Differenze tra le versioni di "Idp4noGCMsps"
Riga 4: | Riga 4: | ||
==Elenco SP che non supportano AES128-GCM== | ==Elenco SP che non supportano AES128-GCM== | ||
+ | '''IMPORTANTE''': La lista nasce grazie ad un IdP Admin che ha condiviso i risultati dei test effettuati sugli SP utilizzati dal suo istituto. Invitiamo gli IdP Admin della Federazione IDEM ad aiutarci a mantenerla. | ||
+ | <br /> | ||
*<nowiki>https://nildeutenti.bo.cnr.it/sp</nowiki> | *<nowiki>https://nildeutenti.bo.cnr.it/sp</nowiki> | ||
Riga 10: | Riga 12: | ||
*<nowiki>https://iam.atypon.com/shibboleth</nowiki> | *<nowiki>https://iam.atypon.com/shibboleth</nowiki> | ||
*<nowiki>https://fsso.springer.com</nowiki> | *<nowiki>https://fsso.springer.com</nowiki> | ||
+ | *... | ||
==Esempio di <MetadataFilter> per SP che supportano solo AES128-CBC== | ==Esempio di <MetadataFilter> per SP che supportano solo AES128-CBC== |
Versione delle 16:21, 3 nov 2020
In questa pagina vengono raccolti tutti i Service Provider (SP) che non supportano l'algoritmo di criptazione delle asserzioni AES128-GCM usato in modo predefinito dallo Shibboleth Identity Provider versione 4.x.
E' possibile utilizzare l'elenco per forzare l'utilizzo del vecchio algoritmo AES128-CBC, vedi sotto.
Elenco SP che non supportano AES128-GCM
IMPORTANTE: La lista nasce grazie ad un IdP Admin che ha condiviso i risultati dei test effettuati sugli SP utilizzati dal suo istituto. Invitiamo gli IdP Admin della Federazione IDEM ad aiutarci a mantenerla.
- https://nildeutenti.bo.cnr.it/sp
- https://sp.tshhosting.com/shibboleth
- https://ticket.iop.org/shibboleth
- https://iam.atypon.com/shibboleth
- https://fsso.springer.com
- ...
Esempio di <MetadataFilter> per SP che supportano solo AES128-CBC
Per forzare l'utilizzo di AES128-CBC con i Service Provider che ancora non supportano AES128-CGM, è possibile utilizzare un MetadataFilter
all'interno della definizione del o dei MetadataProvider
configurati per il proprio Identity Provider, come mostrato nell'esempio che segue.
<MetadataProvider id="URLMD-EDUGAIN2IDEM-Federation"
xsi:type="FileBackedHTTPMetadataProvider
backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
metadataURL="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="${idp.home}/credentials/idem-signer-20220121.pem"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
<MetadataFilter xsi:type="Algorithm">
<!-- CBC-only SPs. -->
<md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
<Entity>https://nildeutenti.bo.cnr.it/sp</Entity>
<Entity>https://sp.tshhosting.com/shibboleth</Entity>
<Entity>https://ticket.iop.org/shibboleth</Entity>
<Entity>https://iam.atypon.com/shibboleth</Entity>
<Entity>https://fsso.springer.com</Entity>
</MetadataFilter>
</MetadataProvider>