Differenze tra le versioni di "Metadata"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
(5 versioni intermedie di 2 utenti non mostrate)
Riga 1: Riga 1:
 +
<blockquote><big>Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.</big></blockquote>
 +
 +
===Distribuzione metadata basata su MDQ===
 +
Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su '''MDQ''' che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.
 +
 
===Flussi di Metadata===
 
===Flussi di Metadata===
  
Riga 11: Riga 16:
  
 
===Certificato===
 
===Certificato===
Tutti i flussi di metadata della Federazione IDEM sono firmati <u>'''fino al 30 Novembre''' '''2021'''</u> con il seguente certificato.
+
Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato.
https://md.idem.garr.it/certs/idem-signer-20220121.pem
 
Fingerprint sha1 del certificato:
 
D1:68:6C:32:A4:E3:D4:FE:47:17:58:E7:15:FC:77:A8:44:D8:40:4D
 
'''<u>A partire dal 30 Novembre 2021</u>''' tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato.
 
 
  https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
  https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
Fingerprint sha1 del certificato:  
 
Fingerprint sha1 del certificato:  
Riga 23: Riga 24:
 
Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione [[Guide]].  
 
Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione [[Guide]].  
  
====Shibboleth Identity Provider 3.x+ & 4.x+====
+
====Shibboleth Identity Provider 3.x+ & 4.0:====
  
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20220121.pem
+
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
*salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>.
 
*salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>.
 
*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':
 
*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':
Riga 34: Riga 35:
 
                   metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">  
 
                   metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">  
 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"  
 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"  
                   certificateFile="${idp.home}/credentials/idem-signer-20220121.pem"/>
+
                   certificateFile="${idp.home}/credentials/idem-signer-20241118.pem"/>
 
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
 
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
 
   <MetadataFilter xsi:type="EntityRoleWhiteList">  
 
   <MetadataFilter xsi:type="EntityRoleWhiteList">  
 +
      <RetainedRole>md:SPSSODescriptor</RetainedRole>
 +
  </MetadataFilter>
 +
</MetadataProvider>
 +
</syntaxhighlight>
 +
 +
==== Shibboleth Identity Provider 4.1+: ====
 +
 +
* scaricare il certificato da <nowiki>https://md.idem.garr.it/certs/idem-signer-20241118.pem</nowiki>
 +
* salvarlo in una directory accessibile a Shibboleth, ad es. <code>/opt/shibboleth-idp/credentials</code>.
 +
* configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':
 +
<syntaxhighlight lang="xml">
 +
<MetadataProvider id="URLMD-IDEM-Federation"
 +
                  xsi:type="FileBackedHTTPMetadataProvider"
 +
                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
 +
                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
 +
  <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
 +
                  certificateFile="${idp.home}/credentials/idem-signer-20241118.pem"/>
 +
  <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
 +
  <MetadataFilter xsi:type="EntityRole">
 
       <RetainedRole>md:SPSSODescriptor</RetainedRole>
 
       <RetainedRole>md:SPSSODescriptor</RetainedRole>
 
   </MetadataFilter>
 
   </MetadataFilter>
Riga 44: Riga 64:
 
====Shibboleth Service Provider 2.5+====
 
====Shibboleth Service Provider 2.5+====
  
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20220121.pem
+
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>.
 
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>.
 
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''':
 
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''IDEM Produzione''':
Riga 52: Riga 72:
 
                   backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200">
 
                   backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200">
 
   <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
 
   <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
   <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20220121.pem"/>
+
   <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
 
</MetadataProvider>
 
</MetadataProvider>
 
</syntaxhighlight>
 
</syntaxhighlight>
Riga 58: Riga 78:
 
====Shibboleth Service Provider 3.x+====
 
====Shibboleth Service Provider 3.x+====
  
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20220121.pem
+
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>.
 
*salvarlo in una directory accessibile a <code>shibd</code>, ad es. <code>/etc/shibboleth</code>.
 
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''eduGAIN e IDEM Produzione''':
 
*configurare certificato e flusso di metadata desiderato in <code>shibboleth2.xml</code>, ad es. per il flusso '''eduGAIN e IDEM Produzione''':
Riga 67: Riga 87:
 
                   maxRefreshDelay="7200">
 
                   maxRefreshDelay="7200">
 
     <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
 
     <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
     <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20220121.pem"/>
+
     <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
 
</MetadataProvider>
 
</MetadataProvider>
 
</syntaxhighlight>
 
</syntaxhighlight>
Riga 73: Riga 93:
 
====simpleSAMLphp Identity Provider 1.4+====
 
====simpleSAMLphp Identity Provider 1.4+====
  
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20220121.pem
+
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
*salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code>
 
*salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code>
 
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':
 
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':
Riga 110: Riga 130:
 
====simpleSAMLphp Service Provider 1.4+====
 
====simpleSAMLphp Service Provider 1.4+====
  
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20220121.pem
+
*scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
 
*salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code>
 
*salvarlo in <code>/var/simplesamlphp/cert/federation-cert.pem</code>
 
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Produzione''':
 
*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Produzione''':

Versione delle 10:10, 4 lug 2022

Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.

Distribuzione metadata basata su MDQ

Il Servizio IDEM ha implementato un nuovo sistema di distribuzione dei metadata basato su MDQ che riduce drasticamente l'occupazione di memoria e i tempi di caricamento. Vedi https://mdx.idem.garr.it per le istruzioni di configurazione.

Flussi di Metadata

IDEM Produzione:

http://md.idem.garr.it/metadata/idem-metadata-sha256.xml

eduGAIN e IDEM Produzione:

http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml

IDEM Test:

http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml

Certificato

Tutti i flussi di metadata della Federazione IDEM sono firmati con il seguente certificato.

https://md.idem.garr.it/certs/idem-signer-20241118.pem

Fingerprint sha1 del certificato:

0E:21:81:8E:06:02:D1:D9:D1:CF:3D:4C:41:ED:5F:F3:43:70:16:79

Istruzioni di configurazione

Le istruzioni sono relative alla sola configurazione dei metadata, per guide complete sull'installazione e la configurazione di IdP e SP andare alla sezione Guide.

Shibboleth Identity Provider 3.x+ & 4.0:

  • scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
  • salvarlo in una directory accessibile a Shibboleth, ad es. /opt/shibboleth-idp/credentials.
  • configurare certificato e flusso di metadata desiderato in /opt/shibboleth-idp/conf/metadata-providers.xml, ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation" 
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" 
                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
                   certificateFile="${idp.home}/credentials/idem-signer-20241118.pem"/>
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
   <MetadataFilter xsi:type="EntityRoleWhiteList"> 
      <RetainedRole>md:SPSSODescriptor</RetainedRole>
   </MetadataFilter>
</MetadataProvider>

Shibboleth Identity Provider 4.1+:

  • scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
  • salvarlo in una directory accessibile a Shibboleth, ad es. /opt/shibboleth-idp/credentials.
  • configurare certificato e flusso di metadata desiderato in /opt/shibboleth-idp/conf/metadata-providers.xml, ad es. per il flusso IDEM Test:
<MetadataProvider id="URLMD-IDEM-Federation" 
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" 
                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
                   certificateFile="${idp.home}/credentials/idem-signer-20241118.pem"/>
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
   <MetadataFilter xsi:type="EntityRole"> 
      <RetainedRole>md:SPSSODescriptor</RetainedRole>
   </MetadataFilter>
</MetadataProvider>

Shibboleth Service Provider 2.5+

<MetadataProvider type="XML" 
                  uri="http://md.idem.garr.it/metadata/idem-metadata-sha256.xml" 
                  backingFilePath="idem-metadata-sha256.xml" reloadInterval="7200">
   <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
   <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
</MetadataProvider>

Shibboleth Service Provider 3.x+

  • scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
  • salvarlo in una directory accessibile a shibd, ad es. /etc/shibboleth.
  • configurare certificato e flusso di metadata desiderato in shibboleth2.xml, ad es. per il flusso eduGAIN e IDEM Produzione:
<MetadataProvider type="XML" 
                  url="http://md.idem.garr.it/metadata/edugain2idem-metadata-sha256.xml" 
                  backingFilePath="edugain2idem-metadata-sha256.xml"
                  maxRefreshDelay="7200">
    <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
    <MetadataFilter type="Signature" certificate="/etc/shibboleth/idem-signer-20241118.pem"/>
</MetadataProvider>

simpleSAMLphp Identity Provider 1.4+

  • scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
  • salvarlo in /var/simplesamlphp/cert/federation-cert.pem
  • configurare certificato e flusso di metadata desiderato in /var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:
<?php

$config = [
   'sets' => [
      'idem' => [
         'cron'    => ['hourly'],
         'sources' => [
                       [
                        'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
                        'certificates' => [
                           '/var/simplesamlphp/cert/federation-cert.pem',
                        ],
                        'template' => [
                           'tags'  => ['idem'],
                           'authproc' => [
                              51 => ['class' => 'core:AttributeMap', 'oid2name'],
                           ],
                        ],

                        'types' => ['saml20-sp-remote'],   // Load only SAML v2.0 SP from metadata
                       ],
                      ],
         'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
         'outputDir'   => 'metadata/',

         'outputFormat' => 'flatfile',
      ],
   ],
];

simpleSAMLphp Service Provider 1.4+

  • scaricare il certificato da https://md.idem.garr.it/certs/idem-signer-20241118.pem
  • salvarlo in /var/simplesamlphp/cert/federation-cert.pem
  • configurare certificato e flusso di metadata desiderato in /var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Produzione:
<?php

$config = [
   'sets' => [
      'idem' => [
         'cron'    => ['hourly'],
         'sources' => [
                       [
                        'src' => 'http://md.idem.garr.it/metadata/idem-metadata-sha256.xml',
                        'certificates' => [
                           '/var/simplesamlphp/cert/federation-cert.pem',
                        ],
                        'template' => [
                           'tags'  => ['idem'],
                           'authproc' => [
                              51 => ['class' => 'core:AttributeMap', 'oid2name'],
                           ],
                        ],

                        'types' => ['saml20-idp-remote'],   // Load only SAML v2.0 IDP from metadata
                       ],
                      ],
         'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
         'outputDir'   => 'metadata/',

         'outputFormat' => 'flatfile',
      ],
   ],
];