Differenze tra le versioni di "RegistraEntita"

Registrazione IdP

Pre-requisiti:

• aver completato l'installazione di un Identity Provider(IdP) seguendo le guide di installazione suggerite da IDEM soprattutto al riguardo della sezione dedicata alla configurazione degli attribute-filter.

Per poter inserire un nuovo Identity Provider(IdP) nella Federazione IDEM di produzione è necessario che l'IdP sia precedentemente inserito e valutato dal servizio IDEM all'interno della federazione di test.

Questi gli step a cura del gestore dell'IdP:

1. Accedere senza login al IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
2. Attendere la comunicazione del servizio IDEM via ticket che notifica l'approvazione dell'inserimento della nuova entità nella federazione di test
3. Da questo momento è possibile fare login su IDEM Entity Registry selezionando come Home Organization il nuovo Idp e immettendo le proprie credenziali:
   • se il login ha problemi tornare al punto "Pre-requisiti" curando in particolare la configurazione dei filtri di rilascio attributi
4. Se il login ha avuto successo rispondere al ticket già aperto con il servizio IDEM e richiedere la concessione dei permessi in scrittura
5. Attendere la risposta via ticket in cui il servizio IDEM conferma la concessione dei permessi in scrittura

Da questo momento inizierà la valutazione dell'IdP da parte del servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP con i permessi in scrittura precedentemente concessi potrà correggere e migliorare.

Indicativamente, come richiesto da IDEM Metadata Profile, non deve mai mancare:

• Scheda Metadata -> Organization
• Scheda Metadata -> Contacs
• Scheda Metadata -> UI Information
• Scheda Metadata -> SAML

Come fare l'aggiornamento dei metadata in Registry?

La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento in Federazione IDEM.

Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile e il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi 'persistent-id' e 'affiliation'

Per il test di accesso eseguire una login su https://sp-demo.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Procedura guidata via IDEM Entity Registry:

Aggiornamento metadata via IDEM Entity Registry:

1. Raggiungere la scheda della propria entità: Identity Provider
2. Entrare in modalità di modifica premendo sul bottone: e poi su Edit Provider dal Menù a sinistra che appare
3. Dalla scheda "Organization" inserire:
   • Name of organization: Nome dell'organizzazione in Italiano e in Inglese
   • Displayname of organization: Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
   • URL to information about organization: URL del sito web dell'organizzazione
4. Dalla scheda "Contacts" inserire:
   • Almeno un indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP compreso del prefisso "mailto:"
5. Dalla scheda "UI Information" inserire:
   • Name of organization: Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
   • Description of user community serviced: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
   • URL to information about the Identity Provider

   Tale pagina dovrà contenere:

   • Elenco attributi supportati dall'IdP
   • Federazioni a cui l'IdP aderisce compresi di loghi e riferimenti (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)
   • Indirizzo di posta elettronica di supporto agli utenti su IDEM e le credenziali di autenticazione

   • URL to Privacy Policy of the Identity Provider: Privacy Policy dell'organizzazione/IdP
   • Logo of Service: Logo dell'organizzazione visualizzato sui Discovery Service

   Tali Loghi, secondo le indicazioni date da REFEDS, devono:

   • Essere reperibili da URL protette da HTTPS (con certificato valido)
   • Avere la dimensione di 80x60 px (o diversa purchè rispetti l'aspect-ratio) per il logo più grande in ITA e in ENG
   • Avere la dimensione di 16x16 px (o diversa purchè rispetti l'aspect-ratio) per il logo più piccolo in ITA e in ENG
   • Avere lo sfondo trasparente (possibilmente)

6. Dalla scheda "SAML" verificare:
   • Che l'entityID sia corretto
   • Che tutti gli endpoint/URL siano protetti da HTTPS
   • Che tutti gli endpoints: SingleSignOn Service endpoints, Single Logout Service endpoints, Artifact Resolution Service endpoints, AttributeAuthorityDescriptor non presentino errori di binding
   • Che il "Supported protocol enumerations" sia valorizzato al solo "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2) (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Che nella lista di "Supported Name Identifiers" siano spuntati tutti gli identificatori (SAML v2) supportati dal proprio IdP (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Che lo "Scope" sia correttamente valorizzato con il dominio istituzionale (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)

Registrazione SP

Per poter inserire un nuovo Service Provider(IdP) nella Federazione IDEM di produzione si rende necessario:

1. L'entityID usato nei documenti di adesione deve corrispondere a quello usato dall'entità
2. Se l'istituzione desidera partecipare nell'interfederazione eduGAIN, deve apporre la propria croce sul checkbox per l'opt-in del modulo RRR (Resource Registration Request)
3. Accedere al IDEM Entity Registry e:

   1. Raggiungere la scheda della propria entità: Service Provider
   2. Entrare in modalità di modifica premendo sul bottone: e poi su Edit Provider dal Menù a sinistra che appare
   3. Dalla scheda "Organization" inserire:
      • Name of organization: Nome dell'organizzazione in Italiano e in Inglese
      • Displayname of organization: Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
      • URL to information about the Service: URL del sito web dell'organizzazione
   4. Dalla scheda "Contacts" inserire:
      • Almeno un indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP compreso del prefisso "mailto:"
   5. Dalla scheda "UI Information" inserire:
      • Name of the Service: Nome della risorsa da mostrare all'utente in Italiano e in Inglese
      • URL to information about the Service:

      Tale pagina dovrà:

      • Descrivere la risorsa federata per l'utente finale
      • Descrivere il pubblico a cui è rivolto
      • Indicare a quale organizzazione appartiene/da qual è erogata.
      • Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
      • Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
      • Federazioni a cui l'SP aderisce compresi di loghi e riferimenti (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)

      • Description of the Service: Descrizione della comunità di utenti autorizzati ad utilizzare la risorsa
      • URL to Privacy Policy of the Identity Provider: Privacy Policy dell'organizzazione/SP
      • Logo of Service: Loghi della risorsa visualizzati dagli utenti

      Tali Loghi, secondo le indicazioni date da REFEDS, devono:

      • Essere reperibili da URL protette da HTTPS (con certificato valido)
      • Avere la dimensione di 64x350px (o diversa purchè rispetti l'aspect-ratio) per il logo più grande in ITA e in ENG
      • Avere lo sfondo trasparente (possibilmente)

   6. Dalla scheda "SAML" verificare:
      • Che l'entityID sia corretto
      • Che tutti gli endpoint/URL siano protetti da HTTPS
      • Che tutti gli endpoints: Assertion Consumer Service, ArtifactResolutionService, SingleLogoutService, RequestInitiator Locations, Discovery Response Locations non presentino errori di binding
      • Che il "Supported protocol enumerations" sia valorizzato al solo "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2)
      • Che la lista di "Supported Name Identifiers" sia ordinata in modo che in test compaia l'identificatore che si desidera ricevere come 'preferito'. Gli identificatori maggiormente usati dagli IdP sono: "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   7. Dalla scheda "Required Attributes" inserire:
      • tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a idem-help@garr.it il perchè durante la valutazione.

Validazione metadata

1. EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Premere su "Validate"
   • Controllare che Errors e Warnings non abbiano anomalie per il proprio SP

Validazione SSL

1. Controllare la robustezza del proprio SP su: SSL Server Test
   • Controllare certificato e catena della CA sulla porta 443
   • Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
2. Pagina di Login:
   • Verificare che sia protetta da una CA riconosciuta dal browser

Test di accesso

Eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a idem-help@garr.it

SP registration

To be able to add a new Service Provider(IdP) on IDEM GARR AAI you need to:

1. Check that the entityID used into the membership documents is the same
2. If the resourc wants partecipate into eduGAIN interfederation, has to check the opt-in checkbox on the RRR module (Resource Registration Request)
3. Access into IDEM Entity Registry and:

   1. Open your entity under Service Provider tab
   2. Enter in the editing mode by pressing: and then on Edit Provider from the left menù
   3. From tab "Organization" insert:
      • Name of organization: Italian and in English name of the organization owner the resource
      • Displayname of organization: Italian and in English name of the organization owner the resource to show on Discovery Services
      • URL to information about the Service: URL of the website of the organization
   4. From tab "Contacts" insert:
      • an address of a mailing-list contains the technical contacts responsable of the correct working of the SP with the "mailto:" prefix
   5. From tab "UI Information" insert:
      • Name of the Service: Italian and English name of the resource to show to the users
      • URL to information about the Service:

      This page will have:

      • A description of the federated resource for the final user.
      • A description of the interested audience for the resource.
      • A description of the owner institution.
      • An email address to support the final users and the Identity Provider managers
      • The Privacy Policy references
      • Federations who the resource is member of by using logos and references (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)

   6. PrivacyStatementUrl: Privacy Policy del SP (TEMPLATE)
      • Description of the Service: Description of the user community allowed to access/use to the resource
      • URL to Privacy Policy of the Identity Provider: SP's Privacy Policy (TEMPLATE)
      • Logo of Service: Resource logo useful to IdP User Consent page

      By following the reccomendations provided by REFEDS, logos have to:

      • Be available on protected HTTPS URL
      • Be 64x350px (or different if respect the aspect-ratio)
      • has a transparent background

   7. From tab "SAML" check:
      • That the entityID is correct
      • That all endpoint/URL are protect by HTTPS
      • That all endpoints: Assertion Consumer Service, ArtifactResolutionService, SingleLogoutService, RequestInitiator Locations, Discovery Response Locations don't have binding errors on the following endpoinds:
      • That "Supported protocol enumerations" is set to "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2)
      • That the "Supported Name Identifiers" list is ordered so that on the top there is the preferred identifier to receive. Identifiers most by used are: "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   8. From tab "Required Attributes" insert:
      • each attribute needed to access the resource by the users. These attributes have to be riported on the resource's Privacy Policy page. If the attributes required are different than ePSA (eduPersonScopedAffiliation) and ePTID(eduPersonTargetedID), contact idem-help@garr.it and provide the reason during the validation.

Metadata Validation

1. EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Press on "Validate"
   • Check that Errors and Warnings do not report anomalies for the SP.

Certificate Validation

1. Check IdP health on: SSL Server Test
   • Check certificate and CA chain on port 443
   • Check certificate on port 443 does not have a Weak key (Debian)
2. Login page:
   • Check it is protected by a CA recognized by the browser

Access Test

Log in onto your resource by using https://idp311.idem.garr.it/ and after you verified you can see the required attributes, inform about the time you accessed it via email idem-help@garr.it