RegistraEntita

Registrazione IdP

Workflow

Prerequisiti:

1. aver completato l'installazione di un Identity Provider (IdP) seguendo le guide di installazione suggerite da IDEM. (Per Shibboleth Idp è necessario aver configurato Attribute filter statico per Service Provider di test e IDEM Registry)

Per poter inserire un nuovo Identity Provider(IdP) nella Federazione IDEM di produzione è necessario che l'IdP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Questi gli step a cura del gestore dell'IdP:

1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
3. Da questo momento è possibile fare login su IDEM Entity Registry selezionando Login via IDEM e come Home Organization il nuovo IdP e inserendo le proprie credenziali:
   • se il login ha problemi tornare al punto "Pre-requisiti" verificando la corretta configurazione dei filtri per il rilascio degli attributi.
4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura.
5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura.

Da questo momento inizierà la valutazione dell'IdP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore dell'IdP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti dei metadata a carico degi gestori degli IdP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Vedi Aggiornamento dei metadata di IdP già registrato in IDEM Entity Registry

La completezza dei metadati favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadati sono completi secondo IDEM Metadata Profile [1] e il test di accesso al servizio IDEM SP DEMO mostra il corretto rilascio degli attributi persistent-id e affiliation.

Per il test di accesso eseguire una login su https://sp-demo.aai-test.garr.it e comunicare l'ora dell'avvenuto accesso a idem-help@garr.it usando il ticket già aperto in precedenza.

Registrazione SP

Workflow

Prerequisiti:

1. aver completato l'installazione di un Service Provider (SP) seguendo le guide di installazione suggerite da IDEM.

Per poter inserire un nuovo Service Provider (SP) nella Federazione IDEM di produzione è necessario che il SP sia precedentemente inserito e valutato dal servizio IDEM all'interno della IDEM Test Federation.

Questi gli step a cura del gestore del SP:

1. Accedere a IDEM Entity Registry e inserire la nuova entità seguendo la procedura guidata (come funziona?)
2. Attendere che il Servizio IDEM approvi l'inserimento nella IDEM Test Federation e ne dia comunicazione via ticket.
3. Da questo momento è possibile fare login su IDEM Entity Registry scegliendo Login via IDEM e selezionando come Home Organization il proprio IdP se l'Ente è già Membro di IDEM. Nel caso di SP di un Partner i punti 3. 4. e 5. posso essere omessi ed eventuali modifiche ai metadata saranno concordate via mail con il servizio IDEM.
4. Se il login ha avuto successo rispondere al ticket già aperto con il Servizio IDEM e richiedere la concessione dei permessi in scrittura
5. Attendere la risposta via ticket in cui il Servizio IDEM conferma la concessione dei permessi in scrittura

Da questo momento inizierà la valutazione del SP da parte del Servizio IDEM che proporrà eventuali aggiustamenti ai metadata e che il gestore del SP, con i permessi in scrittura precedentemente concessi, potrà correggere e migliorare.

Requisiti dei metadata a carico degi gestori degli SP come indicato nel IDEM Metadata Profile [1] (i requisiti indicati nel profilo e non riportati qui sono a carico degli operatori di federazione):

Vedi Aggiornamento dei metadata di SP già registrato in IDEM Entity Registry

La completezza dei metadata favorisce una rapida conclusione del processo di valutazione e inserimento nella Federazione IDEM di produzione.

Il processo è concluso non appena i metadata sono completi secondo IDEM Metadata Profile [1] e il test di accesso al nuovo SP ha successo.

Per il test di accesso eseguire un login con l'IdP GARR FI Idp311 (entityID=https://idp311.idem.garr.it) con credenziali username=test1, password=test1. Assicurarsi che il SP stia ricevendo dall'IdP tutti gli attributi richiesti. Comunicare i risultati al servizio IDEM attraverso il ticket già aperto in precedenza.

SP registration

Workflow

Prerequisites:

• The Service Provider (SP) has been already deployed (for reference please follow IDEM installation guides)

In order to join the IDEM production Federation the SP is required to join the IDEM Test Federation first.

Here are the steps to be followed by the SP admin:

1. Access the IDEM Entity Registry and submit the entity metadata following the wizard (how it works)
2. Wait for the IDEM support team to approve the new request: you will receive a ticket confirming that the new entity has successfully joined the IDEM test Federation
3. From now on the SP admin can access IDEM Entity Registry choosing Login via IDEM and selecting its Institutional IdP as Home Organization if already Member of IDEM Federation. For Partners steps from 3. to 5. must be avoided and any changes to metadata must be sent to IDEM support team by email.
4. After a successful login to Registry the SP admin must reply to IDEM support team using the previous ticket and ask for the writing permission on the new entity.
5. Wait for the answer by IDEM support team by ticket

To be able to add a new Service Provider(IdP) on IDEM GARR AAI you need to:

1. Check that the entityID used into the membership documents is the same
2. If the resourc wants partecipate into eduGAIN interfederation, has to check the opt-in checkbox on the RRR module (Resource Registration Request)
3. Access into IDEM Entity Registry and:

   1. Open your entity under Service Provider tab
   2. Enter in the editing mode by pressing: and then on Edit Provider from the left menù
   3. From tab "Organization" insert:
      • Name of organization: Italian and in English name of the organization owner the resource
      • Displayname of organization: Italian and in English name of the organization owner the resource to show on Discovery Services
      • URL to information about the Service: URL of the website of the organization
   4. From tab "Contacts" insert:
      • an address of a mailing-list contains the technical contacts responsable of the correct working of the SP with the "mailto:" prefix
   5. From tab "UI Information" insert:
      • Name of the Service: Italian and English name of the resource to show to the users
      • URL to information about the Service:

      This page will have:

      • A description of the federated resource for the final user.
      • A description of the interested audience for the resource.
      • A description of the owner institution.
      • An email address to support the final users and the Identity Provider managers
      • The Privacy Policy references
      • Federations who the resource is member of by using logos and references (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)

   6. PrivacyStatementUrl: Privacy Policy del SP (TEMPLATE)
      • Description of the Service: Description of the user community allowed to access/use to the resource
      • URL to Privacy Policy of the Identity Provider: SP's Privacy Policy (TEMPLATE)
      • Logo of Service: Resource logo useful to IdP User Consent page

      By following the reccomendations provided by REFEDS, logos have to:

      • Be available on protected HTTPS URL
      • Be 64x350px (or different if respect the aspect-ratio)
      • has a transparent background

   7. From tab "SAML" check:
      • That the entityID is correct
      • That all endpoint/URL are protect by HTTPS
      • That all endpoints: Assertion Consumer Service, ArtifactResolutionService, SingleLogoutService, RequestInitiator Locations, Discovery Response Locations don't have binding errors on the following endpoinds:
      • That "Supported protocol enumerations" is set to "urn:oasis:names:tc:SAML:2.0:protocol" (SAML v2)
      • That the "Supported Name Identifiers" list is ordered so that on the top there is the preferred identifier to receive. Identifiers most by used are: "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   8. From tab "Required Attributes" insert:
      • each attribute needed to access the resource by the users. These attributes have to be riported on the resource's Privacy Policy page. If the attributes required are different than ePSA (eduPersonScopedAffiliation) and ePTID(eduPersonTargetedID), contact idem-help@garr.it and provide the reason during the validation.

Metadata Validation

1. EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Press on "Validate"
   • Check that Errors and Warnings do not report anomalies for the SP.

Certificate Validation

1. Check IdP health on: SSL Server Test
   • Check certificate and CA chain on port 443
   • Check certificate on port 443 does not have a Weak key (Debian)
2. Login page:
   • Check it is protected by a CA recognized by the browser

Access Test

Log in onto your resource by using https://idp311.idem.garr.it/ and after you verified you can see the required attributes, inform about the time you accessed it via email idem-help@garr.it

Riferimenti

[1] IDEM METADATA PROFILE V1.1