Differenze tra le versioni di "RequisitiEntita"
Jump to navigation
Jump to search
| Riga 5: | Riga 5: | ||
===Metadata (MD)=== | ===Metadata (MD)=== | ||
| − | + | <br /> | |
====MD1 - Scope==== | ====MD1 - Scope==== | ||
<code><shibmd:Scope></code> deve assumere valori relativi all'organizzazione. Verifica eseguita con [https://www.whois.com/whois WHOIS]. | <code><shibmd:Scope></code> deve assumere valori relativi all'organizzazione. Verifica eseguita con [https://www.whois.com/whois WHOIS]. | ||
| Riga 16: | Riga 16: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| − | ====MD2 - DisplayName==== | + | <br /> |
| + | |||
| + | ==== MD2 - DisplayName ==== | ||
<code><mdui:DisplayName></code> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese. | <code><mdui:DisplayName></code> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 27: | Riga 29: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD3 - Description==== | ====MD3 - Description==== | ||
<code><mdui:Description></code> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese. | <code><mdui:Description></code> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 38: | Riga 41: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD4 - InformationURL==== | ====MD4 - InformationURL==== | ||
<code><mdui:InformationURL></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | <code><mdui:InformationURL></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 49: | Riga 53: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD5 - PrivacyStatementURL==== | ====MD5 - PrivacyStatementURL==== | ||
<code><mdui:PrivacyStatementURL></code>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | <code><mdui:PrivacyStatementURL></code>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 60: | Riga 65: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD6 - Logo==== | ====MD6 - Logo==== | ||
<code><mdui:Logo></code> deve essere valorizzato con una URL <code>https://</code> riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati: | <code><mdui:Logo></code> deve essere valorizzato con una URL <code>https://</code> riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati: | ||
| Riga 74: | Riga 80: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD7 - OrganizationName==== | ====MD7 - OrganizationName==== | ||
<code><md:OrganizationName></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | <code><md:OrganizationName></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 85: | Riga 92: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD8 - OrganizationDisplayName==== | ====MD8 - OrganizationDisplayName==== | ||
<code><md:OrganizationDisplayName></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | <code><md:OrganizationDisplayName></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 96: | Riga 104: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD9 - OrganizationURL==== | ====MD9 - OrganizationURL==== | ||
<code><md:OrganizationURL></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | <code><md:OrganizationURL></code> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese. | ||
| Riga 108: | Riga 117: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====MD10 - ContactPerson==== | ====MD10 - ContactPerson==== | ||
<code><md:ContactPerson></code> deve essere valorizzato almeno il <code>contactType="technical"</code> con un indirizzo impersonale (mailing-list) | <code><md:ContactPerson></code> deve essere valorizzato almeno il <code>contactType="technical"</code> con un indirizzo impersonale (mailing-list) | ||
| Riga 118: | Riga 128: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | |||
| + | <br /> | ||
====MD11 - validUntil==== | ====MD11 - validUntil==== | ||
<code>validUntil</code> deve essere '''rimosso''' assieme al suo valore in quanto sarà la Federazione a stabilirlo | <code>validUntil</code> deve essere '''rimosso''' assieme al suo valore in quanto sarà la Federazione a stabilirlo | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | |||
| + | <br /> | ||
====MD12 - endpoint==== | ====MD12 - endpoint==== | ||
Tutti i seguenti endpoint nei metadata devono iniziare con '''<code>https://</code>''' ed avere il giusto '''<code>Binding=</code>''': | Tutti i seguenti endpoint nei metadata devono iniziare con '''<code>https://</code>''' ed avere il giusto '''<code>Binding=</code>''': | ||
| Riga 129: | Riga 143: | ||
*<code><SingleSignOnService></code> | *<code><SingleSignOnService></code> | ||
*<code><AttributeService></code> (solo se esiste <code><AttributeAuthorityDescriptor></code>) | *<code><AttributeService></code> (solo se esiste <code><AttributeAuthorityDescriptor></code>) | ||
| − | |||
| − | |||
''Esempio:''<syntaxhighlight lang="xml"> | ''Esempio:''<syntaxhighlight lang="xml"> | ||
| Riga 144: | Riga 156: | ||
</syntaxhighlight>[[#top|[TOP]]] | </syntaxhighlight>[[#top|[TOP]]] | ||
| + | <br /> | ||
===Security (SEC)=== | ===Security (SEC)=== | ||
| − | + | <br /> | |
====SEC1 - Grado di robustezza SSL==== | ====SEC1 - Grado di robustezza SSL==== | ||
il certificato SSL sulla porta 443 deve riportare '''almeno un grado B''' sullo strumento: https://www.ssllabs.com/ssltest/ | il certificato SSL sulla porta 443 deve riportare '''almeno un grado B''' sullo strumento: https://www.ssllabs.com/ssltest/ | ||
| Riga 153: | Riga 166: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====SEC2 - Chain issue==== | ====SEC2 - Chain issue==== | ||
il certificato SSL sulla porta 443 deve essere '''privo di "chain issue"''' (errori sulla catena della CA) | il certificato SSL sulla porta 443 deve essere '''privo di "chain issue"''' (errori sulla catena della CA) | ||
| Riga 158: | Riga 172: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
====SEC3 - Debian Weak Key==== | ====SEC3 - Debian Weak Key==== | ||
il certificato SSL sulla porta 443 deve essere '''privo di Debian Weak Keys''' | il certificato SSL sulla porta 443 deve essere '''privo di Debian Weak Keys''' | ||
| Riga 163: | Riga 178: | ||
[[#top|[TOP]]] | [[#top|[TOP]]] | ||
| + | <br /> | ||
===Federation (FED)=== | ===Federation (FED)=== | ||
| − | + | <br /> | |
====FED1 - Data==== | ====FED1 - Data==== | ||
un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni: | un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni: | ||
#Un identificativo univoco persistente e targhettizzato per i suoi utenti: | #Un identificativo univoco persistente e targhettizzato per i suoi utenti: | ||
| − | #*''' | + | #* <code>persistent-id</code> '''(persistent NameID)''' (o ''eduPersonTargetedID'' se non è possibile rilasciarlo) |
#L'affiliazione dell'utente con scopo: | #L'affiliazione dell'utente con scopo: | ||
| − | #*'''eduPersonScopedAffiliation''' | + | #*<code>affiliation</code> '''(eduPersonScopedAffiliation)''' |
| − | |||
| − | |||
''Esempio con [https://sp.aai-test.garr.it/secure sp.aai-test.garr.it]:''<syntaxhighlight lang="xml"> | ''Esempio con [https://sp.aai-test.garr.it/secure sp.aai-test.garr.it]:''<syntaxhighlight lang="xml"> | ||
| Riga 180: | Riga 194: | ||
</syntaxhighlight>[[#top|[TOP]]] | </syntaxhighlight>[[#top|[TOP]]] | ||
| − | + | <br /> | |
====FED2 - Info Page==== | ====FED2 - Info Page==== | ||
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere: | La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere: | ||
| Riga 196: | Riga 210: | ||
A titolo esemplificativo, IDEM, fornisce la seguente pagina: [[InformativaDatiPersonaliIdP]] | A titolo esemplificativo, IDEM, fornisce la seguente pagina: [[InformativaDatiPersonaliIdP]] | ||
| − | [[#top|[TOP]]]<br /> | + | [[#top|[TOP]]] |
| + | |||
| + | <br /> | ||
| + | |||
| + | ==== FED3 - Login Page ==== | ||
| + | La pagina di login di un Identity Provider federato in IDEM deve contenere: | ||
| + | |||
| + | * il riferimento alla pagina Informativa inserita in <code><mdui:InformationURL></code> | ||
| + | * il riferimento alla pagina di Privacy Policy inserita in <code><mdui:PrivacyStatementURL></code> | ||
| + | * il logo di IDEM ([[:File:IDEM logo big.png|Logo IDEM]]) | ||
| + | * il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti | ||
| + | |||
| + | [[#top|[TOP]]] | ||
| + | <br /> | ||
==Service Provider== | ==Service Provider== | ||
Versione delle 16:45, 15 apr 2021
Indice
- 1 Identity Provider
- 1.1 Metadata (MD)
- 1.1.1 MD1 - Scope
- 1.1.2 MD2 - DisplayName
- 1.1.3 MD3 - Description
- 1.1.4 MD4 - InformationURL
- 1.1.5 MD5 - PrivacyStatementURL
- 1.1.6 MD6 - Logo
- 1.1.7 MD7 - OrganizationName
- 1.1.8 MD8 - OrganizationDisplayName
- 1.1.9 MD9 - OrganizationURL
- 1.1.10 MD10 - ContactPerson
- 1.1.11 MD11 - validUntil
- 1.1.12 MD12 - endpoint
- 1.2 Security (SEC)
- 1.3 Federation (FED)
- 1.1 Metadata (MD)
- 2 Service Provider
Identity Provider
I requisiti indicati devono essere soddisfatti al fine di accedere alla Federazione Italiana delle Identità Digitali IDEM GARR AAI.
Metadata (MD)
MD1 - Scope
<shibmd:Scope> deve assumere valori relativi all'organizzazione. Verifica eseguita con WHOIS.
Esempio:
<shibmd:Scope>example.org</shibmd:Scope>
MD2 - DisplayName
<mdui:DisplayName> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>
MD3 - Description
<mdui:Description> deve assumere un valore sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description>
<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>
MD4 - InformationURL
<mdui:InformationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL>
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>
MD5 - PrivacyStatementURL
<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>
MD6 - Logo
<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati:
- 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
- 80x60 pixel (o maggiore se rispetta l'aspect-ratio)
Esempio:
<mdui:Logo width="16" height="16">https://...favicon_16x16.png...</mdui:Logo>
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>
MD7 - OrganizationName
<md:OrganizationName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationName xml:lang="en">Example University</md:OrganizationName>
<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>
MD8 - OrganizationDisplayName
<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>
MD9 - OrganizationURL
<md:OrganizationURL> deve essere valorizzato sia per la lingua Italiana che per la lingua Inglese.
Esempio:
<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL>
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>
MD10 - ContactPerson
<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list)
Esempio:
<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>
MD11 - validUntil
validUntil deve essere rimosso assieme al suo valore in quanto sarà la Federazione a stabilirlo
MD12 - endpoint
Tutti i seguenti endpoint nei metadata devono iniziare con https:// ed avere il giusto Binding=:
<ArtifactResolutionService><SingleLogoutService><SingleSignOnService><AttributeService>(solo se esiste<AttributeAuthorityDescriptor>)
Esempio:
<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://..." index="1"/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
Security (SEC)
SEC1 - Grado di robustezza SSL
il certificato SSL sulla porta 443 deve riportare almeno un grado B sullo strumento: https://www.ssllabs.com/ssltest/
e deve essere privo di "chain issue" (errori sulla catena della CA)
SEC2 - Chain issue
il certificato SSL sulla porta 443 deve essere privo di "chain issue" (errori sulla catena della CA)
SEC3 - Debian Weak Key
il certificato SSL sulla porta 443 deve essere privo di Debian Weak Keys
Federation (FED)
FED1 - Data
un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni:
- Un identificativo univoco persistente e targhettizzato per i suoi utenti:
persistent-id(persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
- L'affiliazione dell'utente con scopo:
affiliation(eduPersonScopedAffiliation)
Esempio con sp.aai-test.garr.it:
affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=
FED2 - Info Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere:
- indirizzo di posta elettronica per il supporto agli utenti in merito a IDEM e alle credenziali di autenticazione
- La Privacy Policy per l’utente contenente gli attributi che potrebbe rilasciare alle risorse federate
- (fortemente raccomandato) Logo di IDEM e link al Sito di IDEM
FED3 - Privacy Page
La pagina informativa esposta in lingua Italiana e in lingua Inglese deve opportunamente contenere le adeguate informazioni circa la Privacy dei suoi utenti.
A titolo esemplificativo, IDEM, fornisce la seguente pagina: InformativaDatiPersonaliIdP
FED3 - Login Page
La pagina di login di un Identity Provider federato in IDEM deve contenere:
- il riferimento alla pagina Informativa inserita in
<mdui:InformationURL> - il riferimento alla pagina di Privacy Policy inserita in
<mdui:PrivacyStatementURL> - il logo di IDEM (Logo IDEM)
- il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti
