Differenze tra le versioni di "RegistraEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
 
Riga 114: Riga 114:
  
 
====IMPORTANTE====
 
====IMPORTANTE====
<blockquote>Successivamente o contestualmente alla registrazione nella federazione di test, il gestore del Service Provider deve inviare il modulo di registrazione del servizio come indicato in [[ProcedureAdesione#Registrazione servizi]];</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
+
<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
  
 
===Requisiti===
 
===Requisiti===

Versione attuale delle 13:00, 9 gen 2023

Registrazione IdP

Prima di entrare nella Federazione IDEM di produzione è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Lo strumento per registrare i metadata si chiama IDEM Registry.

La prima registrazione di un'entità non richiede "Log in".

In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.

Pre-requisiti:

  1. Aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM.
  2. L'IdP deve rilasciare i seguenti attributi al SP IDEM Registry (entityID="https://registry.idem.garr.it/shibboleth"):
    • email
    • eduPersonPrincipalName
    • eduPersonTargetedID
    • givenName
    • surname
  3. In caso di mancato rilascio attributi consultare la sezione ComeRilasciareAttributiShibv4 e RilascioAttributi.

Workflow

Ecco gli step a cura del gestore dell'IdP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
  3. Da questo momento è possibile fare login su IDEM Entity Registry premendo su Login via IDEM, selezionare e raggiungere il proprio istituto/IdP e accedere inserendo le proprie credenziali utente:
    • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
  4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
  5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

  1. Requisiti dei metadata a carico dei gestori degli IdP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
Requisito In sintesi Rif. Note
KeyDescriptor includere un elemento <md:KeyDescriptor> contenente la/le chiave/i pubblica/che del IdP in formato X.509.

La chiave privata corrispondente DOVREBBE essere di almeno 3072 bit e, comunque, non inferiore a 2048 bit.

IDEM Metadata Profle [1], sez. 6.1
Organization includere un elemento <md:Organization> con i sotto elementi:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.2
mdui includere un elemento <mdui:UIInfo> con i sotto elementi:
  • <mdui:DisplayName>: coincide con <md:OrganizationDisplayName> e non deve contenere la parola "IDEM" perchè riservata al Servizio o la parola "eduGAIN" perchè riservata a eduGAIN;
  • <mdui:Description>: ad es. "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: pagina informativa per gli utenti;
  • <mdui:PrivacyStatementURL>: pagina con le informazioni sul trattamento dei dati. Modello di esempio QUI;
  • <mdui:Logo>: logo dell'organizzazione in formato PNG 16x16 e 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.3.2
ContactPerson includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sez. 6.5

2. Requisiti per l'accesso al Registry IDEM:

L'IdP deve rilasciare i seguenti attributi:

  • email
  • eduPersonPrincipalName
  • eduPersonTargetedID
  • givenName
  • surname


Vedi Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry

La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1], il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi persistent-id e affiliatione la pagina di Login dell'Identity Provider contiene:

  • il riferimento alla pagina inserita in <mdui:InformationURL>
  • il riferimento alla pagina inserita in <mdui:PrivacyStatementURL>
  • il logo di IDEM (Logo IDEM)
  • il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso da parte dell'utente

Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Registrazione SP

Workflow

Prerequisito:

  • Aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Prima di inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Ecco gli step a cura del gestore del SP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

Requisiti dei metadata a carico dei gestori degli SP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Requisito In sintesi Rif. Note
KeyDescriptor includere un elemento <md:KeyDescriptor> contenente la (o le) chiave pubblica del IdP in formato X.509. La chiave privata corrispondente DEVE essere di almento 2048 bit. IDEM Metadata Profle [1], sez. 6.1
Organization includere un elemento <md:Organization> con i sotto elementi:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.2
mdui includere un elemento <mdui:UIInfo> con i sotto elementi:
  • <mdui:DisplayName>: coincide con <md:OrganizationDisplayName>;
  • <mdui:Description>: ad es. "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: pagina informativa per gli utenti;
  • <mdui:PrivacyStatementURL>: pagina con le informazioni sul trattamento dei dati;
  • <mdui:Logo>: logo della risorsa in formato PNG 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.


Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.3.2
AttributeConsumingService includere un elemento <md:AttributeConsumingService> nel quale elencare tutti gli attributi richiesti usando come sotto elemento:
  • <md:RequestedAttribute> con isRequired="true" per gli attributi obbligatori
  • <md:RequestedAttribute> con isRequired="false" per gli attributi opzionali.
IDEM Metadata Profile [1], sez. 6.4
ContactPerson includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sez. 6.5

Vedi Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.

Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

SP registration

Workflow

Prerequisites:

In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.

Here are the steps to be followed by the SP admin:

  1. Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works).
  2. Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.

IMPORTANT

Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on ProcedureAdesione#Register a service.

If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.

Requirements

Next table includes metadata requirements to be fullfilled by SP admin as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):

Requirement short description Ref. Note
KeyDescriptor must include an element <md:KeyDescriptor> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit. IDEM Metadata Profle [1], sect. 6.1
Organization must include an element <md:Organization> with related sub-elements:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.2
mdui must include an element <mdui:UIInfo> with related sub-elements:
  • <mdui:DisplayName>: same as <md:OrganizationDisplayName>;
  • <mdui:Description>: example to be used: "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: a page for users information;
  • <mdui:PrivacyStatementURL>: a page containing the privacy policy about user data;
  • <mdui:Logo>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.


All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.3.2
AttributeConsumingService must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  • <md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  • <md:RequestedAttribute> with isRequired="false" if the attributes is optional
IDEM Metadata Profile [1], sect. 6.4
ContactPerson must include at least an element <md:ContactPerson> with contactType="technical" containing an element <md:EmailAddress> in which the email address includes the prefix "mailto:", i.e. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sect. 6.5

Please refer to Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

Metadata completeness will speed up the evaluation phase and the joing process.

The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.

In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.

Riferimenti/Links

[1] IDEM METADATA PROFILE V1.1