Buongiorno a tutti,
ho un problema da sottoporre alla community, si tratta di interoperabilità tra #spid e #cie.
nel dettaglio, se vengono attivate le security policy blockUnsolicited (naming shibboleth), per intenderci quelle relative ai test 16, 17, 18 del validator:
<!--
Required for passing SPID compliance tests 16, 17 and 18.
This blocks uncorrelated responses with unspecified,
missing or wrong "inResponseTo" response attribute
-->
<Policy id="blockUnsolicited" validate="false">
<PolicyRule type="MessageFlow" blockUnsolicited="true" checkReplay="true" expires="60" checkCorrelation="true"/>
<PolicyRule type="Conditions">
<!-- NameQualifier != entityID? see above -->
<PolicyRule type="Audience"/>
</PolicyRule>
<PolicyRule type="ClientCertAuth" errorFatal="true"/>
<PolicyRule type="XMLSigning" errorFatal="true"/>
<PolicyRule type="SimpleSigning" errorFatal="true"/>
<PolicyRule type="Bearer" blockUnsolicited="true"/>
</Policy>
durante il processo di autenticazione da browser mobile, una volta “atterrati” sulla pagina dell’idp (CIE), l’autenticazione avviene in modo integrato con l’app CIE (questo perché l’app CIE riconosce l’url dell’idp e si apre automaticamente, diversamente sarebbe impossibile effettuare una scansione del QR Code con lo stesso dispositivo). In questo caso, sembrerebbe che l’idp (idserver.servizicie.interno.gov.it) dopo il riconoscimento dell’identità, in fase di accettazione dell’utente ad inviare i dati al SP, modifichi parzialmente la Response (ad esempio InResponseTo ?) rispetto ai parametri inviati in fase di Request. Il risultato, a questa “modifica”, è l’intervento della policy di sicurezza in questione (così come richiesto da Agid) che ne blocca il tentativo di accesso, in quanto potrebbe trattarsi di SAML spoofing (intercettazione e manipolazione della response per effettuare accessi non autorizzati).
questo il messaggio di errore lato SP:
opensaml::SecurityPolicyException|Response correlation failed with lack of correlation ID.
Disattivando la policy blockUnsolicited, naturalmente, funziona senza problemi.
Non sembrerebbe essere un problema lato SP in quanto per SPID , sulla stessa istanza, sempre da mobile e con la stessa policy attiva, l’autenticazione avviene regolarmente con tutti gli idp.
Da browser desktop nessun problema (scanione QR code).
Davvero bisogna disattivare la policy per avere l’accesso da dispositivi mobile funzionante?
Avete esperienza in merito?
Grazie