Differenze tra le versioni di "RequisitiEntita"
| Riga 7: | Riga 7: | ||
<br /> | <br /> | ||
====IDP-MD1 - Scope==== | ====IDP-MD1 - Scope==== | ||
| − | <code><shibmd:Scope></code> deve assumere valori | + | <code><shibmd:Scope></code> deve assumere valori disponibili per l'organizzazione. Verifica eseguita con [https://www.whois.com/whois WHOIS]. |
| Riga 180: | Riga 180: | ||
<br /> | <br /> | ||
===Federation (IDP-FED)=== | ===Federation (IDP-FED)=== | ||
| − | + | ||
| − | ====IDP-FED1 - Data==== | + | ==== IDP-FED1 - Data ==== |
un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni: | un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni: | ||
| Riga 222: | Riga 222: | ||
*il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti | *il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti | ||
| − | [[#top|[TOP]]] | + | [[#top|[TOP]]]<br /> |
| − | <br /> | ||
==Service Provider== | ==Service Provider== | ||
<br /> | <br /> | ||
| Riga 292: | Riga 291: | ||
<br /> | <br /> | ||
====SP-MD7 - RequestedAttribute==== | ====SP-MD7 - RequestedAttribute==== | ||
| − | <code><md:RequestedAttribute></code> devono essere valorizzati <u>almeno | + | <code><md:RequestedAttribute></code> devono essere valorizzati <u>almeno per tutti gli attributi necessari</u> all'accesso e all'utilizzo della risorsa federata. |
| Riga 349: | Riga 348: | ||
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson> | <ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| + | |||
| + | [[#top|[TOP]]] | ||
| + | |||
| + | <br /> | ||
| + | |||
| + | === Federation (SP-FED) === | ||
| + | <br /> | ||
| + | ====SP-FED1 - Data==== | ||
| + | un Service Provider in IDEM riceve automaticamente le seguenti informazioni: | ||
| + | |||
| + | #Un identificativo univoco persistente e targhettizzato dell'utente: | ||
| + | #*<code>persistent-id</code> '''(persistent NameID)''' (o ''eduPersonTargetedID'' se non è possibile rilasciarlo) | ||
| + | #L'affiliazione dell'utente con scopo: | ||
| + | #*<code>affiliation</code> '''(eduPersonScopedAffiliation)''' | ||
| + | |||
| + | ''Esempio con [https://sp.aai-test.garr.it/secure sp.aai-test.garr.it]:''<syntaxhighlight lang="xml"> | ||
| + | affiliation = member@aai-test.garr.it;staff@aai-test.garr.it | ||
| + | persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU= | ||
| + | |||
| + | </syntaxhighlight> | ||
| + | |||
| + | |||
| + | <u>Ogni informazione aggiuntiva richiesta</u> per l'utilizzo della/e risorsa/e protetta/e dal Service Provider <u>va motivata adeguatamente</u> a <code>idem-help@garr.it</code>. | ||
| + | |||
| + | [[#top|[TOP]]] | ||
| + | <br /> | ||
| + | ====SP-FED2 - Info Page==== | ||
| + | La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere: | ||
| + | |||
| + | #la descrizione del servizio reso | ||
| + | #il pubblico a cui si rivolge il servizio reso | ||
| + | #la denominazione dell'organizzazione che la condivide | ||
| + | #indirizzo di posta elettronica per il supporto agli utenti e ai gestori di Identity Provider | ||
| + | #un riferimento alla Privacy Policy adottata dal servizio | ||
| + | |||
| + | [[#top|[TOP]]] | ||
| + | <br /> | ||
| + | |||
| + | ====SP-FED3 - Privacy Page==== | ||
| + | La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere le adeguate informazioni circa la Privacy seguita dal servizio. | ||
| + | |||
| + | A titolo esemplificativo, IDEM, suggerisce la seguente pagina: https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers | ||
| + | |||
| + | [[#top|[TOP]]] | ||
| + | |||
| + | <br /> | ||
| + | |||
| + | ====SP-FED4 - Login Page / Discovery Service==== | ||
| + | La login di una risorsa federata protetta da un Service Provider federato in IDEM deve contenere: | ||
| + | |||
| + | *il logo di IDEM ([[:File:IDEM logo big.png|Logo IDEM]]) [e il logo di eduGAIN ([https://edugain.org/wp-content/uploads/2018/02/eduGAIN.jpg JPG] | [https://edugain.org/wp-content/uploads/2018/02/eduGAIN.png PNG]) se vi ha aderito] | ||
| + | *un elenco degli IdP in IDEM [e in eduGAIN se vi ha aderito] | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
Versione delle 14:45, 19 apr 2021
Indice
- 1 Identity Provider
- 1.1 Metadata (IDP-MD)
- 1.1.1 IDP-MD1 - Scope
- 1.1.2 IDP-MD2 - DisplayName
- 1.1.3 IDP-MD3 - Description
- 1.1.4 IDP-MD4 - InformationURL
- 1.1.5 IDP-MD5 - PrivacyStatementURL
- 1.1.6 IDP-MD6 - Logo
- 1.1.7 IDP-MD7 - OrganizationName
- 1.1.8 IDP-MD8 - OrganizationDisplayName
- 1.1.9 IDP-MD9 - OrganizationURL
- 1.1.10 IDP-MD10 - ContactPerson
- 1.1.11 IDP-MD11 - validUntil
- 1.1.12 IDP-MD12 - endpoint
- 1.2 Security (SEC)
- 1.3 Federation (IDP-FED)
- 1.1 Metadata (IDP-MD)
- 2 Service Provider
- 2.1 Metadata (SP-MD)
- 2.1.1 SP-MD1 - DisplayName
- 2.1.2 SP-MD2 - Description
- 2.1.3 SP-MD4 - InformationURL
- 2.1.4 SP-MD5 - PrivacyStatementURL
- 2.1.5 SP-MD6 - Logo
- 2.1.6 SP-MD7 - RequestedAttribute
- 2.1.7 SP-MD7 - OrganizationName
- 2.1.8 SP-MD8 - OrganizationDisplayName
- 2.1.9 SP-MD9 - OrganizationURL
- 2.1.10 SP-MD10 - ContactPerson
- 2.2 Federation (SP-FED)
- 2.1 Metadata (SP-MD)
Identity Provider
I requisiti indicati devono essere soddisfatti al fine di accedere alla Federazione Italiana delle Identità Digitali IDEM GARR AAI.
Metadata (IDP-MD)
IDP-MD1 - Scope
<shibmd:Scope> deve assumere valori disponibili per l'organizzazione. Verifica eseguita con WHOIS.
Esempio:
<shibmd:Scope>example.org</shibmd:Scope>
IDP-MD2 - DisplayName
<mdui:DisplayName> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>
IDP-MD3 - Description
<mdui:Description> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description>
<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>
IDP-MD4 - InformationURL
<mdui:InformationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>
IDP-MD5 - PrivacyStatementURL
<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>
IDP-MD6 - Logo
<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati:
- 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
- 80x60 pixel (o maggiore se rispetta l'aspect-ratio)
Esempio:
<mdui:Logo width="16" height="16">https://...favicon_16x16.png...</mdui:Logo>
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>
IDP-MD7 - OrganizationName
<md:OrganizationName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationName xml:lang="en">Example University</md:OrganizationName>
<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>
IDP-MD8 - OrganizationDisplayName
<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>
IDP-MD9 - OrganizationURL
<md:OrganizationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>
IDP-MD10 - ContactPerson
<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list)
Esempio:
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>
IDP-MD11 - validUntil
validUntil deve essere rimosso assieme al suo valore in quanto sarà la Federazione a stabilirlo
IDP-MD12 - endpoint
Tutti i seguenti endpoint nei metadata devono iniziare con https:// ed avere il giusto Binding=:
<ArtifactResolutionService><SingleLogoutService><SingleSignOnService><AttributeService>(solo se esiste<AttributeAuthorityDescriptor>)
Esempio:
<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://..." index="1"/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
Security (SEC)
SEC1 - Grado di robustezza SSL
il certificato SSL sulla porta 443 deve riportare almeno un grado B sullo strumento: https://www.ssllabs.com/ssltest/
e deve essere privo di "chain issue" (errori sulla catena della CA)
SEC2 - Chain issue
il certificato SSL sulla porta 443 deve essere privo di "chain issue" (errori sulla catena della CA)
SEC3 - Debian Weak Key
il certificato SSL sulla porta 443 deve essere privo di Debian Weak Keys
Federation (IDP-FED)
IDP-FED1 - Data
un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni:
- Un identificativo univoco persistente e targhettizzato per i suoi utenti:
persistent-id(persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
- L'affiliazione dell'utente con scopo:
affiliation(eduPersonScopedAffiliation)
Esempio con sp.aai-test.garr.it:
affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=
IDP-FED2 - Info Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere:
- indirizzo di posta elettronica per il supporto agli utenti in merito a IDEM e alle credenziali di autenticazione
- La Privacy Policy per l’utente contenente gli attributi che potrebbe rilasciare alle risorse federate
- (fortemente raccomandato) Logo di IDEM e link al Sito di IDEM
IDP-FED3 - Privacy Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere le adeguate informazioni circa la Privacy dei suoi utenti.
A titolo esemplificativo, IDEM, fornisce la seguente pagina: InformativaDatiPersonaliIdP
IDP-FED4 - Login Page
La pagina di login di un Identity Provider federato in IDEM deve contenere:
- il riferimento alla pagina Informativa inserita in
<mdui:InformationURL> - il riferimento alla pagina di Privacy Policy inserita in
<mdui:PrivacyStatementURL> - il logo di IDEM (Logo IDEM)
- il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti
Service Provider
Metadata (SP-MD)
SP-MD1 - DisplayName
<mdui:DisplayName> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese e non può contenere il valore "IDEM" riservato al Servizio.
Esempio:
<mdui:DisplayName xml:lang="en">Resource provided by Example Organization</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Risorsa erogata da Organizzazione di Esempio</mdui:DisplayName>
SP-MD2 - Description
<mdui:Description> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:Description xml:lang="en">The resource allow you to ...</mdui:Description>
<mdui:Description xml:lang="it">La risorsa ti permette di ...</mdui:Description>
SP-MD4 - InformationURL
<mdui:InformationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>
SP-MD5 - PrivacyStatementURL
<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>
SP-MD6 - Logo
<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati:
- 80x60 pixel (o maggiore se rispetta l'aspect-ratio)
Esempio:
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>
SP-MD7 - RequestedAttribute
<md:RequestedAttribute> devono essere valorizzati almeno per tutti gli attributi necessari all'accesso e all'utilizzo della risorsa federata.
Esempio:
<md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
<md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
SP-MD7 - OrganizationName
<md:OrganizationName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationName xml:lang="en">Example Organization</md:OrganizationName>
<md:OrganizationName xml:lang="it">Organizzazione di Esempio</md:OrganizationName>
SP-MD8 - OrganizationDisplayName
<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationDisplayName xml:lang="en">Resource provided by Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Risorsa fornita da Università di Esempio</md:OrganizationDisplayName>
SP-MD9 - OrganizationURL
<md:OrganizationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>
SP-MD10 - ContactPerson
<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list)
Esempio:
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>
Federation (SP-FED)
SP-FED1 - Data
un Service Provider in IDEM riceve automaticamente le seguenti informazioni:
- Un identificativo univoco persistente e targhettizzato dell'utente:
persistent-id(persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
- L'affiliazione dell'utente con scopo:
affiliation(eduPersonScopedAffiliation)
Esempio con sp.aai-test.garr.it:
affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=
Ogni informazione aggiuntiva richiesta per l'utilizzo della/e risorsa/e protetta/e dal Service Provider va motivata adeguatamente a idem-help@garr.it.
SP-FED2 - Info Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere:
- la descrizione del servizio reso
- il pubblico a cui si rivolge il servizio reso
- la denominazione dell'organizzazione che la condivide
- indirizzo di posta elettronica per il supporto agli utenti e ai gestori di Identity Provider
- un riferimento alla Privacy Policy adottata dal servizio
SP-FED3 - Privacy Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere le adeguate informazioni circa la Privacy seguita dal servizio.
A titolo esemplificativo, IDEM, suggerisce la seguente pagina: https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers
SP-FED4 - Login Page / Discovery Service
La login di una risorsa federata protetta da un Service Provider federato in IDEM deve contenere:
