Differenze tra le versioni di "Idp4noGCMsps"
Jump to navigation
Jump to search
Riga 1: | Riga 1: | ||
− | In questa pagina vengono raccolti tutti | + | In questa pagina vengono raccolti tutti i Service Provider (SP) che non supportano l'algoritmo di criptazione delle asserzioni AES128-GCM usato in modo predefinito dallo Shibboleth Identity Provider versione 4.x. |
+ | |||
+ | E' possibile utilizzare l'elenco per forzare l'utilizzo del vecchio algoritmo AES128-CBC, vedi sotto. | ||
==Elenco SP che non supportano AES128-GCM== | ==Elenco SP che non supportano AES128-GCM== | ||
Riga 10: | Riga 12: | ||
==Esempio di <MetadataProvider> per i metadata "edugain2idem-metadata-sha-256.xml"== | ==Esempio di <MetadataProvider> per i metadata "edugain2idem-metadata-sha-256.xml"== | ||
− | <syntaxhighlight lang="xml"> | + | Per forzare l'utilizzo di AES128-CBC con i Service Provider che ancora non supportano AES128-CGM, è possibile utilizzare un <code>MetadataFilter</code> all'interno della definizione del o dei <code>MetadataProvider</code> configurati per il proprio Identity Provider, come mostrato nell'esempio che segue. <syntaxhighlight lang="xml"> |
<MetadataProvider id="URLMD-EDUGAIN2IDEM-Federation" | <MetadataProvider id="URLMD-EDUGAIN2IDEM-Federation" | ||
xsi:type="FileBackedHTTPMetadataProvider | xsi:type="FileBackedHTTPMetadataProvider |
Versione delle 16:12, 3 nov 2020
In questa pagina vengono raccolti tutti i Service Provider (SP) che non supportano l'algoritmo di criptazione delle asserzioni AES128-GCM usato in modo predefinito dallo Shibboleth Identity Provider versione 4.x.
E' possibile utilizzare l'elenco per forzare l'utilizzo del vecchio algoritmo AES128-CBC, vedi sotto.
Elenco SP che non supportano AES128-GCM
- https://nildeutenti.bo.cnr.it/sp
- https://sp.tshhosting.com/shibboleth
- https://ticket.iop.org/shibboleth
- https://iam.atypon.com/shibboleth
- https://fsso.springer.com
Esempio di <MetadataProvider> per i metadata "edugain2idem-metadata-sha-256.xml"
Per forzare l'utilizzo di AES128-CBC con i Service Provider che ancora non supportano AES128-CGM, è possibile utilizzare un MetadataFilter
all'interno della definizione del o dei MetadataProvider
configurati per il proprio Identity Provider, come mostrato nell'esempio che segue.
<MetadataProvider id="URLMD-EDUGAIN2IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="${idp.home}/credentials/idem-signer-20220121.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
<MetadataFilter xsi:type="Algorithm">
<!-- CBC-only SPs. -->
<md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
<Entity>https://nildeutenti.bo.cnr.it/sp</Entity>
<Entity>https://sp.tshhosting.com/shibboleth</Entity>
<Entity>https://ticket.iop.org/shibboleth</Entity>
<Entity>https://iam.atypon.com/shibboleth</Entity>
<Entity>https://fsso.springer.com</Entity>
</MetadataFilter>
</MetadataProvider>