RegistraEntita

Registrazione IdP

Workflow

Prerequisiti:

1. aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM. (Per Shibboleth Idp è necessario aver configurato Attribute filter statico per Service Provider di test e IDEM Registry)

Per poter inserire un nuovo Identity Provider(IdP) nella Federazione IDEM di produzione è necessario che l'IdP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Questi gli step a cura del gestore dell'IdP:

1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
3. Da questo momento è possibile fare login su IDEM Entity Registry selezionando Login via IDEM e come Home Organization il nuovo IdP e inserendo le proprie credenziali:
   • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

Da questo momento inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti dei metadata a carico degi gestori degli IdP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Vedi come modificare i metadata di IdP via IDEM Entity Registry

La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1] e il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi persistent-id e affiliation.

Per il test di accesso eseguire una login su https://sp-demo.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Procedura guidata via IDEM Entity Registry

1. Dalla Home Page scegliere "Inserisci un Nuovo Identity Provider nella IDEM Test Federation"
2. Nella schermata successiva incollare il frammento di metadata come prodotto dall'installazione dell'idp (ad es. in Shibboleth cercare il file idp-metadata.xml)
3. Nella schermata successiva completare le varie schede come proposto nella tabella sottostante:

La descrizione completa delle voci evidenziate in grassetto è disponibile qui sotto nel paragrafo modificare i metadata via IDEM Entity Registry

Per concludere l'inserimento dei metadata premere il bottone blu "Register" disponibile in basso a destra in ciascuna delle schede.

Modificare i metadata di IdP via IDEM Entity Registry

1. Accedere a IDEM Entity Registry seguendo Login via IDEM e appena entrati cercare il proprio idp nella scheda Identity Provider
2. Entrare in modalità di modifica premendo sul bottone: e scegliere Edit Provider dal Menù che si sarà aperto nella colonna a sinistra
3. Nella scheda "Organization" completare:
   • Name of organization: Nome dell'organizzazione in Italiano e in Inglese
   • Displayname of organization: Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
   • URL to information about organization: URL del sito web dell'organizzazione in italiano e in inglese
4. Nella scheda "Contacts" completare:
   • Almeno un contatto di tipo Technical con indirizzo email impersonale (compreso del prefisso "mailto:")
5. Nella scheda "UI Information" completare:
   • Name of organization: Nome dell'organizzazione come apparirà nel Discovery Service in Italiano e in Inglese
   • Description of user community serviced: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
   • URL to information about the Identity Provider: pagina informativa per gli utenti
   • URL to Privacy Policy of the Identity Provider: Privacy Policy relativa al rilascio attributi da parte dell'IdP
   • Logo of Service: Logo dell'organizzazione visualizzato sui Discovery Service

6. Nella scheda "SAML" è possibile :
   • Controllare i valori di SingleSignOn Service endpoints, Single Logout Service endpoints, Artifact Resolution Service endpoints, AttributeAuthorityDescriptor
   • Controllare che "Supported protocol enumerations" sia valorizzato al solo "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2) (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Che nella lista di "Supported Name Identifiers" siano spuntati tutti gli identificatori (SAML v2) supportati dal proprio IdP (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Modificare il valore "Scope" ed eventualmente aggiungere più valori se necessario (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
7. Nella scheda "Certificates" è possibile aggiungere un nuovo certificato e rimuovere un precedente certificato scaduto:
   • sezione IDPSSODescriptor: obbligatorio almeno 1 certificato valido
     • bottone "Remove certificate" per eliminare un certificato esistente, bottone "Add certificate for IDPSSODescriptor" per aggiungerne uno nuovo
   • sezione AttributeAuthorityDescriptor: obbligatorio almeno 1 certificato valido
     • bottone "Remove certificate" per eliminare un certificato esistente, bottone "Add certificate for AttributeAuthorityDescriptor" per aggiungerne uno nuovo

Registrazione SP

Workflow

Prerequisiti:

1. aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Per poter inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Questi gli step a cura del gestore del SP:

1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
3. Da questo momento è possibile fare login su IDEM Entity Registry scegliendo Login via IDEM e selezionando come Home Organization il proprio IdP se l'Ente è già Membro di IDEM. Nel caso di SP di un Partner i punti 3. 4. e 5. posso essere omessi ed eventuali modifiche ai metadata saranno concordate via mail con il servizio IDEM.
4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura
5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti dei metadata a carico degi gestori degli SP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Vedi come modificare i metadata di SP via IDEM Entity Registry

La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.

Per il test di accesso eseguire un login con l'IdP GARR FI Idp311 (entityID=https://idp311.idem.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

Modificare i metadata di SP via IDEM Entity Registry

1. Accedere a IDEM Entity Registry seguendo Login via IDEM e appena entrati cercare il proprio idp nella scheda Identity Provider
2. Entrare in modalità di modifica premendo sul bottone: e scegliere Edit Provider dal Menù che si sarà aperto nella colonna a sinistra
3. Nella scheda "Organization" completare:
   • Name of organization: Nome dell'organizzazione in Italiano e in Inglese
   • Displayname of organization: Nome dell'organizzazione da mostrare sui Discovery Service in Italiano e in Inglese
   • URL to information about organization: URL del sito web dell'organizzazione in italiano e in inglese
4. Nella scheda "Contacts" completare:
   • Almeno un contatto di tipo Technical con indirizzo email impersonale (compreso del prefisso "mailto:")
5. Nella scheda "UI Information" completare:
   • Name of organization: Nome dell'organizzazione come apparirà nel Discovery Service in Italiano e in Inglese
   • Description of user community serviced: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
   • URL to information about the Identity Provider: pagina informativa per gli utenti
   • URL to Privacy Policy of the Identity Provider: Privacy Policy relativa al rilascio attributi da parte dell'IdP
   • Logo of Service: Logo dell'organizzazione visualizzato sui Discovery Service

6. Nella scheda "SAML" è possibile :
   • Controllare i valori di SingleSignOn Service endpoints, Single Logout Service endpoints, Artifact Resolution Service endpoints, AttributeAuthorityDescriptor
   • Controllare che "Supported protocol enumerations" sia valorizzato al solo "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2) (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Che nella lista di "Supported Name Identifiers" siano spuntati tutti gli identificatori (SAML v2) supportati dal proprio IdP (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
   • Modificare il valore "Scope" ed eventualmente aggiungere più valori se necessario (sia per IDPSSODescriptor che per AttributeAuthorityDescriptor)
7. Nella scheda "Certificates" è possibile aggiungere un nuovo certificato e rimuovere un precedente certificato scaduto:
   • sezione IDPSSODescriptor: obbligatorio almeno 1 certificato valido
     • bottone "Remove certificate" per eliminare un certificato esistente, bottone "Add certificate for IDPSSODescriptor" per aggiungerne uno nuovo
   • sezione AttributeAuthorityDescriptor: obbligatorio almeno 1 certificato valido
     • bottone "Remove certificate" per eliminare un certificato esistente, bottone "Add certificate for AttributeAuthorityDescriptor" per aggiungerne uno nuovo

Procedura guidata via IDEM Entity Registry

1. Dalla Home Page scegliere Inserisci un Nuovo Service Provider nella IDEM Test Federation
2. Nella schermata successiva incollare il frammento di metadata come prodotto dall'installazione del SP.
3. Nella schermata successiva completare le varie schede come proposto nella tabella sottostante:

La descrizione completa delle voci evidenziate in grassetto è disponibile qui sotto nel paragrafo modificare i metadata di SP via IDEM Entity Registry

Per concludere l'inserimento dei metadata premere il bottone blu "Register" disponibile in basso a destra in ciascuna delle schede.

SP registration

To be able to add a new Service Provider(IdP) on IDEM GARR AAI you need to:

1. Check that the entityID used into the membership documents is the same
2. If the resourc wants partecipate into eduGAIN interfederation, has to check the opt-in checkbox on the RRR module (Resource Registration Request)
3. Access into IDEM Entity Registry and:

   1. Open your entity under Service Provider tab
   2. Enter in the editing mode by pressing: and then on Edit Provider from the left menù
   3. From tab "Organization" insert:
      • Name of organization: Italian and in English name of the organization owner the resource
      • Displayname of organization: Italian and in English name of the organization owner the resource to show on Discovery Services
      • URL to information about the Service: URL of the website of the organization
   4. From tab "Contacts" insert:
      • an address of a mailing-list contains the technical contacts responsable of the correct working of the SP with the "mailto:" prefix
   5. From tab "UI Information" insert:
      • Name of the Service: Italian and English name of the resource to show to the users
      • URL to information about the Service:

      This page will have:

      • A description of the federated resource for the final user.
      • A description of the interested audience for the resource.
      • A description of the owner institution.
      • An email address to support the final users and the Identity Provider managers
      • The Privacy Policy references
      • Federations who the resource is member of by using logos and references (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)

   6. PrivacyStatementUrl: Privacy Policy del SP (TEMPLATE)
      • Description of the Service: Description of the user community allowed to access/use to the resource
      • URL to Privacy Policy of the Identity Provider: SP's Privacy Policy (TEMPLATE)
      • Logo of Service: Resource logo useful to IdP User Consent page

      By following the reccomendations provided by REFEDS, logos have to:

      • Be available on protected HTTPS URL
      • Be 64x350px (or different if respect the aspect-ratio)
      • has a transparent background

   7. From tab "SAML" check:
      • That the entityID is correct
      • That all endpoint/URL are protect by HTTPS
      • That all endpoints: Assertion Consumer Service, ArtifactResolutionService, SingleLogoutService, RequestInitiator Locations, Discovery Response Locations don't have binding errors on the following endpoinds:
      • That "Supported protocol enumerations" is set to "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2)
      • That the "Supported Name Identifiers" list is ordered so that on the top there is the preferred identifier to receive. Identifiers most by used are: "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   8. From tab "Required Attributes" insert:
      • each attribute needed to access the resource by the users. These attributes have to be riported on the resource's Privacy Policy page. If the attributes required are different than ePSA (eduPersonScopedAffiliation) and ePTID(eduPersonTargetedID), contact idem-help@garr.it and provide the reason during the validation.

Metadata Validation

1. EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Press on "Validate"
   • Check that Errors and Warnings do not report anomalies for the SP.

Certificate Validation

1. Check IdP health on: SSL Server Test
   • Check certificate and CA chain on port 443
   • Check certificate on port 443 does not have a Weak key (Debian)
2. Login page:
   • Check it is protected by a CA recognized by the browser

Access Test

Log in onto your resource by using https://idp311.idem.garr.it/ and after you verified you can see the required attributes, inform about the time you accessed it via email idem-help@garr.it

Riferimenti

[1] IDEM METADATA PROFILE V1.1