Differenze tra le versioni di "RequisitiEntita"
Riga 17: | Riga 17: | ||
==Identity Provider== | ==Identity Provider== | ||
===Metadata (IDP-MD)=== | ===Metadata (IDP-MD)=== | ||
− | I requisiti di seguito elencati sono relativi ai metadata di un Identity Provider (IDP) e seguono le direttive | + | I requisiti di seguito elencati sono relativi ai metadata di un Identity Provider (IDP) e seguono le direttive indicate in [https://kantarainitiative.github.io/SAMLprofiles/saml2int.html SAML V2.0 Deployment Profile for Federation Interoperability]. |
<br /> | <br /> | ||
Riga 27: | Riga 27: | ||
<br /> | <br /> | ||
− | ==== IDP-MD02 - entityID ==== | + | ====IDP-MD02 - entityID==== |
− | <code>entityID</code> DEVE essere | + | <code>entityID</code> DEVE essere una URI assoluta di lunghezza massima 256 caratteri. |
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
Riga 109: | Riga 109: | ||
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo> | <mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | [[#top|[TOP]]]<blockquote>'''DAVIDE - ARRIVATO QUI!'''</blockquote> | + | [[#top|[TOP]]]<blockquote>'''DAVIDE - ARRIVATO QUI!'''</blockquote> |
+ | ==== IDP-MD09 - KeyDescriptor ==== | ||
<md:KeyDescriptor> DEVE contenere una chiave pubblica: | <md:KeyDescriptor> DEVE contenere una chiave pubblica: | ||
− | * nel formato di un certificato X.509 e possibilmente: | + | *nel formato di un certificato X.509 e possibilmente: |
− | ** di lunga durata (30 anni) | + | **di lunga durata (30 anni) |
− | ** self-signed | + | **autofirmate (self-signed) |
− | ** non scaduto | + | **valido temporalmente (non scaduto) |
− | ** non firmato con gli algoritmi di firma MD5 o SHA1 | + | **non firmato con gli algoritmi di firma MD5 o SHA1 |
− | * lunga almeno 2048 bit. Per le nuove installazioni si RACCOMANDA una lunghezza di 3072 bit | + | *lunga almeno 2048 bit. Per le nuove installazioni si RACCOMANDA una lunghezza di 3072 bit |
− | * con o senza l'attributo <code>use</code> valorizzato a <code>signing</code> | + | *con o senza l'attributo <code>use</code> valorizzato a <code>signing</code> |
− | * | + | * |
<br /> | <br /> |
Versione delle 13:02, 22 apr 2021
In questa pagina sono indicati i requisiti richiesti dalla Federazione Italiana delle Identità Digitali IDEM GARR AAI.
Indice
- 1 Security (SEC) - Identity Provider & Service Provider
- 2 Identity Provider
- 2.1 Metadata (IDP-MD)
- 2.1.1 IDP-MD01 - validUntil
- 2.1.2 IDP-MD02 - entityID
- 2.1.3 IDP-MD03 - Scope
- 2.1.4 IDP-MD04 - DisplayName
- 2.1.5 IDP-MD05 - Description
- 2.1.6 IDP-MD06 - InformationURL
- 2.1.7 IDP-MD07 - PrivacyStatementURL
- 2.1.8 IDP-MD08 - Logo
- 2.1.9 IDP-MD09 - KeyDescriptor
- 2.1.10 IDP-MD10 - SingleSignOnService
- 2.1.11 IDP-MD10 - SingleLogoutService
- 2.1.12 IDP-MD11 - OrganizationName
- 2.1.13 IDP-MD12 - OrganizationDisplayName
- 2.1.14 IDP-MD13 - OrganizationURL
- 2.1.15 IDP-MD14 - ContactPerson
- 2.2 Federation (IDP-FED)
- 2.1 Metadata (IDP-MD)
- 3 Service Provider
- 3.1 Metadata (SP-MD)
- 3.1.1 SP-MD1 - DisplayName
- 3.1.2 SP-MD2 - Description
- 3.1.3 SP-MD3 - InformationURL
- 3.1.4 SP-MD4 - PrivacyStatementURL
- 3.1.5 SP-MD5 - Logo
- 3.1.6 SP-MD6 - RequestedAttribute
- 3.1.7 SP-MD7 - OrganizationName
- 3.1.8 SP-MD8 - OrganizationDisplayName
- 3.1.9 SP-MD9 - OrganizationURL
- 3.1.10 SP-MD10 - ContactPerson
- 3.2 Federation (SP-FED)
- 3.1 Metadata (SP-MD)
Security (SEC) - Identity Provider & Service Provider
I requisiti di seguito elencati sono relativi al certificato SSL utilizzato per l'interfaccia HTTPS del servizio.
Non riguardano invece i certificati utilizzati dagli Identity e Service Provider per cifrare e firmare digitalmente le asserzioni presenti nei metadata.
SEC1 - Grado di robustezza SSL
il certificato SSL utilizzato sulla porta HTTPS del servizio DEVE riportare almeno un grado B su SSL Labs: https://www.ssllabs.com/ssltest/
SEC2 - Chain issue
il certificato SSL utilizzato sulla porta HTTPS del servizio DEVE essere privo di "Chain issues" (errori sulla catena della CA) --- verificabile con SSL Labs.
Identity Provider
Metadata (IDP-MD)
I requisiti di seguito elencati sono relativi ai metadata di un Identity Provider (IDP) e seguono le direttive indicate in SAML V2.0 Deployment Profile for Federation Interoperability.
IDP-MD01 - validUntil
validUntil
DEVE essere rimosso assieme al suo valore in quanto è la Federazione a stabilirlo.
IDP-MD02 - entityID
entityID
DEVE essere una URI assoluta di lunghezza massima 256 caratteri.
IDP-MD03 - Scope
<shibmd:Scope>
, contenuto nell'elemento <md:Extension>
, DEVE:
- assumere valori di dominio nella disponibilità dell'organizzazione (strumento di verifica WHOIS)
Esempio:
<shibmd:Scope>example.org</shibmd:Scope>
IDP-MD04 - DisplayName
<mdui:DisplayName>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con il nome del servizio da mostrare all'utente
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>
IDP-MD05 - Description
<mdui:Description>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con una breve descrizione del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description>
<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>
IDP-MD06 - InformationURL
<mdui:InformationURL>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con la URL della pagina informativa del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>
<mdui:InformationURL xml:lang="it">https://...pagina di informazioni in italiano...</mdui:InformationURL>
IDP-MD07 - PrivacyStatementURL
<mdui:PrivacyStatementURL>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con la URL della pagina sul trattamento dei dati personali del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>
IDP-MD08 - Logo
<mdui:Logo>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con le URL
https://
dei loghi dell'organizzazione in formato PNG (si RACCOMANDA uno sfondo trasparente) nei formati:- 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
- 80x60 pixel (o maggiore se rispetta l'aspect-ratio)
Esempio:
<mdui:Logo width="16" height="16">https://...favicon_16x16.png...</mdui:Logo>
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>
DAVIDE - ARRIVATO QUI!
IDP-MD09 - KeyDescriptor
<md:KeyDescriptor> DEVE contenere una chiave pubblica:
- nel formato di un certificato X.509 e possibilmente:
- di lunga durata (30 anni)
- autofirmate (self-signed)
- valido temporalmente (non scaduto)
- non firmato con gli algoritmi di firma MD5 o SHA1
- lunga almeno 2048 bit. Per le nuove installazioni si RACCOMANDA una lunghezza di 3072 bit
- con o senza l'attributo
use
valorizzato asigning
IDP-MD10 - SingleSignOnService
<md:SingleSignOnService>
DEVE:
- esistere per il
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect'
perchè necessario alle Authentication Request (AuthnRequest
), con unaLocation
la cui URL è protetta da SSL e comincia perhttps://
- esistere per il
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST'
perchè necessario alle Authentication Response (AuthnResponse
), con unaLocation
la cui URL è protetta da SSL e comincia perhttps://
Esempio:
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
IDP-MD10 - SingleLogoutService
<md:SingleLogoutService>
DEVE:
- esistere per il
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect'
perchè necessario alle Logout Request (LogoutRequest
), con unaLocation
la cui URL è protetta da SSL e comincia perhttps://
Esempio:
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
IDP-MD11 - OrganizationName
<md:OrganizationName>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con il nome dell'organizzazione a cui afferisce il servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationName xml:lang="en">Example University</md:OrganizationName>
<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>
IDP-MD12 - OrganizationDisplayName
<md:OrganizationDisplayName>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con il nome dell'organizzazione che verrà mostrato nelle interfacce utente
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>
IDP-MD13 - OrganizationURL
<md:OrganizationURL>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con la URL del sito principale dell'organizzazione a cui afferisce il servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>
IDP-MD14 - ContactPerson
<md:ContactPerson>
DEVE:
- essere valorizzato con l'indirizzo email del contatto tecnico del servizio identificato dall'attributo
contactType="technical"
.
Si RACCOMANDA l'utilizzo di un indirizzo impersonale (mailing-list)
Esempio:
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>
Federation (IDP-FED)
I requisiti di seguito elencati sono dettate dalla Federazione e destinate agli Identity Provider
IDP-FED1 - Data
un Identity Provider in IDEM DEVE essere in grado di rilasciare le seguenti informazioni:
- Un identificativo univoco persistente e targhettizzato per i suoi utenti:
persistent-id
(persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
- L'affiliazione dell'utente con scopo:
affiliation
(eduPersonScopedAffiliation)
Esempio con sp.aai-test.garr.it:
affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=
IDP-FED2 - Info Page
La pagina informativa esposta in lingua italiana e in lingua inglese DEVE opportunamente contenere:
- un indirizzo di posta elettronica per il supporto agli utenti in merito a IDEM e alle credenziali di autenticazione
- la Privacy Policy per l’utente contenente gli attributi che potrebbe rilasciare alle risorse federate
- il Logo di IDEM e il link al Sito di IDEM (fortemente raccomandato)
IDP-FED3 - Privacy Page
La pagina sul trattamento dei dati personali (Privacy Policy) seguita dall'istituzione ed esposta in lingua italiana e in lingua inglese DEVE opportunamente contenere le adeguate informazioni per gli utenti.
A titolo esemplificativo, IDEM fornisce la pagina: InformativaDatiPersonaliIdP.
IDP-FED4 - Login Page
La pagina di login di un Identity Provider federato in IDEM DEVE contenere:
- il riferimento alla pagina informativa indicata da
<mdui:InformationURL>
- il riferimento alla pagina sul trattamento dei dati personali indicata da
<mdui:PrivacyStatementURL>
- il logo di IDEM (Logo IDEM)
- il riferimento al Contatto Tecnico o al Contatto di Supporto per la risoluzione delle problematiche legate all'accesso alle risorse da parte degli utenti
Service Provider
Metadata (SP-MD)
I requisiti di seguito elencati sono relativi ai metadata che descrivono un Service Provider (SP)
SP-MD1 - DisplayName
<mdui:DisplayName>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con il nome del servizio da mostrare all'utente senza contenere il valore "IDEM" riservato al Servizio.
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:DisplayName xml:lang="en">Resource provided by Example Organization</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Risorsa erogata da Organizzazione di Esempio</mdui:DisplayName>
SP-MD2 - Description
<mdui:Description>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con una breve descrizione del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:Description xml:lang="en">The resource allow you to ...</mdui:Description>
<mdui:Description xml:lang="it">La risorsa ti permette di ...</mdui:Description>
SP-MD3 - InformationURL
<mdui:InformationURL>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con la URL della pagina informativa del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>
SP-MD4 - PrivacyStatementURL
<mdui:PrivacyStatementURL>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con la URL della pagina sul trattamento dei dati personali del servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>
SP-MD5 - Logo
<mdui:Logo>
, contenuto nell'elemento <mdui:UIInfo>
, DEVE:
- essere valorizzato con una URL
https://
riportante il logo dell'organizzazione in formato PNG (si RACCOMANDA uno sfondo possibilmente trasparente) con:- base: dai 64 px ai 350 px
- altezza: dai 64px ai 146px
Se viene fornito di dimensioni maggiori, DEVE rispettare l'aspect-ratio.
Esempio:
<mdui:Logo width="64" height="64">https://...logo.png</mdui:Logo>
SP-MD6 - RequestedAttribute
<md:RequestedAttribute>
, contenuto nell'elemento <md:AttributeConsumingService>
, DEVE:
- contenere tutti e soli gli attributi SAML richiesti dal servizio
- indicare gli attributi indispensabili all'accesso e all'utilizzo del servizio con il parametro
isRequired="true"
- indicare gli attributi non indispensabili all'accesso e all'utilizzo del servizio con il parametro
isRequired="false"
Esempio:
<md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
<md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
SP-MD7 - OrganizationName
<md:OrganizationName>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con il nome dell'organizzazione che offre il servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationName xml:lang="en">Example Organization</md:OrganizationName>
<md:OrganizationName xml:lang="it">Organizzazione di Esempio</md:OrganizationName>
SP-MD8 - OrganizationDisplayName
<md:OrganizationDisplayName>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con il nome dell'organizzazione che offre il servizio da mostrare all'utente
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationDisplayName xml:lang="en">Resource provided by Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Risorsa fornita da Università di Esempio</md:OrganizationDisplayName>
SP-MD9 - OrganizationURL
<md:OrganizationURL>
, contenuto nell'elemento <md:Organization>
, DEVE:
- essere valorizzato con la URL del sito principale dell'organizzazione che offre il servizio
- essere definito sia per la lingua italiana, sia per la lingua inglese
Esempio:
<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>
SP-MD10 - ContactPerson
<md:ContactPerson>
DEVE:
- essere valorizzato con l'indirizzo email del contatto tecnico del servizio identificato dall'attributo
contactType="technical"
.
Si RACCOMANDA l'utilizzo di un indirizzo impersonale (mailing-list)
Esempio:
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>
Federation (SP-FED)
I requisiti di seguito elencati sono dettate dalla Federazione e destinate ai Service Provider
SP-FED1 - Data
un Service Provider in IDEM riceve automaticamente le seguenti informazioni:
- Un identificativo univoco persistente e targhettizzato dell'utente:
persistent-id
(persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
- L'affiliazione dell'utente con scopo:
affiliation
(eduPersonScopedAffiliation)
Esempio con sp.aai-test.garr.it:
affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=
Ogni informazione aggiuntiva richiesta per l'utilizzo della/e risorsa/e protetta/e dal Service Provider va motivata adeguatamente a idem-help@garr.it
.
SP-FED2 - Info Page
La pagina informativa esposta in lingua italiana e in lingua inglese DEVE contenere:
- la descrizione del servizio
- il pubblico a cui si rivolge il servizio
- la denominazione dell'organizzazione che lo condivide
- indirizzo email per il supporto degli utenti e dei gestori di Identity Provider
- un riferimento alla Privacy Policy seguita dal servizio
SP-FED3 - Privacy Page
La pagina della privacy esposta in lingua italiana e in lingua inglese DEVE contenere le adeguate informazioni circa il trattamento dei dati personali utilizzati.
Per la stesura della privacy policy IDEM suggerisce di seguire le linee guida di REFEDS:
https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers
SP-FED4 - Login Page / Discovery Service
La pagina di accesso ad una risorsa federata in IDEM DEVE contenere:
- il logo di IDEM (Logo IDEM) [e il logo di eduGAIN (JPG | PNG) se vi ha aderito]
- un elenco degli IdP in IDEM [e di quelli in eduGAIN se vi ha aderito]
- un riferimento alla pagina informativa del servizio
REFEDS Best Practices: https://discovery.refeds.org/