Differenze tra le versioni di "AdesioneProfilidiGaranziaIDEM"

Versione attuale delle 09:50, 21 ott 2025

L'affidabilità delle identità digitali è misurata principalmente sulla base di due parametri: attendibilità dei processi di identificazione e robustezza dei mezzi di autenticazione ad essa associati.

La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf.

Indice

1 Processo di adesione e attivazione dei Profili di Garanzia IDEM
2 Attributo assurance e profili IDEM
3 Organizzazioni Attive
4 FAQ
- 4.1 Perchè ottengo NoAuthnContext?
- 4.2 Perchè l'attributo di assurance non viene rilasciato?
5 Riferimenti

Processo di adesione e attivazione dei Profili di Garanzia IDEM

L'adesione e l'attivazione dei Profili di Garanzia IDEM si compone dei 5 passi indicati di seguito.

1. Dichiarazione di conformità

Le organizzazioni che intendano avvalersi dei profili di garanzia IDEM dichiarano la propria conformità per ciascun profilo, compilando i moduli che seguono (a seconda dei profili che si intende supportare), firmandoli digitalmente ed inviandoli al Servizio IDEM (idem-help@garr.it).

Le firme digitali accettate sono:

firma elettronica avanzata
firma elettronica qualificata
firma digitale

Per dettagli sulla firma digitale vedi Decreto Legislativo 7 marzo 2005, n. 82 Art. 20 Validità ed efficacia probatoria dei documenti informatici.

Il servizio IDEM annullerà per inattività le Dichiarazioni di conformità qualora, entro 1 mese dalla ricezione, non abbia mai fatto seguito la Richiesta di attivazione dei profili di garanzia sul proprio Identity Provider.

2. Verifica profili IDEM-P0 / IDEM-P1

Le organizzazioni che intendono abilitare i Profili IDEM-P0 e/o IDEM-P1 per le proprie identità digitali devono:

Eseguire l'autenticazione di un utente con profilo IDEM-P0 e/o IDEM-P1 su https://sp-demo.idem.garr.it/secure
Verificare che i valori dell'attributo di assurance siano corretti per ciascun profilo
Salvare la pagina HTML che riporta tutti gli attributi rilasciati ed il loro valore per ciascun profilo

3. Verifica profili IDEM-P2 / IDEM-P3

Le organizzazioni che intendono abilitare i Profili IDEM-P2 e/o IDEM-P3 per le proprie identità digitali devono:

Eseguire l'autenticazione di un utente con profilo IDEM-P2 e/o IDEM-P3 su https://sp-demo.idem.garr.it/secure-mfa
Verificare che i valori dell'attributo di assurance siano corretti per ciascun profilo
Salvare la pagina HTML che riporta tutti gli attributi rilasciati ed il loro valore per ciascun profilo

4. Richiesta attivazione profili

A verifiche ultimate, le organizzazioni possono procedere con la richiesta di attivazione dei profili preparando ed inviando una mail a idem-help@garr.it come di seguito indicato:

Oggetto:

<ENTITY-ID> - Richiesta attivazione profili di garanzia IDEM

Corpo:

L'organizzazione <NOME_ORGANIZZAZIONE> richiede l'attivazione dei profili <ELENCO-PROFILI-IDEM-CONFIGURATI>
per il proprio Identity Provider (<ENTITY-ID>) dopo aver verificato il rispetto dei requisiti necessari.

In allegato il risultato delle verifiche in formato HTML.

Cordiali Saluti,
<RTM_o_ROM>

Allegato:

file compresso contenente le pagine HTML delle verifiche effettuate sui Service Provider di test:

IDEM-P0.html
IDEM-P1.html
IDEM-P2.html
IDEM-P3.html

5. Attesa abilitazione dei profili da parte del Servizio IDEM

Una volta ricevuti le Dichiarazioni di Conformità e la Richiesta di attivazione dei Profili di Garanzia, il Servizio IDEM procederà alla validazione dei risultati inviati, in particolare verificherà che l'identity provider dell'organizzazione sia in grado di trasmettere i valori dell'attributo assurance corrispondenti ai profili richiesti.

Terminata la validazione, il Servizio comunicherà l'esito all'organizzazione e, in caso di successo, aggiornerà i metadata dell'identity provider aggiungendo i profili dichiarati nell'EntityAttribute assurance-certification come previsto da SAML V2.0 Identity Assurance Profiles Version 1.0, ad esempio:

<mdattr:EntityAttributes>
    <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml:AttributeValue>https://idem.garr.it/af/IDEM-P0</saml:AttributeValue>
        <saml:AttributeValue>https://idem.garr.it/af/IDEM-P1</saml:AttributeValue>
    </saml:Attribute>

Quanto segue è una brevissima sintesi dei valori di assurance previsti dai profili di garanzia. Per una trattazione completa rimandiamo al documento ufficiale dei profili di garanzia IDEM ed in particolare alle appendici.

Attributo assurance e profili IDEM

I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:

identificatori, componente ID;
verifica dell'identità e gestione delle credenziali, componente IAP;
qualità degli attributi, componente ATP;

Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasmessi tramite l'attributo multiplo assurance, ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo assurance sono espressi tramite URL.

I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del [RAF] in modo da consentire la più totale interoperabilità.

La tabella che segue riporta una sintesi dei requisiti per ogni parametro, inclusa la robustezza dell'autenticazione.

	IDEM-P0	IDEM-P1	IDEM-P2	IDEM-P3
Identificatori	Persona fisica, identificatori univoci	Persona fisica, identificatori univoci	Persona fisica, identificatori univoci	Persona fisica, identificatori univoci
Verifica dell'identità	verifica del contatto	verifica del documento d’identità	verifica del documento d’identità e altre fonti	verifica con CIE o simili/superiori
Qualità degli attributi	-	affiliazione aggiornata entro un mese	affiliazione aggiornata entro un giorno	affiliazione aggiornata entro un giorno
Autenticazione	Singolo fattore	Singolo fattore	Più fattori	Più fattori

La tabella che segue riporta i valori che l'attributo assurance deve assumere per ogni profilo.


Valori dell'attributo assurance	IDEM-P0	IDEM-P1	IDEM-P2	IDEM-P3
https://refeds.org/assurance	x	x	x	x
https://refeds.org/assurance/ID/unique	x	x	x	x
https://refeds.org/assurance/ID/eppn-unique-no-reassign	x	x	x	x
https://refeds.org/assurance/IAP/low	x	x	x	x
https://refeds.org/assurance/IAP/medium		x	x	x
https://refeds.org/assurance/IAP/high			x	x
https://refeds.org/assurance/ATP/ePA-1m		x*	x*	x*
https://refeds.org/assurance/ATP/ePA-1d			x*	x*
https://idem.garr.it/af/IDEM-P0	x	x	x	x
https://idem.garr.it/af/IDEM-P1		x	x	x
https://idem.garr.it/af/IDEM-P2			x	x
https://idem.garr.it/af/IDEM-P3				x
https://refeds.org/profile/cappuccino	x	x	x	x
https://refeds.org/profile/espresso		x	x	x

* da valorizzare solo nel caso in cui sia trasmesso un attributo di affiliazione (eduPersonAffiliation, eduPersonScopedAffiliation).

Ad esempio nel caso di un'identità che corrisponda al profilo IDEM-P1, la SAMLResponse dell'Identity Provider contiene i seguenti valori per la parte di assurance:

[..]
<saml:AttributeStatement>
   <saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.11" FriendlyName="eduPersonAssurance">
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/eppn-unique-no-reassign</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/local-enterprise</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ATP/ePA-1m</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P0</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P1</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/profile/cappuccino</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/profile/espresso</saml:AttributeValue>
   </saml:Attribute>
</saml:AttributeStatement>
[..]

La tabella che segue riporta invece i metodi di autenticazione che devono essere implementati per ogni profilo.

Metodi di autenticazione	IDEM-P0	IDEM-P1	IDEM-P2	IDEM-P3
REFEDS Single Factor Authentication Profile [REFEDS-SFA]	x	x	x	x
REFEDS Multi Factor Authentication Profile [REFEDS-MFA]			x	x

Organizzazioni Attive

Organizzazione	entityID	Profili Attivi
Università Telematica Internazionale UNINETTUNO	https://idp.uninettunouniversity.net/idp/shibboleth	IDEM-P0, IDEM-P1, IDEM-P2
Università degli Studi di Milano	https://idp.unimi.it/idp/shibboleth	IDEM-P0, IDEM-P1

FAQ

Perchè ottengo NoAuthnContext?

Tutti i Service Provider, in ambito accademico/di ricerca, che richiedono l'autenticazione multi-fattore seguono il REFEDS MFA Profile e vogliono che la SAML Responce inviata dall'Identity Provider contenga:

<saml:Assertion>
  <saml:AuthnStatement ...>
    <saml:AuthnContext>
      <saml:AuthnContextClassRef>
        https://refeds.org/profile/mfa
      </saml:AuthnContextClassRef>
    </saml:AuthnContext>
  </saml:AuthnStatement>
</saml:Assertion>

Se il giusto contesto non viene trovato, allora il Service Provider risponde con l'errore:

Status: urn:oasis:names:tc:SAML:2.0:status:Requester
Sub-Status: urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext
Message: An error occurred.

Perchè l'attributo di assurance non viene rilasciato?

Il mancato rilascio dell'attributo di assurance può dipendere dalla non corretta configurazione dei filtri sul proprio Identity Provider.

Verificare la configurazione del proprio IdP con IDEM Conf (https://conf.idem.garr.it/).

Riferimenti

[eIDAS-LoA]

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R1502

[ITU-T X.1254 09/2020]

https://www.itu.int/rec/T-REC-X.1254

[NIST 800-63B]

https://doi.org/10.6028/NIST.SP.800-63b

[IDEM-Assurance]

File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf

[RAF] REFEDS Assurance Framework

https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0

[REFEDS-SFA] REFEDS SFA Profile

https://doi.org/10.5281/zenodo.5113499

[REFEDS-MFA] REFEDS MFA Profile

https://doi.org/10.5281/zenodo.5113296

[SAML-IAP] SAML V2.0 Identity Assurance Profiles Version 1.0

https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-assurance-profile.html

Linee Guida per i Profili di Garanzia IDEM

https://wiki.idem.garr.it/w/images/5/50/LineeGuidaProfiliGaranziaIdem.pdf

@@ Riga 3: / Riga 3: @@
 La Federazione IDEM ha elaborato il proprio standard di garanzia dell'affidabilità delle identità digitali basato sul REFEDS Assurance Framework [RAF], che è lo standard maggiormente implementato e diffuso a livello internazionale per i servizi federati nell'ambito della ricerca e dell'istruzione. Lo standard della Federazione IDEM è stato approvato dall'Assemblea dei Membri il 24 Maggio 2023, vedi [[:File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf|File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf]].
-I profili di garanzia della Federazione IDEM possono essere espressi dalle organizzazioni che hanno dichiarato la conformità ad uno o più profili seguendo
+==Processo di adesione e attivazione dei Profili di Garanzia IDEM==
+L'adesione e l'attivazione dei Profili di Garanzia IDEM si compone dei 5 passi indicati di seguito.
-===Dichiarazione di conformità===
+===1. Dichiarazione di conformità===
-Le organizzazioni che intendano avvalersi dei profili di garanzia dichiarano la propria conformità per ciascun profilo, compilando i moduli che seguono (a seconda dei profili che si intende supportare), firmandoli digitalmente ed inviandoli al supporto del servizio IDEM [mailto:Idem-help@garr.it idem-help@garr.it].
+Le organizzazioni che intendano avvalersi dei profili di garanzia IDEM dichiarano la propria conformità per ciascun profilo, compilando i moduli che seguono (a seconda dei profili che si intende supportare), firmandoli digitalmente ed inviandoli al Servizio IDEM ([mailto:Idem-help@garr.it idem-help@garr.it]).
 *[[:File:Dichiarazione IDEM-P0 v1.pdf|Dichiarazione di conformità per il profilo IDEM-P0]]
@@ Riga 19: / Riga 20: @@
 *firma digitale
-Per dettagli sulla firma digitale vedi '''[https://docs.italia.it/italia/piano-triennale-ict/codice-amministrazione-digitale-docs/it/stabile/_rst/capo_II-sezione_I-articolo_20.html#:~:text=I%20Documento%20informatico-,Art.%2020%20Validit%C3%A0%20ed%20efficacia%20probatoria%20dei%20documenti%20informatici,-1.%20COMMA%20ABROGATO Decreto Legislativo 7 marzo 2005, n. 82 Art. 20 Validità ed efficacia probatoria dei documenti informatici].
+Per dettagli sulla firma digitale vedi '''[https://docs.italia.it/italia/piano-triennale-ict/codice-amministrazione-digitale-docs/it/stabile/_rst/capo_II-sezione_I-articolo_20.html#:~:text=I%20Documento%20informatico-,Art.%2020%20Validit%C3%A0%20ed%20efficacia%20probatoria%20dei%20documenti%20informatici,-1.%20COMMA%20ABROGATO Decreto Legislativo 7 marzo 2005, n. 82 Art. 20 Validità ed efficacia probatoria dei documenti informatici].'''
+Il servizio IDEM annullerà ''per inattività'' le Dichiarazioni di conformità qualora, entro 1 mese dalla ricezione, non abbia mai fatto seguito la Richiesta di attivazione dei profili di garanzia sul proprio Identity Provider.
-Una volta ricevuti i moduli il Servizio IDEM procederà alla verifica dei requisiti tecnici, in particolare verificherà che l'identity provider dell'organizzazione sia in grado di trasmettere i valori dell'attributo assurance corrispondenti al profilo sottoscritto e verificherà l'eventuale disponibilità e funzionamento dell'autenticazione multifattore per i profili che lo prevedono.
+===2. Verifica profili IDEM-P0 / IDEM-P1===
+Le organizzazioni che intendono abilitare i Profili IDEM-P0 e/o IDEM-P1 per le proprie identità digitali devono:
-Terminate le veririche, il Servizio comunicherà l'esito all'organizzazione e in caso di successo aggiornerà i metadata dell'identity provider aggiungendo i profili dichiarati nell'EntityAttribute assurance-certification come previsto da SAML V2.0 Identity Assurance Profiles Version 1.0, ad esempio:  <syntaxhighlight lang="xml">
+#Eseguire l'autenticazione di un utente con profilo IDEM-P0 e/o IDEM-P1 su https://sp-demo.idem.garr.it/secure
+#Verificare che i [[AdesioneProfilidiGaranziaIDEM#Attributo assurance e profili IDEM|valori dell'attributo di assurance]] siano corretti per ciascun profilo
+#Salvare la pagina HTML che riporta tutti gli attributi rilasciati ed il loro valore per ciascun profilo
+===3. Verifica profili IDEM-P2 / IDEM-P3===
+Le organizzazioni che intendono abilitare i Profili IDEM-P2 e/o IDEM-P3 per le proprie identità digitali devono:
+#Eseguire l'autenticazione di un utente con profilo IDEM-P2 e/o IDEM-P3 su https://sp-demo.idem.garr.it/secure-mfa
+#Verificare che i [[AdesioneProfilidiGaranziaIDEM#Attributo assurance e profili IDEM|valori dell'attributo di assurance]] siano corretti per ciascun profilo
+#Salvare la pagina HTML che riporta tutti gli attributi rilasciati ed il loro valore per ciascun profilo
+===4. Richiesta attivazione profili===
+A verifiche ultimate, le organizzazioni possono procedere con la richiesta di attivazione dei profili preparando ed inviando una mail a [mailto:idem-help@garr.it idem-help@garr.it] come di seguito indicato:
+Oggetto:<syntaxhighlight lang="text">
+<ENTITY-ID> - Richiesta attivazione profili di garanzia IDEM
+</syntaxhighlight>Corpo:<syntaxhighlight lang="text">
+L'organizzazione <NOME_ORGANIZZAZIONE> richiede l'attivazione dei profili <ELENCO-PROFILI-IDEM-CONFIGURATI>
+per il proprio Identity Provider (<ENTITY-ID>) dopo aver verificato il rispetto dei requisiti necessari.
+In allegato il risultato delle verifiche in formato HTML.
+Cordiali Saluti,
+<RTM_o_ROM>
+</syntaxhighlight>Allegato:
+file compresso contenente le pagine HTML delle verifiche effettuate sui Service Provider di test:
+*IDEM-P0.html
+*IDEM-P1.html
+*IDEM-P2.html
+*IDEM-P3.html
+===5. Attesa abilitazione dei profili da parte del Servizio IDEM===
+Una volta ricevuti le Dichiarazioni di Conformità e la Richiesta di attivazione dei Profili di Garanzia, il Servizio IDEM procederà alla validazione dei risultati inviati, in particolare verificherà che l'identity provider dell'organizzazione sia in grado di trasmettere i valori dell'attributo assurance corrispondenti ai profili richiesti.
+Terminata la validazione, il Servizio comunicherà l'esito all'organizzazione e, in caso di successo, aggiornerà i metadata dell'identity provider aggiungendo i profili dichiarati nell'EntityAttribute assurance-certification come previsto da SAML V2.0 Identity Assurance Profiles Version 1.0, ad esempio:  <syntaxhighlight lang="xml">
 <mdattr:EntityAttributes>
-     <samla:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+     <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-         <samla:AttributeValue>https://idem.garr.it/af/IDEM-P0</samla:AttributeValue>
+         <saml:AttributeValue>https://idem.garr.it/af/IDEM-P0</saml:AttributeValue>
-         <samla:AttributeValue>https://idem.garr.it/af/IDEM-P1</samla:AttributeValue>
+         <saml:AttributeValue>https://idem.garr.it/af/IDEM-P1</saml:AttributeValue>
-     </samla:Attribute>
+     </saml:Attribute>
 </syntaxhighlight>Quanto segue è una brevissima sintesi dei valori di assurance previsti dai profili di garanzia. Per una trattazione completa rimandiamo al documento ufficiale dei [[:File:Profili di garanzia delle identità digitali della Federazione IDEM-v1.pdf|profili di garanzia IDEM]] ed in particolare alle appendici.
-===Attributo assurance e profili IDEM===
+==Attributo assurance e profili IDEM==
 I profili di garanzia IDEM normano la modalità in cui esprimere l'attendibilità dell'identità in relazione a tre parametri:
@@ Riga 40: / Riga 79: @@
 *qualità degli attributi, componente ATP;
-Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasmessi tramite l'attributo multiplo ''assurance'', ovvero eduPersonAssurance nel caso di SAML, edu_person_assurance nel caso di OIDC. Tutti i valori dell'attributo ''assurance'' sono espressi tramite URL.
+Ad ogni parametro corrisponde un ventaglio di valori che rappresenta le caratteristiche dell'identità. I valori sono trasmessi tramite l'attributo multiplo ''assurance'', ovvero <code>eduPersonAssurance</code> nel caso di SAML, <code>edu_person_assurance</code> nel caso di OIDC. Tutti i valori dell'attributo ''assurance'' sono espressi tramite URL.
 I profili di garanzia IDEM raggruppano i valori in profili ad attendibilità crescente: IDEM-P0, IDEM-P1, IDEM-P2, IDEM-P3. I profili sono specifici dello standard di garanzia dell'attendibilità dell'identità della Federazione IDEM, mente i valori di ciascun componente sono gli stessi del [RAF] in modo da consentire la più totale interoperabilità.
@@ Riga 122: / Riga 161: @@
 |-
 |<nowiki>https://refeds.org/assurance/ATP/ePA-1m</nowiki>
-|x*
+|
 |x*
 |x*
@@ Riga 128: / Riga 167: @@
 |-
 |<nowiki>https://refeds.org/assurance/ATP/ePA-1d</nowiki>
-|x*
+|
-|x*
+|
 |x*
 |x*
@@ Riga 178: / Riga 217: @@
        <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/unique</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/ID/eppn-unique-no-reassign</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/low</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/assurance/IAP/medium</saml:AttributeValue>
@@ Riga 184: / Riga 224: @@
        <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P0</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xsd:string">https://idem.garr.it/af/IDEM-P1</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/profile/cappuccino</saml:AttributeValue>
+      <saml:AttributeValue xsi:type="xsd:string">https://refeds.org/profile/espresso</saml:AttributeValue>
     </saml:Attribute>
 </saml:AttributeStatement>
@@ Riga 207: / Riga 249: @@
 |x
 |}
+==Organizzazioni Attive==
+{| class="wikitable sortable"
+|-
+!Organizzazione!!entityID!!Profili Attivi
+|-
+|Università Telematica Internazionale UNINETTUNO||<nowiki>https://idp.uninettunouniversity.net/idp/shibboleth</nowiki>||IDEM-P0, IDEM-P1, IDEM-P2
+|-
+|Università degli Studi di Milano
+|<nowiki>https://idp.unimi.it/idp/shibboleth</nowiki>
+|IDEM-P0, IDEM-P1
+|}
+==FAQ==
+===Perchè ottengo NoAuthnContext?===
+Tutti i Service Provider, in ambito accademico/di ricerca, che richiedono l'autenticazione multi-fattore seguono il REFEDS MFA Profile e vogliono che la SAML Responce inviata dall'Identity Provider contenga:<syntaxhighlight lang="text">
+<saml:Assertion>
+  <saml:AuthnStatement ...>
+    <saml:AuthnContext>
+      <saml:AuthnContextClassRef>
+        https://refeds.org/profile/mfa
+      </saml:AuthnContextClassRef>
+    </saml:AuthnContext>
+  </saml:AuthnStatement>
+</saml:Assertion>
+</syntaxhighlight>Se il giusto contesto non viene trovato, allora il Service Provider risponde con l'errore:<syntaxhighlight lang="text">
+Status: urn:oasis:names:tc:SAML:2.0:status:Requester
+Sub-Status: urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext
+Message: An error occurred.
+</syntaxhighlight>
+===Perchè l'attributo di assurance non viene rilasciato?===
+Il mancato rilascio dell'attributo di assurance può dipendere dalla non corretta configurazione dei filtri sul proprio Identity Provider.
+Verificare la configurazione del proprio IdP con IDEM Conf (https://conf.idem.garr.it/).
 ==Riferimenti==
 [eIDAS-LoA]
@@ Riga 239: / Riga 313: @@
 https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-assurance-profile.html
+[[LineeGuidaProfiliGaranzia|Linee Guida per i Profili di Garanzia]] IDEM
+https://wiki.idem.garr.it/w/images/5/50/LineeGuidaProfiliGaranziaIdem.pdf

Differenze tra le versioni di "AdesioneProfilidiGaranziaIDEM"

Versione attuale delle 09:50, 21 ott 2025

Indice

Processo di adesione e attivazione dei Profili di Garanzia IDEM

1. Dichiarazione di conformità

2. Verifica profili IDEM-P0 / IDEM-P1

3. Verifica profili IDEM-P2 / IDEM-P3

4. Richiesta attivazione profili

5. Attesa abilitazione dei profili da parte del Servizio IDEM

Attributo assurance e profili IDEM

Organizzazioni Attive

FAQ

Perchè ottengo NoAuthnContext?

Perchè l'attributo di assurance non viene rilasciato?

Riferimenti

Menu di navigazione

Strumenti personali

Namespace

Varianti

Visite

Altro

Ricerca

Navigazione

IDEM Wiki

IDEM Organi

GARR CS

Min Salute

Strumenti