Differenze tra le versioni di "RegistraEntita"
Riga 114: | Riga 114: | ||
====IMPORTANTE==== | ====IMPORTANTE==== | ||
− | <blockquote> | + | <blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare. |
===Requisiti=== | ===Requisiti=== |
Versione attuale delle 13:00, 9 gen 2023
Indice
Registrazione IdP
Prima di entrare nella Federazione IDEM di produzione è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.
Lo strumento per registrare i metadata si chiama IDEM Registry.
La prima registrazione di un'entità non richiede "Log in".
In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.
Pre-requisiti:
- Aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM.
- L'IdP deve rilasciare i seguenti attributi al SP IDEM Registry (
entityID="https://registry.idem.garr.it/shibboleth"
):- eduPersonPrincipalName
- eduPersonTargetedID
- givenName
- surname
- In caso di mancato rilascio attributi consultare la sezione ComeRilasciareAttributiShibv4 e RilascioAttributi.
Workflow
Ecco gli step a cura del gestore dell'IdP:
- Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
- Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
- Da questo momento è possibile fare login su IDEM Entity Registry premendo su Login via IDEM, selezionare e raggiungere il proprio istituto/IdP e accedere inserendo le proprie credenziali utente:
- se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
- Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
- Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.
IMPORTANTE
La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.
Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
Requisiti
- Requisiti dei metadata a carico dei gestori degli IdP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
Requisito | In sintesi | Rif. | Note |
---|---|---|---|
KeyDescriptor | includere un elemento <md:KeyDescriptor> contenente la/le chiave/i pubblica/che del IdP in formato X.509.
La chiave privata corrispondente DOVREBBE essere di almeno 3072 bit e, comunque, non inferiore a 2048 bit. |
IDEM Metadata Profle [1], sez. 6.1 | |
Organization | includere un elemento <md:Organization> con i sotto elementi:
Tutti gli elementi dovranno avere valori in italiano ed in inglese. |
IDEM Metadata Profile [1], sez. 6.2 | |
mdui | includere un elemento <mdui:UIInfo> con i sotto elementi:
Tutti gli elementi dovranno avere valori in italiano ed in inglese. |
IDEM Metadata Profile [1], sez. 6.3.2 | |
ContactPerson | includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress> .
|
IDEM Metadata Profile [1], sez. 6.5 |
2. Requisiti per l'accesso al Registry IDEM:
L'IdP deve rilasciare i seguenti attributi:
- eduPersonPrincipalName
- eduPersonTargetedID
- givenName
- surname
Vedi Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry
La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.
Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1], il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi persistent-id
e affiliation
e la pagina di Login dell'Identity Provider contiene:
- il riferimento alla pagina inserita in
<mdui:InformationURL>
- il riferimento alla pagina inserita in
<mdui:PrivacyStatementURL>
- il logo di IDEM (Logo IDEM)
- il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso da parte dell'utente
Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.
Registrazione SP
Workflow
Prerequisito:
- Aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.
Prima di inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.
Ecco gli step a cura del gestore del SP:
- Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
- Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
IMPORTANTE
La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.
Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
Requisiti
Requisiti dei metadata a carico dei gestori degli SP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
Requisito | In sintesi | Rif. | Note |
---|---|---|---|
KeyDescriptor | includere un elemento <md:KeyDescriptor> contenente la (o le) chiave pubblica del IdP in formato X.509. La chiave privata corrispondente DEVE essere di almento 2048 bit.
|
IDEM Metadata Profle [1], sez. 6.1 | |
Organization | includere un elemento <md:Organization> con i sotto elementi:
Tutti gli elementi dovranno avere valori in italiano ed in inglese. |
IDEM Metadata Profile [1], sez. 6.2 | |
mdui | includere un elemento <mdui:UIInfo> con i sotto elementi:
|
IDEM Metadata Profile [1], sez. 6.3.2 | |
AttributeConsumingService | includere un elemento <md:AttributeConsumingService> nel quale elencare tutti gli attributi richiesti usando come sotto elemento:
|
IDEM Metadata Profile [1], sez. 6.4 | |
ContactPerson | includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress> .
|
IDEM Metadata Profile [1], sez. 6.5 |
Vedi Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry
La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.
Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.
Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.
SP registration
Workflow
Prerequisites:
- The Service Provider (SP) has been already deployed (for reference please follow IDEM installation guides)
In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.
Here are the steps to be followed by the SP admin:
- Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works).
- Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.
IMPORTANT
Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on ProcedureAdesione#Register a service.
If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.
Requirements
Next table includes metadata requirements to be fullfilled by SP admin as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):
Requirement | short description | Ref. | Note |
---|---|---|---|
KeyDescriptor | must include an element <md:KeyDescriptor> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit.
|
IDEM Metadata Profle [1], sect. 6.1 | |
Organization | must include an element <md:Organization> with related sub-elements:
All element values must be both in Italian and English. |
IDEM Metadata Profile [1], sect. 6.2 | |
mdui | must include an element <mdui:UIInfo> with related sub-elements:
|
IDEM Metadata Profile [1], sect. 6.3.2 | |
AttributeConsumingService | must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
|
IDEM Metadata Profile [1], sect. 6.4 | |
ContactPerson | must include at least an element <md:ContactPerson> with contactType="technical" containing an element <md:EmailAddress> in which the email address includes the prefix "mailto:", i.e. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress> .
|
IDEM Metadata Profile [1], sect. 6.5 |
Please refer to Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry
Metadata completeness will speed up the evaluation phase and the joing process.
The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.
In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.