Differenze tra le versioni di "RegistraEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
 
(111 versioni intermedie di 4 utenti non mostrate)
Riga 1: Riga 1:
 
==Registrazione IdP==
 
==Registrazione IdP==
 +
Prima di entrare nella '''Federazione IDEM di produzione''' è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
  
===Istruzioni metadata===
+
Lo strumento per registrare i metadata si chiama '''IDEM Registry'''.
  
#'''entityID''': Verificare che sia riportato lo stesso valore su:
+
La prima registrazione di un'entità '''non''' richiede "Log in".
#*Richiesta di Adesione ('''RA''')
 
#*Identity Provider Registration Request ('''IDPRR''')
 
#*Metadata dell'entità: IDEM Entity Registry & IdP Metadata
 
#'''eduGAIN''': Verificare quanto indicato sul modulo IDPRR per l'opt-out dall'interfederazione. Valore di default: ''Opt-In''
 
#'''IdP Metadata''':
 
#*''Lo Scope'':
 
#**<code><shibmd:Scope></code>: Il valore/i valori dei domini in questo elemento sono relativi all'organizzazione?
 
#***Verificare con: [https://www.whois.com/whois WHOIS]
 
#*''MDUI e varie'':
 
#:#<u>DisplayName</u>: Nome dell'organizzazione visualizzato nei Discovery Service
 
#:#*<code><mdui:DisplayName xml:lang="en"></code>: University...
 
#:#*<code><mdui:DisplayName xml:lang="it"></code>: Università...
 
#:#<u>Description</u>: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
 
#:#*<code><mdui:Description xml:lang="en"></code>
 
#:#*<code><mdui:Description xml:lang="it"></code>
 
#:#<u>InformationUrl</u>: Pagina informativa per gli utenti finali.
 
#:#*<code><mdui:InformationUrl xml:lang="en"></code>
 
#:#*<code><mdui:InformationUrl xml:lang="it"></code>
 
#:#:Tale pagina dovrà contenere:
 
#:#::*Elenco attributi supportati dall'IdP
 
#:#::*Federazioni a cui l'IdP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#::*Indirizzo di posta elettronica di supporto agli utenti su IDEM e le credenziali di autenticazione
 
#:#<u>PrivacyStatementUrl</u>: Privacy Policy dell'organizzazione/IdP
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="en"></code>
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="it"></code>
 
#:#<u>Logo</u>: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio delle dimensioni indicate)
 
#:#*<code><mdui:Logo xml:lang="en" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="en" width="80" height="60"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="80" height="60"></code>
 
#:#:Tali Loghi, secondo le indicazioni date da [https://wiki.refeds.org/display/FBP/MDUI+-+Software+recommendations#MDUI-Softwarerecommendations-PerMDUIElementinformation-IdP REFEDS], devono:
 
#:#:* Essere reperibili da URL protette da HTTPS (con certificato valido)
 
#:#:* Avere la dimensione di 80x60 px (o più grande se rispetta l'aspect-ratio) per il logo più grande in ITA e in ENG
 
#:#:* Avere la dimensione di 16x16 px (o più grande se rispetta l'aspect-ratio) per il logo più piccolo in ITA e in ENG
 
#:#:* Avere lo sfondo trasparente (possibilmente)
 
#:#<u>OrganizationName</u>: Nome dell'organizzazione
 
#:#*<code><md:OrganizationName xml:lang="en"></code>
 
#:#*<code><md:OrganizationName xml:lang="it"></code>
 
#:#<u>OrganizationDisplayName</u>: Nome dell'organizzazione da mostrare sui Discovery Service
 
#:#*<code><md:OrganizationDisplayName xml:lang="en"></code>: University...
 
#:#*<code><md:OrganizationDisplayName xml:lang="it"></code>: Università...
 
#:#<u>OrganizationUrl</u>: URL del sito web dell'organizzazione
 
#:#*<code><md:OrganizationUrl xml:lang="en"></code>
 
#:#*<code><md:OrganizationUrl xml:lang="it"></code>
 
#:#<u>ContactPerson</u>: Contatti relativi all'IdP e all'organizzazione
 
#:#*<code><md:ContactPerson contactType="technical"></code>: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP
 
#*<code>ValidUntil</code>: sui metadata dell'IdP forniti alla federazione IDEM '''non devono essere presenti'''
 
#*''Endpoint HTTPS'': tutti gli endpoint/URL devono essere protette da HTTPS
 
#*''Binding'': assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
 
#:*<code><ArtifactResolutionService></code>
 
#:*<code><SingleLogoutService></code>
 
#:*<code><SingleSignOnService></code>
 
#:*<code><AttributeService></code>
 
  
===Validazione metadata===
+
In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
===Pre-requisiti:===
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
 
#:*Premere su "Validate"
 
#:*Controllare che '''''Errors''''' e '''''Warnings''''' non abbiano anomalie per il proprio IdP.
 
  
===Validazione certificati===
+
#Aver completato l'installazione di un Identity Provider (IdP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
 +
#L'IdP '''deve''' rilasciare i seguenti attributi al SP IDEM Registry (<code>entityID="<nowiki>https://registry.idem.garr.it/shibboleth</nowiki>"</code>):
 +
#*email
 +
#*eduPersonPrincipalName
 +
#*eduPersonTargetedID
 +
#*givenName
 +
#*surname
 +
#In caso di mancato rilascio attributi consultare la sezione [[ComeRilasciareAttributiShibv4]] e [[RilascioAttributi]].
  
#Controllare la robustezza del proprio IdP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
===Workflow===
#*Controllare certificato e catena della CA sulla porta 443
+
Ecco gli step a cura del gestore dell'IdP:
#*Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
 
#Pagina di Login:
 
#*Verificare che sia protetta da una CA riconosciuta dal browser
 
  
===Test di accesso===
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Identity Provider via IDEM Entity Registry|come funziona?]])
Eseguire una login su https://sp24-test.garr.it/secure e, dopo aver verificato di vedere '<code>eduPersonTargetedID</code>' e '<code>affiliation</code>', comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it]
+
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
 +
#Da questo momento è possibile fare login su [https://registry.idem.garr.it IDEM Entity Registry] premendo su '''Login via IDEM,''' selezionare e raggiungere il '''proprio istituto/IdP''' e '''accedere''' inserendo le proprie credenziali utente:
 +
#*se il login ha problemi tornare al punto "[[#Workflow|Pre-requisiti]]" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
 +
#Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
 +
#Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.
 +
 
 +
'''IMPORTANTE'''<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
 +
 
 +
===Requisiti===
 +
 
 +
#Requisiti dei metadata '''a carico dei gestori degli IdP''' come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
 +
 
 +
{| class="wikitable"
 +
|+
 +
!Requisito
 +
!In sintesi
 +
!Rif.
 +
!Note
 +
|-
 +
|KeyDescriptor
 +
|includere un elemento <code><md:KeyDescriptor></code> contenente la/le chiave/i pubblica/che del IdP in formato X.509.
 +
La chiave privata corrispondente DOVREBBE essere di <u>almeno 3072 bit</u> e, comunque, non inferiore a 2048 bit.
 +
|IDEM Metadata Profle [1], sez. 6.1
 +
|
 +
|-
 +
|Organization
 +
|includere un elemento <code><md:Organization></code> con i sotto elementi:
 +
 
 +
*<code><md:OrganizationName></code>
 +
*<code><md:OrganizationDisplayName></code>
 +
*<code><md:OrganizationURL></code>
 +
 
 +
Tutti gli elementi dovranno avere valori in italiano ed in inglese.
 +
|IDEM Metadata Profile [1], sez. 6.2
 +
|
 +
|-
 +
|mdui
 +
|includere un elemento <code><mdui:UIInfo></code> con i sotto elementi:
 +
 
 +
*<code><mdui:DisplayName></code>: coincide con <code><md:OrganizationDisplayName></code> e '''non deve''' '''contenere''' la parola "'''IDEM'''" perchè riservata al [https://idem.garr.it/federazione-idem/la-federazione#servizio Servizio] o la parola "eduGAIN" perchè riservata a [https://edugain.org/about-edugain/what-is-edugain/ eduGAIN];
 +
*<code><mdui:Description></code>: ad es. "IdP per gli utenti di.." + Organizzazione;
 +
*<code><mdui:InformationURL></code>: pagina informativa per gli utenti;
 +
*<code><mdui:PrivacyStatementURL></code>: pagina con le informazioni sul trattamento dei dati. [[InformativaDatiPersonaliIdP|Modello di esempio QUI]];
 +
*<code><mdui:Logo></code>: logo dell'organizzazione in formato PNG 16x16 e 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.
 +
 
 +
Tutti gli elementi dovranno avere valori in italiano ed in inglese.
 +
|IDEM Metadata Profile [1], sez. 6.3.2
 +
|
 +
|-
 +
|ContactPerson
 +
|includere almeno un elemento <code><md:ContactPerson></code> con <code>contactType="technical"</code> che contenga un elemento <code><md:EmailAddress></code> con l'indirizzo espresso con il prefisso "mailto:", ad es. <code><md:EmailAddress><nowiki>mailto:destination@domain.dom</nowiki></md:EmailAddress></code>.
 +
|IDEM Metadata Profile [1], sez. 6.5
 +
|}
 +
2. Requisiti per l'accesso al Registry IDEM:
 +
 
 +
L'IdP '''deve''' rilasciare i seguenti attributi:
 +
 
 +
*email
 +
*eduPersonPrincipalName
 +
*eduPersonTargetedID
 +
*givenName
 +
*surname
 +
 
 +
 
 +
Vedi [[IDEMRegistry#Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry|Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry]]
 +
 
 +
La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella '''Federazione IDEM di produzione'''.
 +
 
 +
Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1], il test di accesso al servizio ''IDEM [https://sp.aai-test.garr.it SP DEMO]'' mostra il corretto rilascio degli attributi  <code>persistent-id</code> e <code>affiliation</code>e la pagina di Login dell'Identity Provider contiene:
 +
 
 +
*il riferimento alla pagina inserita in <code><mdui:InformationURL></code>
 +
*il riferimento alla pagina inserita in <code><mdui:PrivacyStatementURL></code>
 +
*il logo di IDEM ([[:File:IDEM_logo_big.png|Logo IDEM]])
 +
*il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso da parte dell'utente
 +
 
 +
Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it] usando il ticket già aperto in precedenza.
  
 
==Registrazione SP==
 
==Registrazione SP==
 +
===Workflow===
 +
Prerequisito:
 +
 +
*Aver completato l'installazione di un Service Provider (SP) seguendo le [[Guide|guide di installazione]] suggerite da IDEM.
  
===Istruzioni metadata===
+
Prima di inserire un nuovo Service Provider (SP) nella '''Federazione IDEM di produzione''' è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della '''IDEM Test Federation'''.
  
#'''entityID''': Verificare che sia riportato lo stesso valore su:
+
Ecco gli step a cura del gestore del SP:
#*Resource Registration Request ('''RRR''')
 
#*Metadata dell'entità: IDEM Entity Registry & SP Metadata
 
#'''eduGAIN''': Verificare quanto indicato sul modulo RRR per l'opt-in dall'interfederazione. Valore di default: ''Opt-Out''
 
#'''SP Metadata''':
 
#*''MDUI e varie'':
 
#:#<u>DisplayName</u>: Nome semplice e parlante della risorsa federata. Vietato l'uso della parola "''IDEM''" se non erogata dal Servizio IDEM GARR AAI.
 
#:#*<code><mdui:DisplayName xml:lang="en"></code>: <Nome servizio> provided by <Nome Ente>
 
#:#*<code><mdui:DisplayName xml:lang="it"></code>: <Nome servizio> erogato da <Nome Ente>
 
#:#<u>Description</u>: Descrizione breve della risorsa federata. Cosa può fare l'utente con essa.
 
#:#*<code><mdui:Description xml:lang="en"></code>
 
#:#*<code><mdui:Description xml:lang="it"></code>
 
#:#<u>InformationUrl</u>: Pagina informativa per gli utenti finali.
 
#:#*<code><mdui:InformationUrl xml:lang="en"></code>
 
#:#*<code><mdui:InformationUrl xml:lang="it"></code>
 
#:#:Tale pagina dovrà:
 
#:#::*Descrivere la risorsa federata per l'utente finale
 
#:#::*Descrivere il pubblico a cui è rivolto
 
#:#::*Indicare a quale organizzazione appartiene/da qual è erogata.
 
#:#::*Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
 
#:#::*Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
 
#:#::*Federazioni a cui l'SP aderisce compresi di loghi e riferimenti ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#<u>PrivacyStatementUrl</u>: Privacy Policy del SP ([https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers TEMPLATE])
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="en"></code>
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="it"></code>
 
#:#<u>Logo</u>: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio)
 
#:#*<code><mdui:Logo xml:lang="en" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="en" width="80" height="60"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="80" height="60"></code>
 
#:#<u><AttributeConsumingService></u>:
 
#:#*<RequestedAttribute>: Indicare tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a [mailto:idem-help@garr.it idem-help@garr.it] il perchè durante la valutazione.
 
#:#<u>OrganizationName</u>: Nome dell'organizzazione
 
#:#*<code><md:OrganizationName xml:lang="en"></code>
 
#:#*<code><md:OrganizationName xml:lang="it"></code>
 
#:#<u>OrganizationDisplayName</u>: Nome della risorsa federata da mostrare
 
#:#*<code><md:OrganizationDisplayName xml:lang="en"></code>: <Nome servizio> provided by <Nome Ente>
 
#:#*<code><md:OrganizationDisplayName xml:lang="it"></code>: <Nome servizio> erogato da <Nome Ente>
 
#:#<u>OrganizationUrl</u>: URL del sito web dell'organizzazione a cui la risorsa appartiene
 
#:#*<code><md:OrganizationUrl xml:lang="en"></code>
 
#:#*<code><md:OrganizationUrl xml:lang="it"></code>
 
#:#<u>ContactPerson</u>: Contatti relativi alla risorsa
 
#:#*<code><md:ContactPerson contactType="technical"></code>: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP
 
#*<code>ValidUntil</code>: sui metadata del SP forniti alla federazione IDEM '''non devono essere presenti'''
 
#*''Endpoint HTTPS'': tutti gli endpoint/URL devono essere protette da HTTPS
 
#*''Binding'': assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:
 
#:*<code><ArtifactResolutionService></code>
 
#:*<code><SingleLogoutService></code>
 
#:*<code><AssertionConsumerService></code>
 
  
===Validazione metadata===
+
#Accedere a [https://registry.idem.garr.it IDEM Entity Registry] e inserire la nuova entità seguendo la '''procedura guidata''' ([[IDEMRegistry#Registrazione di un Service Provider via IDEM Entity Registry|come funziona?]])
 +
#Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
====IMPORTANTE====
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
+
<blockquote>La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in [[ProcedureAdesione]].</blockquote>Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.
#:*Premere su "Validate"
 
#:*Controllare che '''''Errors''''' e '''''Warnings''''' non abbiano anomalie per il proprio SP
 
  
===Validazione SSL===
+
===Requisiti===
 +
Requisiti dei metadata '''a carico dei gestori degli SP''' come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
 +
{| class="wikitable"
 +
|+
 +
!Requisito
 +
!In sintesi
 +
!Rif.
 +
!Note
 +
|-
 +
|KeyDescriptor
 +
|includere un elemento <code><md:KeyDescriptor></code> contenente la (o le) chiave pubblica del IdP in formato X.509. La chiave privata corrispondente DEVE essere di almento 2048 bit.
 +
|IDEM Metadata Profle [1], sez. 6.1
 +
|
 +
|-
 +
|Organization
 +
|includere un elemento <code><md:Organization></code> con i sotto elementi:
  
#Controllare la robustezza del proprio SP su: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
*<code><md:OrganizationName></code>
#*Controllare certificato e catena della CA sulla porta 443
+
*<code><md:OrganizationDisplayName></code>
#*Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
+
*<code><md:OrganizationURL></code>
#Pagina di Login:
 
#*Verificare che sia protetta da una CA riconosciuta dal browser
 
  
===Test di accesso===
+
Tutti gli elementi dovranno avere valori in italiano ed in inglese.
Eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a [mailto:idem-help@garr.it idem-help@garr.it]
+
|IDEM Metadata Profile [1], sez. 6.2
 +
|
 +
|-
 +
|mdui
 +
|includere un elemento <code><mdui:UIInfo></code> con i sotto elementi:
  
==IdP registration==
+
*<code><mdui:DisplayName></code>: coincide con <code><md:OrganizationDisplayName></code>;
 +
*<code><mdui:Description></code>: ad es. "IdP per gli utenti di.." + Organizzazione;
 +
*<code><mdui:InformationURL></code>: pagina informativa per gli utenti;
 +
*<code><mdui:PrivacyStatementURL></code>: pagina con le informazioni sul trattamento dei dati;
 +
*<code><mdui:Logo></code>: logo della risorsa in formato PNG 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.
  
===Metadata Instructions===
 
  
#'''entityID''': Verify that the same value is set on:
+
Tutti gli elementi dovranno avere valori in italiano ed in inglese.
#*Member Accession Form
+
|IDEM Metadata Profile [1], sez. 6.3.2
#*Identity Provider Registration Request ('''IDPRR''')
+
|
#*Entity Metadata: IDEM Entity Registry & IdP Metadata
+
|-
#'''eduGAIN''': Verify the content of  IDPRR for the interfederation opt-out. Default Value: ''Opt-In''
+
|AttributeConsumingService
#'''IdP Metadata''':
+
|includere un elemento <md:AttributeConsumingService> nel quale elencare tutti gli attributi richiesti usando come sotto elemento:
#*''Scope'':
 
#**<code><shibmd:Scope></code>: domain values in this element are related to the organization?
 
#***Crosscheck using: [https://www.whois.com/whois WHOIS]
 
#*''MDUI'':
 
#:#<u>DisplayName</u>: Organization name visualized in the  Discovery Service
 
#:#*<code><mdui:DisplayName xml:lang="en"></code>: University...
 
#:#*<code><mdui:DisplayName xml:lang="it"></code>: Università...
 
#:#<u>Description</u>: Description of the user community entitled to use the IdP
 
#:#*<code><mdui:Description xml:lang="en"></code>: Recommended 100 chars max
 
#:#*<code><mdui:Description xml:lang="it"></code>: Recommended 100 chars max
 
#:#<u>InformationUrl</u>: Informative page for end users.
 
#:#*<code><mdui:InformationUrl xml:lang="en"></code>
 
#:#*<code><mdui:InformationUrl xml:lang="it"></code>
 
#:#:The page will have to contain:
 
#:#::*List of supported attributes by the IdP
 
#:#::*Federation joined by the IdP including logos and references ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#::*Email address for user support
 
#:#<u>PrivacyStatementUrl</u>: Privacy Policy of the organization
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="en"></code>
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="it"></code>
 
#:#<u>Logo</u>: Organization logo visualized by the DS  (need to respect aspect , dimension ratio)
 
#:#*<code><mdui:Logo xml:lang="en" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="en" width="80" height="60"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="80" height="60"></code>
 
#:#<u>OrganizationName</u>: Organization Name
 
#:#*<code><md:OrganizationName xml:lang="en"></code>
 
#:#*<code><md:OrganizationName xml:lang="it"></code>
 
#:#<u>OrganizationDisplayName</u>: Organization Name to be shown in the Discovery Service
 
#:#*<code><md:OrganizationDisplayName xml:lang="en"></code>: University...
 
#:#*<code><md:OrganizationDisplayName xml:lang="it"></code>: Università...
 
#:#<u>OrganizationUrl</u>: Organization web site URL
 
#:#*<code><md:OrganizationUrl xml:lang="en"></code>
 
#:#*<code><md:OrganizationUrl xml:lang="it"></code>
 
#:#<u>ContactPerson</u>: IdP and organization contacts
 
#:#*<code><md:ContactPerson contactType="technical"></code>: Email address of a mailing for the technical contacts in charge of the correct functioning of IdP
 
#*<code>ValidUntil</code>: IdP metadata provided to the IDEM federation '''must not be present'''
 
#*''Endpoint HTTPS'': all endpoints/ URLS must be protected by HTTPS
 
#*''Binding'': make sure communication endpoints IdP-SP are there and do not report binding errors:
 
#:*<code><ArtifactResolutionService></code>
 
#:*<code><SingleLogoutService></code>
 
#:*<code><SingleSignOnService></code>
 
#:*<code><AttributeService></code>
 
  
===Metadata Validation===
+
*<md:RequestedAttribute> con isRequired="true" per gli attributi obbligatori
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
*<md:RequestedAttribute> con isRequired="false" per gli attributi opzionali.
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
+
|IDEM Metadata Profile [1], sez. 6.4
#:*Press on "Validate"
+
|
#:*Check that '''''Errors''''' and '''''Warnings''''' do not report anomalies for the IdP.
+
|-
 +
|ContactPerson
 +
|includere almeno un elemento <code><md:ContactPerson></code> con <code>contactType="technical"</code> che contenga un elemento <code><md:EmailAddress></code> con l'indirizzo espresso con il prefisso "mailto:", ad es. <code><md:EmailAddress><nowiki>mailto:destination@domain.dom</nowiki></md:EmailAddress></code>.
 +
|IDEM Metadata Profile [1], sez. 6.5
 +
|
 +
|}
 +
Vedi [[IDEMRegistry#Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry|Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry]]
  
===Certificate Validation===
+
La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella '''Federazione IDEM di produzione'''.
  
#Check IdP health on: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.
#*Check certificate and CA chain on port 443
 
#*Check certificate on port  443 does not have a Weak key (Debian)
 
#Login page:
 
#*Check it is protected by a CA recognized by the browser
 
  
===Access Test===
+
Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.
Login onto https://sp24-test.garr.it/secure and after you verified you can see '<code>eduPersonTargetedID</code>' and '<code>affiliation</code>', inform about the time you accessed it via email  [mailto:idem-help@garr.it idem-help@garr.it]
 
  
 
==SP registration==
 
==SP registration==
 +
===Workflow===
 +
Prerequisites:
 +
 +
*The Service Provider (SP) has been already deployed (for reference please follow [[Guide|IDEM installation guides]])
 +
 +
In order to join the I'''DEM production Federation''' the SP is required to join the '''IDEM Test Federation''' first.
 +
 +
Here are the steps to be followed by the SP admin:
 +
 +
#Access the [https://registry.idem.garr.it IDEM Entity Registry] and submit the entity metadata following the '''wizard''' ([[IDEMRegistry#How_to_register_a_new_Service_Provider_on_IDEM_Entity_Registry|how it works]]).
 +
#Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.
 +
 +
'''IMPORTANT'''<blockquote>Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on [[ProcedureAdesione#Register a service]].</blockquote>If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.
 +
 +
===Requirements===
 +
Next table includes metadata requirements '''to be fullfilled by SP admin''' as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):
 +
{| class="wikitable"
 +
!Requirement
 +
!short description
 +
!Ref.
 +
!Note
 +
|-
 +
|KeyDescriptor
 +
|must include an element <code><md:KeyDescriptor></code> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit.
 +
|IDEM Metadata Profle [1], sect. 6.1
 +
|
 +
|-
 +
|Organization
 +
|must include an element <code><md:Organization></code> with related sub-elements:
 +
 +
*<code><md:OrganizationName></code>
 +
*<code><md:OrganizationDisplayName></code>
 +
*<code><md:OrganizationURL></code>
 +
 +
All element values must be both in Italian and English.
 +
|IDEM Metadata Profile [1], sect. 6.2
 +
|
 +
|-
 +
|mdui
 +
|must include an element <code><mdui:UIInfo></code> with related sub-elements:
 +
 +
*<code><mdui:DisplayName></code>: same as <code><md:OrganizationDisplayName></code>;
 +
*<code><mdui:Description></code>: example to be used: "IdP per gli utenti di.." + Organizzazione;
 +
*<code><mdui:InformationURL></code>: a page for users information;
 +
*<code><mdui:PrivacyStatementURL></code>: a page containing the privacy policy about user data;
 +
*<code><mdui:Logo></code>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.
 +
 +
 +
All element values must be both in Italian and English.
 +
|IDEM Metadata Profile [1], sect. 6.3.2
 +
|
 +
|-
 +
|AttributeConsumingService
 +
|must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  
===Metadata Instructions===
+
*<md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  
#'''entityID''': Verify that the same value is set on:
+
*<md:RequestedAttribute> with isRequired="false" if the attributes is optional
#*Resource Registration Request ('''RRR''')
+
|IDEM Metadata Profile [1], sect. 6.4
#*Metadata dell'entità: IDEM Entity Registry & SP Metadata
+
|
#'''eduGAIN''': Verify the content of  IDPRR for the interfederation opt-out. Default Value: ''Opt-Out''
+
|-
#'''SP Metadata''':
+
|ContactPerson
#*''MDUI e varie'':
+
|must include at least an element <code><md:ContactPerson></code> with <code>contactType="technical"</code> containing an element <code><md:EmailAddress></code> in which the email address includes the prefix "mailto:", i.e. <code><md:EmailAddress><nowiki>mailto:destination@domain.dom</nowiki></md:EmailAddress></code>.
#:#<u>DisplayName</u>: A simple name for a federated resource that helps to understand the aim of the resource. The word "''IDEM''" is not allowed if the resource is not provided by IDEM GARR AAI Service.
+
|IDEM Metadata Profile [1], sect. 6.5
#:#*<code><mdui:DisplayName xml:lang="en"></code>: <Resource Name> provided by <Institution Name>
+
|
#:#*<code><mdui:DisplayName xml:lang="it"></code>: <Resource Name> erogato da <Institution Name>
+
|}
#:#<u>Description</u>: Descrizione breve della risorsa federata. Cosa può fare l'utente con essa.
 
#:#*<code><mdui:Description xml:lang="en"></code>: Recommended 100 chars max in the english language
 
#:#*<code><mdui:Description xml:lang="it"></code>: Recommended 100 chars max in the italian language
 
#:#<u>InformationUrl</u>: Informative page to the final users.
 
#:#*<code><mdui:InformationUrl xml:lang="en"></code>
 
#:#*<code><mdui:InformationUrl xml:lang="it"></code>
 
#:#:This page will have:
 
#:#::*A description of the federated resource for the final user.
 
#:#::*A description of the interested audience for the resource.
 
#:#::*A description of the owner institution.
 
#:#::*An email address to support the final users and the Identity Provider managers
 
#:#::*The Privacy Policy references
 
#:#::*Federations who the resource is member of by using logos and references ([[:File:IDEM logo big.png|Logo di IDEM]] | [https://idem.garr.it/ Rif. IDEM ITA] | [https://idem.garr.it/en/ Rif. IDEM ENG] | [https://edugain.org/technical-resources/resources/ eduGAIN Logo] | [https://edugain.org/ Rif. eduGAIN])
 
#:#<u>PrivacyStatementUrl</u>: Privacy Policy del SP ([https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers TEMPLATE])
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="en"></code>
 
#:#*<code><mdui:PrivacyStatementUrl xml:lang="it"></code>
 
#:#<u>Logo</u>: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio)
 
#:#*<code><mdui:Logo xml:lang="en" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="en" width="80" height="60"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="16" height="16"></code>
 
#:#*<code><mdui:Logo xml:lang="it" width="80" height="60"></code>
 
#:#<u><AttributeConsumingService></u>:
 
#:#*<RequestedAttribute>: One for each attribute needed to access the resource by the users. These attributes have to be riported on the resource's Privacy Policy page. If the attributes required are different than ePSA (eduPersonScopedAffiliation) and ePTID(eduPersonTargetedID), contact [mailto:idem-help@garr.it idem-help@garr.it] and provide the reason during the validation.
 
#:#<u>OrganizationName</u>: Name of the Organization
 
#:#*<code><md:OrganizationName xml:lang="en"></code>
 
#:#*<code><md:OrganizationName xml:lang="it"></code>
 
#:#<u>OrganizationDisplayName</u>: Name of the federated resource to use un the Identity Providers pages (User Consent)
 
#:#*<code><md:OrganizationDisplayName xml:lang="en"></code>: <Resource Name> provided by <Organization name>
 
#:#*<code><md:OrganizationDisplayName xml:lang="it"></code>: <Resource Name> erogato da <Organization name>
 
#:#<u>OrganizationUrl</u>: URL of the Organization owner website
 
#:#*<code><md:OrganizationUrl xml:lang="en"></code>
 
#:#*<code><md:OrganizationUrl xml:lang="it"></code>
 
#:#<u>ContactPerson</u>: Resource Contacts
 
#:#*<code><md:ContactPerson contactType="technical"></code>: mailing-list email address contains technical contacts for the SP
 
#*<code>ValidUntil</code>: is not permitted to have them on SP metadata provided to the IDEM federation. '''They MUST NOT be present'''
 
#*''Endpoint HTTPS'': Every endpoint/URL MUST BE protected by HTTPS
 
#*''Binding'': Ensure to don't have binding errors on the following endpoinds:
 
#:*<code><ArtifactResolutionService></code>
 
#:*<code><SingleLogoutService></code>
 
#:*<code><AssertionConsumerService></code>
 
  
===Metadata Validation===
+
Please refer to [[IDEMRegistry#Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry|Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry]]
  
#''EduGAIN Validator'': https://technical.edugain.org/validator2
+
Metadata completeness will speed up the evaluation phase and the joing process.
#:*Federation Metadata URL: <code><nowiki>http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml</nowiki></code>
 
#:*Press on "Validate"
 
#:*Check that '''''Errors''''' and '''''Warnings''''' do not report anomalies for the SP.
 
  
===Certificate Validation===
+
The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.
  
#Check IdP health on: [https://www.ssllabs.com/ssltest/ SSL Server Test]
+
In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=[https://idp.aai-test.garr.it/ https://idp.aai-test.garr.it]) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.<!-- da spostare -->
#*Check certificate and CA chain on port 443
 
#*Check certificate on port  443 does not have a Weak key (Debian)
 
#Login page:
 
#*Check it is protected by a CA recognized by the browser
 
  
===Access Test===
+
==Riferimenti/Links==
Login onto your resource by using https://idp311.idem.garr.it/ and after you verified you can see the required attributes, inform about the time you accessed it via email  [mailto:idem-help@garr.it idem-help@garr.it]
+
[1] [[Media:IDEM METADATA PROFILE V1.1-ita-eng.pdf|IDEM METADATA PROFILE V1.1]]

Versione attuale delle 14:00, 9 gen 2023

Registrazione IdP

Prima di entrare nella Federazione IDEM di produzione è necessario che un Identity Provider sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Lo strumento per registrare i metadata si chiama IDEM Registry.

La prima registrazione di un'entità non richiede "Log in".

In seguito alla registrazione, per poter modificare i metadata di una entità, è necessario accedere a IDEM Registri con "Log in" via IDEM.

Pre-requisiti:

  1. Aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM.
  2. L'IdP deve rilasciare i seguenti attributi al SP IDEM Registry (entityID="https://registry.idem.garr.it/shibboleth"):
    • email
    • eduPersonPrincipalName
    • eduPersonTargetedID
    • givenName
    • surname
  3. In caso di mancato rilascio attributi consultare la sezione ComeRilasciareAttributiShibv4 e RilascioAttributi.

Workflow

Ecco gli step a cura del gestore dell'IdP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
  3. Da questo momento è possibile fare login su IDEM Entity Registry premendo su Login via IDEM, selezionare e raggiungere il proprio istituto/IdP e accedere inserendo le proprie credenziali utente:
    • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
  4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
  5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore dell'Identity Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Dopo aver ricevuto i documenti di Adesione inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

  1. Requisiti dei metadata a carico dei gestori degli IdP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):
Requisito In sintesi Rif. Note
KeyDescriptor includere un elemento <md:KeyDescriptor> contenente la/le chiave/i pubblica/che del IdP in formato X.509.

La chiave privata corrispondente DOVREBBE essere di almeno 3072 bit e, comunque, non inferiore a 2048 bit.

IDEM Metadata Profle [1], sez. 6.1
Organization includere un elemento <md:Organization> con i sotto elementi:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.2
mdui includere un elemento <mdui:UIInfo> con i sotto elementi:
  • <mdui:DisplayName>: coincide con <md:OrganizationDisplayName> e non deve contenere la parola "IDEM" perchè riservata al Servizio o la parola "eduGAIN" perchè riservata a eduGAIN;
  • <mdui:Description>: ad es. "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: pagina informativa per gli utenti;
  • <mdui:PrivacyStatementURL>: pagina con le informazioni sul trattamento dei dati. Modello di esempio QUI;
  • <mdui:Logo>: logo dell'organizzazione in formato PNG 16x16 e 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.3.2
ContactPerson includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sez. 6.5

2. Requisiti per l'accesso al Registry IDEM:

L'IdP deve rilasciare i seguenti attributi:

  • email
  • eduPersonPrincipalName
  • eduPersonTargetedID
  • givenName
  • surname


Vedi Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry

La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1], il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi persistent-id e affiliatione la pagina di Login dell'Identity Provider contiene:

  • il riferimento alla pagina inserita in <mdui:InformationURL>
  • il riferimento alla pagina inserita in <mdui:PrivacyStatementURL>
  • il logo di IDEM (Logo IDEM)
  • il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso da parte dell'utente

Per il test di accesso eseguire una login su https://sp.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Registrazione SP

Workflow

Prerequisito:

  • Aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Prima di inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Ecco gli step a cura del gestore del SP:

  1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
  2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.

IMPORTANTE

La registrazione nella Federazione di Test non dà diritto all'adesione a IDEM. Per andare in produzione il gestore del Service Provider deve aderire formalmente seguendo quanto indicato in ProcedureAdesione.

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti

Requisiti dei metadata a carico dei gestori degli SP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Requisito In sintesi Rif. Note
KeyDescriptor includere un elemento <md:KeyDescriptor> contenente la (o le) chiave pubblica del IdP in formato X.509. La chiave privata corrispondente DEVE essere di almento 2048 bit. IDEM Metadata Profle [1], sez. 6.1
Organization includere un elemento <md:Organization> con i sotto elementi:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.2
mdui includere un elemento <mdui:UIInfo> con i sotto elementi:
  • <mdui:DisplayName>: coincide con <md:OrganizationDisplayName>;
  • <mdui:Description>: ad es. "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: pagina informativa per gli utenti;
  • <mdui:PrivacyStatementURL>: pagina con le informazioni sul trattamento dei dati;
  • <mdui:Logo>: logo della risorsa in formato PNG 80x60 px o maggiore ma con lo stesso aspect-ratio. La Federazione IDEM raccomanda l'uso di URL protette in HTTPS.


Tutti gli elementi dovranno avere valori in italiano ed in inglese.

IDEM Metadata Profile [1], sez. 6.3.2
AttributeConsumingService includere un elemento <md:AttributeConsumingService> nel quale elencare tutti gli attributi richiesti usando come sotto elemento:
  • <md:RequestedAttribute> con isRequired="true" per gli attributi obbligatori
  • <md:RequestedAttribute> con isRequired="false" per gli attributi opzionali.
 IDEM Metadata Profile [1], sez. 6.4
ContactPerson includere almeno un elemento <md:ContactPerson> con contactType="technical" che contenga un elemento <md:EmailAddress> con l'indirizzo espresso con il prefisso "mailto:", ad es. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sez. 6.5

Vedi Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.

Per il test di accesso eseguire un login con l'IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

SP registration

Workflow

Prerequisites:

In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.

Here are the steps to be followed by the SP admin:

  1. Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works).
  2. Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation.

IMPORTANT

Following, or at the same time of, the registration in the test federation, the Service Provider must compile and send the the Service Provider Module following the instructions on ProcedureAdesione#Register a service.

If all the official joining documentation has been provided IDEM support team will start evaluating the technical feature of the new entity and will suggest improvements and changes to metadata. SP admin could act on metadata by the means of IDEM Entity Registry.

Requirements

Next table includes metadata requirements to be fullfilled by SP admin as stated on IDEM Metadata Profile [1] (requirements part of the profile but omitted here are performed by IDEM federation operators):

Requirement short description Ref. Note
KeyDescriptor must include an element <md:KeyDescriptor> containing one or more public keys of the IdP in X.509 format. Corresponding private keys must be of at least 2048 bit. IDEM Metadata Profle [1], sect. 6.1
Organization must include an element <md:Organization> with related sub-elements:
  • <md:OrganizationName>
  • <md:OrganizationDisplayName>
  • <md:OrganizationURL>

All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.2
mdui must include an element <mdui:UIInfo> with related sub-elements:
  • <mdui:DisplayName>: same as <md:OrganizationDisplayName>;
  • <mdui:Description>: example to be used: "IdP per gli utenti di.." + Organizzazione;
  • <mdui:InformationURL>: a page for users information;
  • <mdui:PrivacyStatementURL>: a page containing the privacy policy about user data;
  • <mdui:Logo>: resource logo into PNG format (80x60 px or more with the same aspect-ratio). IDEM Federation reccomends HTTPS URLs.


All element values must be both in Italian and English.

IDEM Metadata Profile [1], sect. 6.3.2
AttributeConsumingService must include an element <md:AttributeConsumingService> in which to list all the required attributes by using as sub-elements:
  • <md:RequestedAttribute> with isRequired="true" if the attributes is compulsory
  • <md:RequestedAttribute> with isRequired="false" if the attributes is optional
 IDEM Metadata Profile [1], sect. 6.4
ContactPerson must include at least an element <md:ContactPerson> with contactType="technical" containing an element <md:EmailAddress> in which the email address includes the prefix "mailto:", i.e. <md:EmailAddress>mailto:destination@domain.dom</md:EmailAddress>. IDEM Metadata Profile [1], sect. 6.5

Please refer to Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

Metadata completeness will speed up the evaluation phase and the joing process.

The evaluation process will end when SP metadata adhere IDEM Metadata Profile [1] and test connections to the SP will be successful.

In order to perfom test connections please login selecting IdP "GARR IDP AAI Test" (entityID=https://idp.aai-test.garr.it) and using credentials as follows username=test1, password=test1. During the test please check that the SP is receiving all the required attributes. At the end of the test phase please inform IDEM support team about the results by using the previous working ticket.

Riferimenti/Links

[1] IDEM METADATA PROFILE V1.1

Estratto da "https://wiki.idem.garr.it/w/index.php?title=RegistraEntita&oldid=11983"