Idp4noGCMsps

Da WIKI IDEM GARR.
Versione del 3 nov 2020 alle 16:56 di D.pilori@inrim.it (discussione | contributi) (Aggiunti nuovi SP all'elenco)
Jump to navigation Jump to search

In questa pagina vengono raccolti tutti i Service Provider (SP) che non supportano l'algoritmo di criptazione delle asserzioni AES128-GCM usato in modo predefinito dallo Shibboleth Identity Provider versione 4.x.

E' possibile utilizzare l'elenco per forzare l'utilizzo del vecchio algoritmo AES128-CBC, vedi sotto.

Elenco SP che non supportano AES128-GCM

IMPORTANTE: La lista nasce grazie ad un IdP Admin che ha condiviso i risultati dei test effettuati sugli SP utilizzati dal suo istituto. Invitiamo gli IdP Admin della Federazione IDEM ad aiutarci a mantenerla.

  • https://nildeutenti.bo.cnr.it/sp
  • https://sp.tshhosting.com/shibboleth
  • https://ticket.iop.org/shibboleth
  • https://iam.atypon.com/shibboleth
  • https://fsso.springer.com
  • https://bestr.it/shibboleth
  • https://secure.nature.com/shibboleth
  • https://auth.osa.org/oa/entity
  • https://www.spiedigitallibrary.org/oa/entity
  • https://www.degruyter.com/shibboleth
  • https://wiki.idem.garr.it/rp
  • ...

Esempio di <MetadataFilter> per SP che supportano solo AES128-CBC

Per forzare l'utilizzo di AES128-CBC con i Service Provider che ancora non supportano AES128-CGM, è possibile utilizzare un MetadataFilter all'interno della definizione del o dei MetadataProvider configurati per il proprio Identity Provider, come mostrato nell'esempio che segue. 

<MetadataProvider id="URLMD-EDUGAIN2IDEM-Federation"
                  xsi:type="FileBackedHTTPMetadataProvider
                  backingFile="%{idp.home}/metadata/edugain2idem-metadata-sha256.xml"
                  metadataURL="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml">

    <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                    certificateFile="${idp.home}/credentials/idem-signer-20220121.pem"/>

    <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>

    <MetadataFilter xsi:type="EntityRoleWhiteList">
        <RetainedRole>md:SPSSODescriptor</RetainedRole>
    </MetadataFilter>

    <MetadataFilter xsi:type="Algorithm">
     
        <!-- CBC-only SPs. -->
        <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
        <Entity>https://nildeutenti.bo.cnr.it/sp</Entity>
        <Entity>https://sp.tshhosting.com/shibboleth</Entity>
        <Entity>https://ticket.iop.org/shibboleth</Entity>
        <Entity>https://iam.atypon.com/shibboleth</Entity>
        <Entity>https://fsso.springer.com</Entity>
 	<Entity>https://bestr.it/shibboleth</Entity>
	<Entity>https://secure.nature.com/shibboleth</Entity>
	<Entity>https://auth.osa.org/oa/entity</Entity>
	<Entity>https://www.spiedigitallibrary.org/oa/entity</Entity>
	<Entity>https://www.degruyter.com/shibboleth</Entity>
        <Entity>https://wiki.idem.garr.it/rp</Entity>
    </MetadataFilter>

</MetadataProvider>


Estratto da "https://wiki.idem.garr.it/w/index.php?title=Idp4noGCMsps&oldid=9123"