Differenze tra le versioni di "RegistraEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
Riga 128: Riga 128:
  
 
=== Validazione SSL ===
 
=== Validazione SSL ===
#* Controllare la robustezza del proprio SP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
# Controllare la robustezza del proprio SP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
 
#* Controllare certificato e catena della CA sulla porta 443
 
#* Controllare certificato e catena della CA sulla porta 443
 
#* Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
 
#* Controllare che il certificato sulla 443 non abbia una Weak key (Debian)

Versione delle 14:48, 9 apr 2019

Registrare un IdP

Istruzioni metadata

  1. entityID: Verificare che sia riportato lo stesso valore su:
    • Richiesta di Adesione (RA)
    • Identity Provider Registration Request (IDPRR)
    • Metadata dell'entità: IDEM Entity Registry & IdP Metadata
  2. eduGAIN: Verificare quanto indicato sul modulo IDPRR per l'opt-out dall'interfederazione. Valore di default: Opt-In
  3. IdP Metadata:
    • Lo Scope:
      • <shibmd:Scope>: Il valore/i valori dei domini in questo elemento sono relativi all'organizzazione?
    • MDUI e varie:
    1. DisplayName: Nome dell'organizzazione visualizzato nei Discovery Service
      • <mdui:DisplayName xml:lang="en">: University...
      • <mdui:DisplayName xml:lang="it">: Università...
    2. Description: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
      • <mdui:Description xml:lang="en">
      • <mdui:Description xml:lang="it">
    3. InformationUrl: Pagina informativa per gli utenti finali.
      • <mdui:InformationUrl xml:lang="en">
      • <mdui:InformationUrl xml:lang="it">
      Tale pagina dovrà contenere:
    4. PrivacyStatementUrl: Privacy Policy dell'organizzazione/IdP
      • <mdui:PrivacyStatementUrl xml:lang="en">
      • <mdui:PrivacyStatementUrl xml:lang="it">
    5. Logo: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio delle dimensioni indicate)
      • <mdui:Logo xml:lang="en" width="16" height="16">
      • <mdui:Logo xml:lang="en" width="80" height="60">
      • <mdui:Logo xml:lang="it" width="16" height="16">
      • <mdui:Logo xml:lang="it" width="80" height="60">
    6. OrganizationName: Nome dell'organizzazione
      • <md:OrganizationName xml:lang="en">
      • <md:OrganizationName xml:lang="it">
    7. OrganizationDisplayName: Nome dell'organizzazione da mostrare sui Discovery Service
      • <md:OrganizationDisplayName xml:lang="en">: University...
      • <md:OrganizationDisplayName xml:lang="it">: Università...
    8. OrganizationUrl: URL del sito web dell'organizzazione
      • <md:OrganizationUrl xml:lang="en">
      • <md:OrganizationUrl xml:lang="it">
    9. ContactPerson: Contatti relativi all'IdP e all'organizzazione
      • <md:ContactPerson contactType="technical">: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP
    • ValidUntil: sui metadata dell'IdP forniti alla federazione IDEM non devono essere presenti
    • Endpoint HTTPS: tutti gli endpoint/URL devono essere protette da HTTPS
    • Binding: assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
    • <ArtifactResolutionService>
    • <SingleLogoutService>
    • <SingleSignOnService>
    • <AttributeService>

Validazione metadata

  1. EduGAIN Validator: https://technical.edugain.org/validator2
    • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
    • Premere su "Validate"
    • Controllare che Errors e Warnings non abbiano anomalie per il proprio IdP.

Validazione certificati

  1. Controllare la robustezza del proprio IdP su: SSL Server Test
    • Controllare certificato e catena della CA sulla porta 443
    • Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
  2. Pagina di Login:
    • Verificare che sia protetta da una CA riconosciuta dal browser

Test di accesso

Eseguire una login su https://sp24-test.garr.it/secure e, dopo aver verificato di vedere 'eduPersonTargetedID' e 'affiliation', comunicare l'ora dell'avvenuto accesso a idem-help@garr.it

Registrazione SP

Istruzioni metadata

  1. entityID: Verificare che sia riportato lo stesso valore su:
    • Resource Registration Request (RRR)
    • Metadata dell'entità: IDEM Entity Registry & SP Metadata
  2. eduGAIN: Verificare quanto indicato sul modulo RRR per l'opt-in dall'interfederazione. Valore di default: Opt-Out
  3. SP Metadata:
    • MDUI e varie:
    1. DisplayName: Nome semplice e parlante della risorsa federata. Vietato l'uso della parola "IDEM" se non erogata dal Servizio IDEM GARR AAI.
      • <mdui:DisplayName xml:lang="en">: <Nome servizio> provided by <Nome Ente>
      • <mdui:DisplayName xml:lang="it">: <Nome servizio> erogato da <Nome Ente>
    2. Description: Descrizione breve della risorsa federata. Cosa può fare l'utente con essa.
      • <mdui:Description xml:lang="en">
      • <mdui:Description xml:lang="it">
    3. InformationUrl: Pagina informativa per gli utenti finali.
      • <mdui:InformationUrl xml:lang="en">
      • <mdui:InformationUrl xml:lang="it">
      Tale pagina dovrà:
      • Descrivere la risorsa federata per l'utente finale
      • Descrivere il pubblico a cui è rivolto
      • Indicare a quale organizzazione appartiene/da qual è erogata.
      • Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
      • Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
      • Federazioni a cui l'SP aderisce compresi di loghi e riferimenti (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)
    4. PrivacyStatementUrl: Privacy Policy dell'organizzazione/SP (TEMPLATE)
      • <mdui:PrivacyStatementUrl xml:lang="en">
      • <mdui:PrivacyStatementUrl xml:lang="it">
    5. Logo: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio)
      • <mdui:Logo xml:lang="en" width="16" height="16">
      • <mdui:Logo xml:lang="en" width="80" height="60">
      • <mdui:Logo xml:lang="it" width="16" height="16">
      • <mdui:Logo xml:lang="it" width="80" height="60">
    6. <AttributeConsumingService>:
      • <RequestedAttribute>: Indicare tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a idem-help@garr.it il perchè durante la valutazione.
    7. OrganizationName: Nome dell'organizzazione
      • <md:OrganizationName xml:lang="en">
      • <md:OrganizationName xml:lang="it">
    8. OrganizationDisplayName: Nome della risorsa federata da mostrare
      • <md:OrganizationDisplayName xml:lang="en">: <Nome servizio> provided by <Nome Ente>
      • <md:OrganizationDisplayName xml:lang="it">: <Nome servizio> erogato da <Nome Ente>
    9. OrganizationUrl: URL del sito web dell'organizzazione a cui la risorsa appartiene
      • <md:OrganizationUrl xml:lang="en">
      • <md:OrganizationUrl xml:lang="it">
    10. ContactPerson: Contatti relativi alla risorsa
      • <md:ContactPerson contactType="technical">: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP
    • ValidUntil: sui metadata del SP forniti alla federazione IDEM non devono essere presenti
    • Endpoint HTTPS: tutti gli endpoint/URL devono essere protette da HTTPS
    • Binding: assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
    • <ArtifactResolutionService>
    • <SingleLogoutService>
    • <AssertionConsumerService>

Validazione metadata

  1. EduGAIN Validator: https://technical.edugain.org/validator2
    • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
    • Premere su "Validate"
    • Controllare che Errors e Warnings non abbiano anomalie per il proprio SP

Validazione SSL

  1. Controllare la robustezza del proprio SP su: SSL Server Test
    • Controllare certificato e catena della CA sulla porta 443
    • Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
  2. Pagina di Login:
    • Verificare che sia protetta da una CA riconosciuta dal browser

Test di accesso

Eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a idem-help@garr.it