Differenze tra le versioni di "RequisitiEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
Riga 128: Riga 128:
  
 
[[#top|[TOP]]]
 
[[#top|[TOP]]]
====MD11 - endpoint====
+
====MD12 - endpoint====
tutti gli endpoint/URL presenti nel metadata devono iniziare con '''https://''' ed avere il giusto '''<code>Binding=</code>'''
+
Tutti i seguenti endpoint nei metadata devono iniziare con '''<code>https://</code>''' ed avere il giusto '''<code>Binding=</code>''':
  
[[#top|[TOP]]]
+
* <code><ArtifactResolutionService></code>
 +
* <code><SingleLogoutService></code>
 +
* <code><SingleSignOnService></code>
 +
* <code><AttributeService></code> (solo se esiste <code><AttributeAuthorityDescriptor></code>)
 +
 
 +
 
 +
''Esempio:''<syntaxhighlight lang="xml">
 +
<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://..." index="1"/>
 +
 
 +
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
 +
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
 +
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
 +
 
 +
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
 +
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
 +
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
 +
 
 +
</syntaxhighlight>[[#top|[TOP]]]
 
===Security (SEC)===
 
===Security (SEC)===
  

Versione delle 14:29, 15 apr 2021

Identity Provider

I requisiti indicati devono essere soddisfatti al fine di accedere alla Federazione Italiana delle Identità Digitali IDEM GARR AAI.

Metadata (MD)

MD1 - Scope

<shibmd:Scope> deve assumere valori relativi all'organizzazione. Verifica eseguita con WHOIS.


Esempio:

<shibmd:Scope>example.org</shibmd:Scope>

[TOP]

MD2 - DisplayName

<mdui:DisplayName> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>

<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>

[TOP]

MD3 - Description

<mdui:Description> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description>

<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>

[TOP]

MD4 - InformationURL

<mdui:InformationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>

<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>

[TOP]

MD5 - PrivacyStatementURL

<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>

<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>

[TOP]

<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati:

  • 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
  • 80x60 pixel (o maggiore se rispetta l'aspect-ratio)


Esempio:

<mdui:Logo width="80" height="60">https://...favicon_16x16.png...</mdui:Logo>

<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>

[TOP]

MD7 - OrganizationName

<md:OrganizationName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<md:OrganizationName xml:lang="en">Example University</md:OrganizationName>

<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>

[TOP]

MD8 - OrganizationDisplayName

<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>

<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>

[TOP]

MD9 - OrganizationURL

<md:OrganizationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.


Esempio:

<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>

<md:OrganizationURL xml:lang="it">https://...sito istituzionale in italiano...</md:OrganizationURL>

[TOP]

MD10 - ContactPerson

<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list)


Esempio:

<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>

[TOP]

MD11 - validUntil

validUntil deve essere rimosso assieme al suo valore in quanto sarà la Federazione a stabilirlo

[TOP]

MD12 - endpoint

Tutti i seguenti endpoint nei metadata devono iniziare con https:// ed avere il giusto Binding=:

  • <ArtifactResolutionService>
  • <SingleLogoutService>
  • <SingleSignOnService>
  • <AttributeService> (solo se esiste <AttributeAuthorityDescriptor>)


Esempio:

<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://..." index="1"/>

<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>

[TOP]

Security (SEC)

SEC1 - SSLLabs

il certificato SSL sulla porta 443 deve riportare almeno un grado B sullo strumento: https://www.ssllabs.com/ssltest/

e deve essere privo di "chain issue" (errori sulla catena della CA)

[TOP]



Service Provider