Differenze tra le versioni di "RequisitiEntita"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
Riga 4: Riga 4:
  
 
===Security (SEC) - Identity Provider & Service Provider===
 
===Security (SEC) - Identity Provider & Service Provider===
I requisiti di seguito elencati sono relativi al certificato SSL utilizzato per l'interfaccia HTTPS del servizio. Non riguardano invece i certificati utilizzati dagli Identity e Service Provider per cifrare e firmare digitalmente le asserzioni.
+
I requisiti di seguito elencati sono relativi al certificato SSL utilizzato per l'interfaccia HTTPS del servizio. Non riguardano invece i certificati utilizzati dagli Identity e Service Provider per cifrare e firmare digitalmente le asserzioni.  
 
====SEC1 - Grado di robustezza SSL====
 
====SEC1 - Grado di robustezza SSL====
il certificato SSL sulla porta 443 deve riportare '''almeno un grado B''' sullo strumento: https://www.ssllabs.com/ssltest/  
+
il certificato SSL utilizzato sulla porta HTTPS del servizio deve riportare '''almeno un grado B''' su SSLLABS: https://www.ssllabs.com/ssltest/  
  
e deve essere '''privo di "chain issue"''' (errori sulla catena della CA)
+
[[#top|[TOP]]]  
 
 
[[#top|[TOP]]]
 
 
====SEC2 - Chain issue====
 
====SEC2 - Chain issue====
il certificato SSL sulla porta 443 deve essere '''privo di "chain issue"''' (errori sulla catena della CA)
+
il certificato SSL utilizzato sulla porta HTTPS del servizio deve essere '''privo di "chain issue"''' (errori sulla catena della CA) --- verificabile con SSLLABS.
  
 
[[#top|[TOP]]]
 
[[#top|[TOP]]]
 
====SEC3 - Debian Weak Key====
 
====SEC3 - Debian Weak Key====
il certificato SSL sulla porta 443 deve essere '''privo di Debian Weak Keys'''
+
il certificato SSL utilizzato sulla porta HTTPS del servizio deve essere '''privo di Debian Weak Keys''' --- vedi
  
 
[[#top|[TOP]]]
 
[[#top|[TOP]]]

Versione delle 17:15, 19 apr 2021

I requisiti indicati in questa pagina devono essere soddisfatti al fine di accedere alla Federazione Italiana delle Identità Digitali IDEM GARR AAI.

Security (SEC) - Identity Provider & Service Provider

I requisiti di seguito elencati sono relativi al certificato SSL utilizzato per l'interfaccia HTTPS del servizio. Non riguardano invece i certificati utilizzati dagli Identity e Service Provider per cifrare e firmare digitalmente le asserzioni.

SEC1 - Grado di robustezza SSL

il certificato SSL utilizzato sulla porta HTTPS del servizio deve riportare almeno un grado B su SSLLABS: https://www.ssllabs.com/ssltest/

[TOP]

SEC2 - Chain issue

il certificato SSL utilizzato sulla porta HTTPS del servizio deve essere privo di "chain issue" (errori sulla catena della CA) --- verificabile con SSLLABS.

[TOP]

SEC3 - Debian Weak Key

il certificato SSL utilizzato sulla porta HTTPS del servizio deve essere privo di Debian Weak Keys --- vedi

[TOP]

Identity Provider

Metadata (IDP-MD)

IDP-MD1 - Scope

<shibmd:Scope> deve assumere valori disponibili per l'organizzazione. Strumento di verifica: WHOIS.

Esempio: 

<shibmd:Scope>example.org</shibmd:Scope>

[TOP]

IDP-MD2 - DisplayName

<mdui:DisplayName> deve assumere un valore sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Università di Esempio</mdui:DisplayName>

[TOP]

IDP-MD3 - Description

<mdui:Description> deve assumere un valore sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:Description xml:lang="en">Identity provider for Example University user</mdui:Description> 
<mdui:Description xml:lang="it">Identity provider per gli utenti di Università di Esempio</mdui:Description>

[TOP]

IDP-MD4 - InformationURL

<mdui:InformationURL> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL> 
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>

[TOP]

IDP-MD5 - PrivacyStatementURL

<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>  
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>

[TOP]

<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) nei formati:

  • 16x16 pixel (o maggiore se rispetta l'aspect-ratio)
  • 80x60 pixel (o maggiore se rispetta l'aspect-ratio)

Esempio: 

<mdui:Logo width="16" height="16">https://...favicon_16x16.png...</mdui:Logo>
<mdui:Logo width="80" height="60">https://...logo_80x60.png...</mdui:Logo>

[TOP]

IDP-MD7 - OrganizationName

<md:OrganizationName> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationName xml:lang="en">Example University</md:OrganizationName> 
<md:OrganizationName xml:lang="it">Università di Esempio</md:OrganizationName>

[TOP]

IDP-MD8 - OrganizationDisplayName

<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationDisplayName xml:lang="en">Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Università di Esempio</md:OrganizationDisplayName>

[TOP]

IDP-MD9 - OrganizationURL

<md:OrganizationURL> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL> 
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>

[TOP]

IDP-MD10 - ContactPerson

<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list).

Esempio: 

<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>

[TOP]

IDP-MD11 - validUntil

validUntil deve essere rimosso assieme al suo valore in quanto sarà la Federazione a stabilirlo.

[TOP]

IDP-MD12 - endpoint

Tutti i seguenti endpoint nei metadata devono iniziare con https:// ed avere il giusto Binding=:

  • <ArtifactResolutionService>
  • <SingleLogoutService>
  • <SingleSignOnService>
  • <AttributeService> (solo se esiste <AttributeAuthorityDescriptor>)

Esempio:

<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://..." index="1"/>

<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://..."/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://..."/>

[TOP]

Federation (IDP-FED)

IDP-FED1 - Data

un Identity Provider in IDEM deve essere in grado di rilasciare determinate informazioni:

  1. Un identificativo univoco persistente e targhettizzato per i suoi utenti:
    • persistent-id (persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
  2. L'affiliazione dell'utente con scopo:
    • affiliation (eduPersonScopedAffiliation)

Esempio con sp.aai-test.garr.it:

affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=

[TOP]

IDP-FED2 - Info Page

La pagina informativa esposta in lingua italiana e in lingua inglese deve opportunamente contenere:

  1. indirizzo di posta elettronica per il supporto agli utenti in merito a IDEM e alle credenziali di autenticazione
  2. La Privacy Policy per l’utente contenente gli attributi che potrebbe rilasciare alle risorse federate
  3. (fortemente raccomandato) Logo di IDEM e link al Sito di IDEM

[TOP]

IDP-FED3 - Privacy Page

La pagina informativa esposta in lingua italiana e in lingua inglese deve opportunamente contenere le adeguate informazioni circa la Privacy dei suoi utenti.

A titolo esemplificativo, IDEM, fornisce la seguente pagina: InformativaDatiPersonaliIdP.

[TOP]

IDP-FED4 - Login Page

La pagina di login di un Identity Provider federato in IDEM deve contenere:

  • il riferimento alla pagina Informativa inserita in <mdui:InformationURL>
  • il riferimento alla pagina di Privacy Policy inserita in <mdui:PrivacyStatementURL>
  • il logo di IDEM (Logo IDEM)
  • il riferimento del Contatto Tecnico o di Supporto per le problematiche legate all'accesso alle risorse da parte dei propri utenti

[TOP]

Service Provider

Metadata (SP-MD)

SP-MD1 - DisplayName

<mdui:DisplayName> deve assumere un valore sia per la lingua italiana che per la lingua inglese e non può contenere il valore "IDEM" riservato al Servizio.

Esempio: 

<mdui:DisplayName xml:lang="en">Resource provided by Example Organization</mdui:DisplayName>
<mdui:DisplayName xml:lang="it">Risorsa erogata da Organizzazione di Esempio</mdui:DisplayName>

[TOP]

SP-MD2 - Description

<mdui:Description> deve assumere un valore sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:Description xml:lang="en">The resource allow you to ...</mdui:Description> 
<mdui:Description xml:lang="it">La risorsa ti permette di ...</mdui:Description>

[TOP]

SP-MD4 - InformationURL

<mdui:InformationURL> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:InformationURL xml:lang="en">https://...info page in english...</mdui:InformationURL> 
<mdui:InformationURL xml:lang="it">https://...informativa in italiano...</mdui:InformationURL>

[TOP]

SP-MD5 - PrivacyStatementURL

<mdui:PrivacyStatementURL>deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<mdui:PrivacyStatementURL xml:lang="en">https://...privacy policy in english...</mdui:PrivacyStatementURL>  
<mdui:PrivacyStatementURL xml:lang="it">https://...privacy policy in italiano...</mdui:PrivacyStatementURL>

[TOP]

<mdui:Logo> deve essere valorizzato con una URL https:// riportante il logo dell'organizzazione in formato PNG (sfondo possibilmente trasparente) con:

  • base: dai 64 px ai 350 px
  • altezza: dai 64px ai 146px

Se viene fornito di dimensioni maggiori, deve rispettare l'aspect-ratio.

Esempio: 

<mdui:Logo width="80" height="60">https://...logo.png</mdui:Logo>

[TOP]

SP-MD7 - RequestedAttribute

<md:RequestedAttribute> devono essere valorizzati almeno per tutti gli attributi necessari all'accesso e all'utilizzo della risorsa federata.

Esempio: 

<md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
<md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>

[TOP]

SP-MD7 - OrganizationName

<md:OrganizationName> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationName xml:lang="en">Example Organization</md:OrganizationName> 
<md:OrganizationName xml:lang="it">Organizzazione di Esempio</md:OrganizationName>

[TOP]

SP-MD8 - OrganizationDisplayName

<md:OrganizationDisplayName> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationDisplayName xml:lang="en">Resource provided by Example University</md:OrganizationDisplayName>
<md:OrganizationDisplayName xml:lang="it">Risorsa fornita da Università di Esempio</md:OrganizationDisplayName>

[TOP]

SP-MD9 - OrganizationURL

<md:OrganizationURL> deve essere valorizzato sia per la lingua italiana che per la lingua inglese.

Esempio: 

<md:OrganizationURL xml:lang="en">https://...institutional site in english...</md:OrganizationURL> 
<md:OrganizationURL xml:lang="it">https://...sito istituzionalein italiano...</md:OrganizationURL>

[TOP]

SP-MD10 - ContactPerson

<md:ContactPerson> deve essere valorizzato almeno il contactType="technical" con un indirizzo impersonale (mailing-list)

Esempio: 

<ContactPerson contactType="technical">mailto:mailing-list@domain</md:ContactPerson>

[TOP]

Federation (SP-FED)

SP-FED1 - Data

un Service Provider in IDEM riceve automaticamente le seguenti informazioni:

  1. Un identificativo univoco persistente e targhettizzato dell'utente:
    • persistent-id (persistent NameID) (o eduPersonTargetedID se non è possibile rilasciarlo)
  2. L'affiliazione dell'utente con scopo:
    • affiliation (eduPersonScopedAffiliation)

Esempio con sp.aai-test.garr.it:

affiliation = member@aai-test.garr.it;staff@aai-test.garr.it
persistent-id = https://garr-idp-test.irccs.garr.it/idp/shibboleth!https://sp.aai-test.garr.it/shibboleth!eYfN....Q1rU=

Ogni informazione aggiuntiva richiesta per l'utilizzo della/e risorsa/e protetta/e dal Service Provider va motivata adeguatamente a idem-help@garr.it.

[TOP]

SP-FED2 - Info Page

La pagina informativa esposta in lingua italiana e in lingua inglese deve opportunamente contenere:

  1. la descrizione del servizio
  2. il pubblico a cui si rivolge il servizio
  3. la denominazione dell'organizzazione che lo condivide
  4. indirizzo email per il supporto degli utenti e dei gestori di Identity Provider
  5. un riferimento alla Privacy Policy seguita dal servizio

[TOP]

SP-FED3 - Privacy Page

La pagina della privacy esposta in lingua italiana e in lingua inglese deve opportunamente contenere le adeguate informazioni circa il trattamento dei dati personali utilizzati.

A titolo esemplificativo IDEM suggerisce la pagina: https://wiki.refeds.org/display/CODE/Privacy+policy+guidelines+for+Service+Providers

[TOP]

SP-FED4 - Login Page / Discovery Service

La pagina di accesso ad una risorsa federata in IDEM deve contenere:

  • il logo di IDEM (Logo IDEM) [e il logo di eduGAIN (JPG | PNG) se vi ha aderito]
  • un elenco degli IdP in IDEM [e di quelli in eduGAIN se vi ha aderito]
  • un riferimento alla pagina informativa del servizio


REFEDS Best Practices: https://discovery.refeds.org/

[TOP]

Estratto da "https://wiki.idem.garr.it/w/index.php?title=RequisitiEntita&oldid=9645"