RequisitiEntita

Da WIKI IDEM GARR.
Versione del 12 mag 2021 alle 15:54 di Malavolti@garr.it (discussione | contributi) (Annullate le modifiche di Malavolti@garr.it (discussione), riportata alla versione precedente di Vaghetti@garr.it)
Jump to navigation Jump to search

In questa pagina sono indicati i requisiti richiesti dalla Federazione Italiana delle Identità Digitali IDEM GARR AAI.

Indice

Security (SEC) - Identity Provider & Service Provider

I requisiti di seguito elencati sono relativi al certificato SSL utilizzato per l'interfaccia HTTPS del servizio.

Non riguardano invece i certificati utilizzati dagli Identity e Service Provider per cifrare e firmare digitalmente le asserzioni presenti nei metadata.

SEC01 - Grado di robustezza SSL

il certificato SSL utilizzato sulla porta HTTPS del servizio DEVE riportare almeno un grado B su SSL Labs: https://www.ssllabs.com/ssltest/

[TOP]

SEC02 - Chain issue

il certificato SSL utilizzato sulla porta HTTPS del servizio DEVE essere privo di "Chain issues" (errori sulla catena della CA) --- verificabile con SSL Labs.

[TOP]

Identity Provider

Metadata (IDP-MD)

I requisiti di seguito elencati sono relativi ai metadata di un Identity Provider (IDP) e seguono le direttive indicate in SAML V2.0 Deployment Profile for Federation Interoperability.


IDP-MD01 - validUntil

validUntil , attributo contenuto nell'elemento <md:EntityDescriptor>, DEVE essere rimosso assieme al suo valore in quanto è la Federazione a compilarlo.

[TOP]

IDP-MD02 - entityID

entityID , attributo contenuto nell'elemento <md:EntityDescriptor>, DEVE essere una URI assoluta di lunghezza massima 256 caratteri.

Si RACCOMANDA di scegliere un valore che abbia la più bassa probabilità di modifica possibile.


Esempio:

entityID="https://idp.example.org/idp/shibboleth"

[TOP]

IDP-MD03 - Scope

<shibmd:Scope>, contenuto nell'elemento <md:Extension>, DEVE:

  • assumere valori di dominio nella disponibilità dell'organizzazione (strumento di verifica WHOIS)


Esempio:

<shibmd:Scope>example.org</shibmd:Scope>

[TOP]

IDP-MD04 - DisplayName

<mdui:DisplayName>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • essere valorizzato con il nome del servizio da mostrare all'utente
  • essere definito sia per la lingua italiana, sia per la lingua inglese


Esempio:

<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>

[TOP]

IDP-MD05 - Description

<mdui:Description>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • essere valorizzato con una breve descrizione del servizio
  • essere definito sia per la lingua italiana, sia per la lingua inglese


Esempio:

<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description> 
<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>

[TOP]

IDP-MD06 - InformationURL

<mdui:InformationURL>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • essere valorizzato con la URL della pagina informativa del servizio
  • essere definito sia per la lingua italiana, sia per la lingua inglese

Per il contenuto della pagina informativa vedi IDP-FED02.


Esempio:

<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL> 
<mdui:InformationURL xml:lang="it">https://...pagina di informazioni in italiano...</mdui:InformationURL>

[TOP]

IDP-MD07 - PrivacyStatementURL

<mdui:PrivacyStatementURL>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • essere valorizzato con la URL della pagina sul trattamento dei dati personali del servizio
  • essere definito sia per la lingua italiana, sia per la lingua inglese

Per il contenuto della pagina sul trattamento dei dati personali vedi IDP-FED03.


Esempio:

<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>  
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>

[TOP]

<mdui:Logo>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • essere valorizzato con le URL https:// dei loghi dell'organizzazione in formato PNG (si RACCOMANDA uno sfondo trasparente) nei formati:
    • 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
    • 80x60 pixel (o maggiore se rispetta l'aspect-ratio)


Esempio:

<mdui:Logo width="16" height="16">https://...favicon_16x16.png...</mdui:Logo>
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>

[TOP]

IDP-MD09 - KeyDescriptor

I metadata DEVONO contenere almeno un elemento <md:KeyDescriptor> con le seguenti caratteristiche:

  • privo di ulteriori attributi o con il solo attributo use="signing";
  • che contenga un certificato X.509 in formato PEM.
<md:KeyDescriptor use="signing">
   <ds:KeyInfo>
      <ds:X509Data>
         <ds:X509Certificate>
         MII[..]
         </ds:X509Certificate>
      </ds:X509Data>
   </ds:KeyInfo>
</md:KeyDescriptor>

[TOP]

IDP-MD10 - SingleSignOnService

<md:SingleSignOnService> DEVE:

  • essere presente con l'attributo Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect' perchè necessario alle Authentication Request (AuthnRequest);
  • essere presente con l'attributo Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST' perchè necessario alle Authentication Response (AuthnResponse);
  • in tutti i casi, contenere un attributo Location valorizzato con una URL protetta da SSL (https://).

Esempio:

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>

[TOP]

IDP-MD11 - SingleLogoutService

<md:SingleLogoutService> DEVE:

  • essere presente con l'attributo Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect' perchè necessario alle Logout Request (LogoutRequest);
  • contenere un attributo Location valorizzato con una URL protetta da SSL (https://).

Esempio:

<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>

[TOP]

IDP-MD12 - OrganizationName

<md:OrganizationName> , contenuto nell'elemento <md:Organization>, DEVE:

  • contenere il nome dell'organizzazione a cui afferisce il servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<md:OrganizationName xml:lang="en">Example University</md:OrganizationName> 
<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>

[TOP]

IDP-MD13 - OrganizationDisplayName

<md:OrganizationDisplayName> , contenuto nell'elemento <md:Organization>, DEVE:

  • contenere il nome dell'organizzazione che verrà mostrato nelle interfacce utente;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>

[TOP]

IDP-MD14 - OrganizationURL

<md:OrganizationURL>, contenuto nell'elemento <md:Organization>, DEVE:

  • contenere la URL del sito principale dell'organizzazione a cui afferisce il servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL> 
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>

[TOP]

IDP-MD15 - ContactPerson

I metadata DEVONO contenere almeno un elemento <md:ContactPerson> con le seguenti caratteristiche:

  • contenere l'indirizzo email del contatto tecnico del servizio;
  • contenere l'attributo contactType="technical";

Si RACCOMANDA di utilizzare un indirizzo impersonale (ad esempio una mailing-list).


Esempio:

<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>

[TOP]


Federation (IDP-FED)

I requisiti di seguito elencati sono dettati dalla Federazione e destinati agli Identity Provider.

IDP-FED01 - Data

Un Identity Provider in IDEM DEVE essere in grado di rilasciare le seguenti informazioni:

  1. un identificativo univoco, persistente, diverso per ogni servizio e trasmissibile in una delle seguenti forme:
    • nell'elemento <NameID> con attributo Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" se indicato nei metadata del Service Provider;
    • nell'attributo eduPersonTargetedID per i Service Provider che lo richiedono nell'elemento <md:RequestedAttribute>;
  2. l'attributo eduPersonScopedAffiliation, l'affiliazione dell'utente con l'aggiunta dello scope.

Esempio con sp.aai-test.garr.it:

eduPersonScopedAffiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=

in rea[TOP]

IDP-FED02 - Informazioni

La pagina informativa esposta in lingua italiana e in lingua inglese DEVE contenere:

  1. un riferimento per il supporto agli utenti (ad esempio un indirizzo di posta, o un web form, ecc.);
  2. un collegamento alla pagina sul trattamento dei dati personali;
  3. il Logo di IDEM e il link al Sito di IDEM.

[TOP]

IDP-FED03 - Trattamento dati personali

La pagina sul trattamento dei dati personali DEVE contenere tutte le informazioni previste dagli artt. 13 e 14 del Regolamento UE 679/2016.

A titolo esemplificativo, Il Servizio IDEM GARR AAI rende disponibile il seguente modello: InformativaDatiPersonaliIdP.

[TOP]

IDP-FED04 - Login

La pagina di login di un Identity Provider federato in IDEM DEVE contenere:

  • il collegamento alla pagina informativa indicata da <mdui:InformationURL> (IDP-MD06)
  • il collegamento alla pagina sul trattamento dei dati personali indicata da <mdui:PrivacyStatementURL> (IDP-MD07)
  • il logo di IDEM (Logo IDEM)
  • il riferimento al Contatto Tecnico o al Contatto di Supporto per la risoluzione delle problematiche legate all'accesso alle risorse da parte degli utenti

[TOP]

IDP-FED05 - Certificati metadata

Il certificato o i certificati utilizzati per firmare e cifrare le asserzioni dell'IdP DOVREBBERO essere:

  • di lunga durata (30 anni);
  • autofirmati (self-signed);
  • validi (non scaduto);
  • non firmati con algoritmi di firma basati su MD5 o SHA1;
  • corrispondenti ad una chiave privata di almeno 3072 bit.

In ogni caso la chiave privata corrispondente NON DEVE avere una lunghezza minore di 2048 bit.

Esempio IdP Metadata

<md:EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" entityID="https://idp.example.org/idp/shibboleth">
 <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <md:Extensions>
   <shibmd:Scope regexp="false">example.org</shibmd:Scope>
   <mdui:UIInfo>
    <mdui:DisplayName xml:lang="en">ENG IDP DISPLAYNAME</mdui:DisplayName>
    <mdui:DisplayName xml:lang="it">ITA IDP DISPLAYNAME</mdui:DisplayName>
    <mdui:Description xml:lang="en">ENG IDP DESCRIPTION</mdui:Description>
    <mdui:Description xml:lang="it">ITA IDP DESCRIPTION</mdui:Description>
    <mdui:InformationURL xml:lang="en">HTTPS URL ENG INFO PAGE</mdui:InformationURL>
    <mdui:InformationURL xml:lang="it">HTTPS URL ITA INFO PAGE</mdui:InformationURL>
    <mdui:PrivacyStatementURL xml:lang="en">URL ENG PRIVACY POLICY PAGE</mdui:PrivacyStatementURL>
    <mdui:PrivacyStatementURL xml:lang="it">URL ITA PRIVACY POLICY PAGE</mdui:PrivacyStatementURL>
    <mdui:Logo width="80" height="60">HTTPS URL LOGO</mdui:Logo>
    <mdui:Logo width="16" height="16">HTTPS URL FAVICON</mdui:Logo>
   </mdui:UIInfo>
  </md:Extensions>
  <md:KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>
        MII...
     </ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </md:KeyDescriptor>
  <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/idp/profile/SAML2/Redirect/SLO"/>
  <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
  <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
  <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.org/idp/profile/SAML2/Redirect/SSO"/>
  <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.example.org/idp/profile/SAML2/POST/SSO"/>
 </md:IDPSSODescriptor>
 <md:Organization>
  <md:OrganizationName xml:lang="it">ITA IDP ORGANIZATION NAME</md:OrganizationName>
  <md:OrganizationName xml:lang="en">ENG IDP ORGANIZATION NAME</md:OrganizationName>
  <md:OrganizationDisplayName xml:lang="it">ITA IDP DISPLAYNAME ORGANIZATION</md:OrganizationDisplayName>
  <md:OrganizationDisplayName xml:lang="en">ENG IDP DISPLAYNAME ORGANIZATION</md:OrganizationDisplayName>
  <md:OrganizationURL xml:lang="it">https://example.org/it</md:OrganizationURL>
  <md:OrganizationURL xml:lang="en">https://example.org/en</md:OrganizationURL>
 </md:Organization>
 <md:ContactPerson contactType="technical">
  <md:GivenName>EXAMPLE CONTACT NAME</md:GivenName>
  <md:SurName>EXAMPLE CONTACT SURNAME</md:SurName>
  <md:EmailAddress>mailto:technical.contact@example.org</md:EmailAddress>
 </md:ContactPerson>
</md:EntityDescriptor>

Service Provider

Metadata (SP-MD)

I requisiti di seguito elencati sono relativi ai metadata che descrivono un Service Provider (SP)


SP-MD01 - validUntil

validUntil , attributo contenuto nell'elemento <md:EntityDescriptor>, DEVE essere rimosso assieme al suo valore in quanto è la Federazione a compilarlo.

[TOP]

SP-MD02 - entityID

entityID , attributo contenuto nell'elemento <md:EntityDescriptor>, DEVE essere una URI assoluta di lunghezza massima 256 caratteri.

Si RACCOMANDA di scegliere un valore che abbia la più bassa probabilità di modifica possibile.


Esempio:

entityID="https://sp.example.org/shibboleth"

[TOP]

SP-MD03 - DisplayName

<mdui:DisplayName> , contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • contenere il nome della risorsa da mostrare all'utente. Attenzione: il nome non deve usare la parola "IDEM", riservata al Servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<mdui:DisplayName xml:lang="en">Resource provided by Example Organization</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Risorsa erogata da Organizzazione di Esempio</mdui:DisplayName>

[TOP]

SP-MD04 - Description

<mdui:Description> , contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • contenere una breve descrizione del servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<mdui:Description xml:lang="en">The resource allow you to ...</mdui:Description> 
<mdui:Description xml:lang="it">La risorsa ti permette di ...</mdui:Description>

[TOP]

SP-MD03 - InformationURL

<mdui:InformationURL> , contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • contenere la URL della pagina informativa del servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.

Esempio:

<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL> 
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>

[TOP]

SP-MD04 - PrivacyStatementURL

<mdui:PrivacyStatementURL>, contenuto nell'elemento <mdui:UIInfo>, DEVE:

  • contenere la URL della pagina sul trattamento dei dati personali del servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>  
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>

[TOP]

<mdui:Logo> , contenuto nell'elemento <mdui:UIInfo>, DOVREBBE:

  • contenere una URL https:// riportante il logo dell'organizzazione in formato PNG (si RACCOMANDA uno sfondo possibilmente trasparente) con:
    • base: dai 64 px ai 350 px;
    • altezza: dai 64px ai 146px;


Esempio:

<mdui:Logo width="64" height="64">https://...logo.png</mdui:Logo>

[TOP]

SP-MD08 - KeyDescriptor

I metadata DEVONO contenere almeno un elemento <md:KeyDescriptor> con le seguenti caratteristiche:

  • privo di ulteriori attributi o con il solo attributo use="encryption";
  • che contenga un certificato X.509 in formato PEM.
<md:KeyDescriptor use="encryption">
   <ds:KeyInfo>
      <ds:X509Data>
         <ds:X509Certificate>
         MII[..]
         </ds:X509Certificate>
      </ds:X509Data>
   </ds:KeyInfo>
</md:KeyDescriptor>

Se il Service Provider supporta il Single Logout, DEVE essere presente un ulteriore elemento <md:KeyDescriptor> con l'attributo use="signing".

[TOP]

SP-MD09 - RequestedAttribute

<md:RequestedAttribute> , contenuto nell'elemento <md:AttributeConsumingService>, DEVE:

  • contenere tutti e soli gli attributi SAML richiesti dalla risorsa;
  • indicare gli attributi indispensabili all'accesso e all'utilizzo della risorsa con il parametro isRequired="true"
  • indicare gli attributi non indispensabili all'accesso e all'utilizzo della risorsa con il parametro isRequired="false"


Esempio:

<md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
<md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>

[TOP]

SP-MD10 - OrganizationName

<md:OrganizationName> , contenuto nell'elemento <md:Organization>, DEVE:

  • contenere il nome dell'organizzazione che offre il servizio;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<md:OrganizationName xml:lang="en">Example Organization</md:OrganizationName> 
<md:OrganizationName xml:lang="it">Organizzazione di Esempio</md:OrganizationName>

[TOP]

SP-MD11 - OrganizationDisplayName

<md:OrganizationDisplayName> , contenuto nell'elemento <md:Organization>, DEVE:

  • contenere il nome dell'organizzazione che offre il servizio da mostrare all'utente;
  • essere definito sia per la lingua italiana, sia per la lingua inglese.


Esempio:

<md:OrganizationDisplayName xml:lang="en">Resource provided by Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Risorsa erogata da Università di Esempio</md:OrganizationDisplayName>

[TOP]

SP-MD12 - OrganizationURL

<md:OrganizationURL>, contenuto nell'elemento <md:Organization>, DEVE:

  • contenere la URL del sito principale dell'organizzazione che offre il servizio.
  • essere definito sia per la lingua italiana, sia per la lingua inglese;


Esempio:

<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL> 
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>

[TOP]

SP-MD13 - ContactPerson

<md:ContactPerson> DEVE:

  • essere valorizzato con l'indirizzo email del contatto tecnico del servizio identificato dall'attributo contactType="technical".
    Si RACCOMANDA l'utilizzo di un indirizzo impersonale (mailing-list)


Esempio:

<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>

[TOP]

Federation (SP-FED)

I requisiti di seguito elencati sono dettate dalla Federazione e destinate ai Service Provider.

SP-FED01 - Data

un Service Provider in IDEM riceve automaticamente le seguenti informazioni:

  1. Un identificativo univoco persistente e targhettizzato dell'utente:
    • persistent-id (persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
  2. L'affiliazione dell'utente con scopo:
    • affiliation (eduPersonScopedAffiliation)


Esempio con sp.aai-test.garr.it:

affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=

Ogni informazione aggiuntiva richiesta per l'utilizzo della/e risorsa/e protetta/e dal Service Provider va motivata adeguatamente a idem-help@garr.it.

[TOP]

SP-FED02 - Informazioni

La pagina informativa esposta in lingua italiana e in lingua inglese DEVE contenere:

  1. la descrizione del servizio;
  2. il pubblico a cui si rivolge il servizio;
  3. la denominazione dell'organizzazione che lo gestisce;
  4. il riferimento al supporto utenti;
  5. il collegamento alla pagina sul trattamento dei dati personali.

[TOP]

SP-FED03 - Trattamento dati

La pagina sul trattamento dei dati personali DEVE contenere tutte le informazioni previste dagli artt. 13 e 14 del Regolamento UE 679/2016.

Per la stesura della privacy policy IDEM suggerisce di seguire le linee guida di REFEDS:

https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers

[TOP]

SP-FED03 - Login Page / Discovery Service

La pagina di accesso ad una risorsa federata in IDEM DEVE contenere:

  • l'elenco degli IdP abilitati provenienti da IDEM ed eduGAIN;
  • un riferimento alla pagina informativa del servizio (SP-MD3)

Il Servizio suggerisce di seguire le REFEDS Best Practices: https://discovery.refeds.org/

[TOP]

SP-FED04 - Certificati metadata

Il certificato o i certificati utilizzati per firmare e cifrare le asserzioni dell'IdP DOVREBBERO essere:

  • di lunga durata (30 anni);
  • autofirmati (self-signed);
  • validi (non scaduto);
  • non firmati con algoritmi di firma basati su MD5 o SHA1;
  • corrispondenti ad una chiave privata di almeno 3072 bit.

In ogni caso la chiave privata corrispondente NON DEVE avere una lunghezza minore di 2048 bit.

Esempio Metadata Service Provider

<md:EntityDescriptor entityID="https://sp.example.com/shibboleth"
                     xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
                     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                     xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
   <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:Extensions>
         <init:RequestInitiator
            xmlns:init="urn:oasis:names:tc:SAML:profiles:SSO:request-init"
            Binding="urn:oasis:names:tc:SAML:profiles:SSO:request-init"
            Location="https://sp.example.com/Shibboleth.sso/Login" />
         <idpdisc:DiscoveryResponse
            xmlns:idpdisc="urn:oasis:names:tc:SAML:profiles:SSO:idp-discovery-protocol"
            Binding="urn:oasis:names:tc:SAML:profiles:SSO:idp-discovery-protocol"
            Location="https://sp.example.com/Shibboleth.sso/DS" index="1" />
         <mdui:UIInfo>
            <mdui:DisplayName xml:lang="en">ENG DISPLAY NAME</mdui:DisplayName>
            <mdui:DisplayName xml:lang="it">ITA DISPLAY NAME</mdui:DisplayName>
            <mdui:Description xml:lang="en">ENG DESCRIPTION</mdui:Description>
            <mdui:Description xml:lang="it">ITA DESCRIPTION</mdui:Description>
            <mdui:InformationURL xml:lang="en">HTTPS ENG INFORMATION PAGE URL</mdui:InformationURL>
            <mdui:InformationURL xml:lang="it">HTTPS ITA INFORMATION PAGE URL</mdui:InformationURL>
            <mdui:Logo height="16" width="16">HTTPS RESOURCE FAVICON PNG</mdui:Logo>
            <mdui:Logo height="60" width="80">HTTPS RESOURCE LOGO PNG</mdui:Logo>
            <mdui:PrivacyStatementURL xml:lang="en">HTTPS ENG PRIVACY POLICY PAGE URL</mdui:PrivacyStatementURL>
            <mdui:PrivacyStatementURL xml:lang="it">HTTPS ITA PRIVACY POLICY PAGE URL</mdui:PrivacyStatementURL>
         </mdui:UIInfo>
      </md:Extensions>
      <md:KeyDescriptor>
         <ds:KeyInfo>
            <ds:X509Data>
               <ds:X509Certificate>
                  MII...
               </ds:X509Certificate>
            </ds:X509Data>
         </ds:KeyInfo>
      </md:KeyDescriptor>
      <md:SingleLogoutService
         Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
         Location="https://sp.example.com/Shibboleth.sso/SLO/Redirect" />
      <md:SingleLogoutService
         Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
         Location="https://sp.example.com/Shibboleth.sso/SLO/POST" />
      <md:AssertionConsumerService
         Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
         Location="https://sp.example.com/Shibboleth.sso/SAML2/POST"
         index="1" />
      <md:AttributeConsumingService index="1">
         <!-- example for the required attribute: mail -->
         <md:RequestedAttribute FriendlyName="mail"
            Name="urn:oid:0.9.2342.19200300.100.1.3"
            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
            isRequired="true" />
         <!-- example for the desired attribute: eduPersonPrincipalName -->
         <md:RequestedAttribute FriendlyName="eppn"
            Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
            isRequired="false" />
      </md:AttributeConsumingService>
   </md:SPSSODescriptor>
   <md:Organization>
      <md:OrganizationName xml:lang="en">ENG ORGANIZATION NAME</md:OrganizationName>
      <md:OrganizationName xml:lang="it">ITA ORGANIZATION NAME</md:OrganizationName>
      <md:OrganizationDisplayName xml:lang="en">ENG ORGANIZATION DISPLAY NAME</md:OrganizationDisplayName>
      <md:OrganizationDisplayName xml:lang="it">ITA ORGANIZATION DISPLAY NAME</md:OrganizationDisplayName>
      <md:OrganizationURL xml:lang="en">ENG ORGANIZATION URL</md:OrganizationURL>
      <md:OrganizationURL xml:lang="it">ITA ORGANIZATION URL</md:OrganizationURL>
   </md:Organization>
   <md:ContactPerson contactType="technical">
      <md:EmailAddress>mailto:technical.contact.mailing.list@example.org</md:EmailAddress>
   </md:ContactPerson> 
</md:EntityDescriptor>