Ambiente di test ed integrazione CIE - Keycloak - OIDC

Ciao @stis se mi passi l’url di login e il link all’EC posso aiutarti.

Ciao,
sto tentando di effettuare delle federazioni sul portale CIE OIDC, per alcuni comuni sono riuscito ad eseguire la federazione dopo vari tentativi modificando piccole cose nella chiave fornita sul portale - non ho ancora capito quale sia la discriminante - in tutti gli altri casi ottenevo l’errore “[sub] non presente”… Ed in tutti questi tentativi l’EC è sempre stato lo stesso ovviamente…
Qualcuno è riuscito ad identificare come mai succedono questi problemi e come va inserita la chiave per non ottenere errori?
Grazie!

Ciao @MarcoTesta-EP i motivi per cui compare il messaggio di errore possono essere vari, non direttamente dipendenti dai claim presenti nelle chiavi. Riguardo le modalità di inserimento della chiave (di federazione, immagino) il formato corretto è il seguente:

{
"keys": [
    {
      "alg": "RS256",
      "kid": "....",
      "kty": "RSA",
      "n": ".....",
      "e": "AQAB",
      "use": "sig"
    }
  ]
}

Qui, in basso alla pagina, trovi alcuni hint per passare la fase l’onboarding: spid-cie-oidc-java/examples/relying-party-spring-boot at main · rglauco/spid-cie-oidc-java · GitHub

Grazie @glauco per i tuoi suggerimenti.
Le chiavi di federazione sono inserite esattamente come hai specificato, ho richiesto la federazione questa mattina di alcuni comuni, la prima richiesta fallisce con un errore generico di validazione, la seconda ha successo (a parità di Entity Configuration), propendo a questo punto per un problema del portale di federazione CIE…?

1 Mi Piace

Se mi potessi dare, anche in privato, gli url degli EC potrei fare alcune verifiche.

Grazie ti scrivo in privato.

@glauco grazie dell’aiuto, il problema del primo accesso sembra risolto aggiungendo nel claim “prompt” del JWT authorization “consent login” (avevo solo “consent”).
Resta il fatto della federazione che fallisce e poi ha successo, ma considerato che è un processo una tantum posso conviverci.

1 Mi Piace

Buongiorno,
sto avendo lo stesso problema, per cui, in seguito a un tentativo di accesso alla pagina di login mi viene risposto “Non è possibile procedere. La sessione non è piu’ valida. E’ necessario eseguire una nuova autenticazione”.
Sei riuscito a risolvere il problema?
In caso potresti dirmi come hai fatto?
Grazie.

Ciao,
ho riscontrato anche io, in preprod, il problema "“L’applicazione a cui hai acceduto non è registrata per l’utilizzo con questo servizio.”
Sapresti dirmi se lo hai risolto e come?
Grazie

Ciao @kevin , no non ho risolto. Ti consiglio di contattare l’assistenza CIE ti aiutano se hai errori nella EC. personalmente credo dipenda anche molto da che profilo hai impostato se pubblico/privato e dal tipo Full/Light. Sicuramente hanno impostato requisiti diversi.

Ciao,
Per curiosità, come hai fatto ad integrare la procedura di Login CIE con questo problema irrisolto?

è per un progetto in lavorazione ancora

Se servisse a qualcuno sono riuscito a risolvere la questione.
Era un problema della libreria che sto usando GitHub - italia/spid-cie-oidc-aspnetcore: SPID/CIE OIDC Federation SDK for AspNetCore.
Leggevano con una chiave differente la parte del json contenente il trust_mark in quanto cie me lo crea come trust_mark ma la libreria lo andava a cercare come TrustMark.

Ciao a tutti,
sto guardando solo da un paio di giorni le varie documentazioni presenti relative all’integrazione di applicazioni con CIE, quindi mi scuso in anticipo se alcune domande dovessero essere un po’ OT o fuori contesto.
Esiste una linea guida unica per crearsi in locale un ambiente che emula l’intera infrastruttura CIE necessaria per permettere a un relying party di effettuare un autenticazione tramite keycloak?
Al momento sono partito tirandomi su questo https://github.com/italia/spid-cie-oidc-java ma il video guida mostra unicamente come configurare la parte di SPID.
Non mi è chiaro quindi se tale progetto è sufficiente a crearmi l’infrastruttura di test di cui ho bisogno oppure ci sono degli step che non mi sono chiari.
Ad esempio, non capisco se la nota To be onboarded into CIE Federation in questo README sia uno step necessario.
Vi ringrazio in anticipo per qualsiasi delucidazione, sono sicuro sarebbe utile anche per altri avere un piccolo riepilogo qui in questo thread per capire lo stato di avanzamento di questi progetti in data odierna.

Buon pomeriggio,

io per emulare l’interfaccia CIE ho utilizzato invece spid-cie-oidc-django in un container Docker.

Consiglio, comunque, di avvalersi del validator con openid-federation disponibile qui: https://validator.spid.gov.it/oidc/rp/.well-known/openid-federation.
Per evitarsi di fare il login con CIE per accedere al servizio, è anche possibile utilizzarlo in locale a partire dal questa repo spid-oidc-check-rp come container Docker. Per permettergli di dialogare con localhost anche dal container, attivare Settings>Resources>Network>Enable host networking in Docker Desktop.
Io ho dovuto, poi, modificare un paio di configurazioni prima di costruire il container in modo che fossero in linea con l’indirizzo in cui girava il validator. Fatto questo, sarà sufficiente inoltrare le richieste di autenticazione a quell’indirizzo.

Se hai dubbi, chiedi pure

Ciao a tutti,
a qualcuno è capitato che in fase di richiesta allo UserInfoEndPoint ricevesse come risposta:
ERROR 400 BAD REQUEST
{
“ERROR_DESCRIPTION”:

“INVALIDSECURITYCONFIGURATION”,
“ERROR”:

“INVALID_REQUEST”
}

nonostante io riesca a contattare correttamente il TokenEndPoint e lo inserisca come autenticazione Bearer nella chiamata allo UserInfoEndpoint