrre documentazione sull'uso degli unit test RP e OP
Implementazione in contesto federativo sulla base del draft oidc federation 1.0.
- analisi di casi di uso in contesto federativo.
- ricerca e valutazione di software idonei allo scopo (Esempio fedservice)
Analisi delle problematiche e del work in progress relativo al contesto R&S per le federazioni basate su OIDC.
- analisi dei lavori di altri gruppi OIDC (vedi risorse utili)
- analisi del work in progress
Ogni momento descritto ai punti precedenti considera una finestra lavorativa pari a circa 30 giorni, a questa seguono 10 giorni per la validazione e verifica e conseguente redazione dei risultati raggiunti.
Durata
6 mesi a partire dalla data di inizio ufficiale che è 7 Novembre 2019.
Riunioni
Quando: Il gruppo di lavoro si riunisce in video conferenza ogni 2 settimane, di Giovedì dalle 15:00 alle 16:00, su Google Meet.
Strumenti e link utili
- repository del codice: github.
- editing condiviso documenti: google docs, github.
- canali di comunicazione: email, telegram, slack.
Documenti
- OpenID Connect Core Specifications
- OpenID Connect Discovery 1.0
- OpenID Connect Dynamic Client Registration
- OIDC Federation draft 09
- WebFinger
- JWT supported claims
- JSON Web Encryption (JWE) (RFC 7516)
- JSON Web Key (JWK) (RFC 7517)
- JSON Web Token (JWT) (RFC 7519)
- JSON Web Token (JWT) Profile For OAuth 2.0 Client Authentication and Authorization Grants (RFC 7523)
- OAuth 2.0 Threat Model and Security Considerations (RFC6819)
- Assertion Framework for OAuth 2.0 Client Authentication and Authorization Grants (RFC 7521)
- Security Assertion Markup Language (SAML) 2.0 Profile for OAuth 2.0 Client Authentication and Authorization Grants (RFC 7522)
Risorse utili
Altri gruppi di lavoro:
Risorse utili e documentazione prodotta da altri gruppi di lavoro:
- OIDC-OAuth Deployment Profiles
- Repository oidc-edu-wg
- WLCG Token schema slides (Hannah Short)
- R&E id_token and userinfo endpoint claims
- WLCG Common JWT Profiles
- [refeds OIDC eduPerson and custom claims]
- REFEDs OIDCre - White Paper for implementation mappings between SAML 2.0 and OpenID Connect in Research and Education
- AARC-G025 Guidelines for expressing affiliation information
Riunioni
Per partecipare fai clic su questo link: https://meet.google.com/ind-ikpq-igg Per partecipare telefonicamente, componi +1 484-424-4579 e digita il PIN: 594 908 435#
Verbali di riunione: https://drive.google.com/drive/folders/1SeHS1obY7DREXoNqjOlzsA8jdOIEh27R?usp=sharing
7 Novembre 2019, ore 15:00-16:00
- argomenti: presentazioni, esperienze dei partecipanti connesse ad AAI, presentazione degli obiettivi.
- invitati: componenti del gruppo di lavoro.
Presenti
- Giuseppe De Marco
- Maurizio Festi
- Michele D'Amico
- Marco Pirovano
- Dario Pilori
- Antonio Florio
- Stefano Zanelli
21 Novembre 2019, ore 15:00-16:00
- argomenti: definizione di un profilo applicativo OIDC ideale, analisi di PKCE e Introspection endpoint, istruzioni sui gruppi di lavoro.
Presenti
- Giuseppe De Marco
- Maurizio Festi
- Michele D'Amico
- Angelo Rossini
- Davide Vaghetti
- Stefano Zanelli
5 Dicembre 2019, ore 15:00-16:00
- argomenti: avvio lavori sotto gruppi, discussione casi di uso implementativi al di sopra di "GÉANT OIDC-Plugin for Shibboleth IdP 1.0.0". Discussione stato di avanzamento di django-oidc-op. Modalità operative per l'esecuzione degli unit tests.
Presenti
- Giuseppe De Marco
- Maurizio Festi
- Angelo Rossini
- Davide Vaghetti
- Marco Pirovano (uscita anticipata)
19 Dicembre 2019, ore 15:00-16:17
- argomenti: stato di avanzamento setup e sviluppi shibboleth OIDC extension e oidcendpoint.
Presenti
- Giuseppe De Marco
- Maurizio Festi
- Angelo Rossini
- Stefano Zanelli
- Marco Pirovano
- Nunzio Napolitano
2 Gennaio 2020, ore 15:00-16:45
- argomenti: unit tests, custom scopes, analisi attributi spid, analisi casi d'uso, riepilogo obiettivi e precedenti riunioni.
Presenti
- Giuseppe De Marco
- Michele D'Amico
16 Gennaio 2020, ore 15:00-16:45
- argomenti: Setup Shibboleth OIDC extension, OIDC Metadata Entity Extension
Presenti
- Giuseppe De Marco
- Maurizio Festi
- Angelo Rossini
- Stefano Zanelli
30 Gennaio 2020, ore 15:00-16:37
- argomenti: OIDC Connect Federation 1.0, introduzione. Bilancio delle esperienze di gruppo, conclusione profilo OIDC ideale.
Presenti
- Maurizio Festi
- Angelo Rossini
- Giuseppe De Marco
- Michele D’Amico
- Antonio Florio
- Nunzio Napolitano