menu di navigazione del network

Authentication Request con attributo Purpose

Salve,
Stiamo effettuando dei test sull’accesso tramite identità professionali e giuridiche, da linee guida (spid avviso n 18) risulta necessario inserire nell’authentication request la seguente parte: <samlp:Extensions xmlns:spid=“https://spid.gov.it/saml-extensions”> spid:PurposePF</spid:Purpose> </samlp:Extensions>, il sistema ci risponde con un errore sulla posizione di tale elemento all’interno della request; qualcuno ha a disposizione un’esempio di request corretta con tale elemento o sa qual è il giusto posizionamento?

Grazie, Sara

Cosa intendi per “sistema”?
Se non sbaglio, il tag extension deve essere figlio diretto della radice <AuthnRequest>.
Non mi pare vi siano vincoli sull’ordine, ma , se avete possibilità, per questioni di leggibilità io lo inserirei come ultimo figlio.

Ciao,
grazie per la risposta.
Stavamo effettuando dei test tramite il validator SPID SAML Check.
Abbiamo risolto il problema ponendo il tag <samlp:Extensions> contenente <spid:Purpose> come figlio diretto di <AuthnRequest> posizionandolo immediatamente dopo il tag <saml:Issuer>.
Ci chiedevamo inoltre se:

  • nella Response esista un attributo relativo al tipo di identità che sta effettuando l’accesso (ID Persona Giuridica oppure ID uso professionale
    Persona Giuridica etc)
  • è davvero necessario diversificare la procedura di autenticazione tramite spid per le diverse tipologie di identità SPID?

In merito alla seconda domanda, puoi combinare le richieste in base allo schema definito nella tabella a pag. 2 del citato Avviso SPID n°18 v2.

Ad esempio, puoi avere un unico servizio che accetta identità persona fisica uso professionale e persona giuridica uso professionale (Purpose P).

In merito alla prima, nel caso di purpose che accettano più di una tipologia di identità, credo tu lo possa inferire dalla valorizzazione o mancata valorizzazione di alcuni attributi.
Facendo riferimento alla citata tabella:

Cod. Fiscale persona fisica —> Identità tipo 1
Cod. Fiscale persona fisica + partita iva —> Identità tipo 3
Cod. Fiscale persona giuridica ----> Identità tipo 2
Cod. Fiscale persona giuridica + Cod. Fiscale persona fisica ----> Identità tipo 4

Salve a tutti.
Qualcuno è riuscito a implementare, fino in fondo, l’autenticazione con gli SPID di tipo professionale?
Noi abbiamo implementato la request secondo quanto indicato (aggiunta del TAG “Purpose”) ma otteniamo da Aruba, unico IdP con cui abbiamo uno SPID 4 e ancor prima di poter inserire le credenziali di accesso, l’errore seguente:
Autenticazione SPID fallita: L’accesso al sito è limitato alle identità di tipo PERSONA_GIURIDICA_USO_PROFESSIONALE. Per maggiori informazioni ti invitiamo a consultare l’assistenza aprendo un ticket su assistenza.aruba.it”.

Altri IdP sembrano invece ignorare il TAG passato e tutto funziona perfettamente non passando il valore “Purpose”.

Un saluto e grazie a chi vorrà/saprà rispondere.

Non ho capito bene quale valore di purpose passi (secondo le definizioni della tabella dell’Avviso SPID n°18), nè quando rilevi un problema (se dopo l’invio dell’AuthnRequest o dopo la challenge), nè che tipo di identità stai cercando di usare.

Ciao Antonio Giovanni, lo stesso errore lo ottengo con ognuna delle possibili occorrenze indicate nell’avviso 18 v2

  • [Description(“3;4”)] => P
  • [Description(“2;4”)] => LP
  • [Description(“4”)] => PG
  • [Description(“3”)] => PF
  • [Description(“2;3;4”)] => PX

Formalmente lo XML risulta valido con tutti i validatori a cui lo abbiamo passato.
Il tag è così fatto (il namespace è dichiarato in testa alla request):

<saml2p:Extensions>
<spid:Purpose>PG</spid:Purpose>
</saml2p:Extensions>

L’identità che vorremmo provare a usare è uno SPID di tipo 4 Aruba, ma non arriviamo a poter inserire le credenziali.

Saluti.

Noi abbiamo risolto.
Aruba aveva sicuramente un problema sui suoi sistemi cha ha risolto e ora non abbiamo nessun problema a passare le credenziali di uno SPID tipo 2 (business).
Lato nostro avevamo un problema nelle dichiarazioni e, in particolare, nella dichiarazione del namespace “spid”.

Per avere tutto a posto:

  1. il tag Purpose deve essere passato come avevo scritto:

<saml2p:Extensions>
<spid:Purpose>PG</spid:Purpose>
</saml2p:Extensions>

  1. nelle intestazioni va verificato che il namespace spid sia dichiarato come xmlns:spid=“https://spid.gov.it/saml-extensions

Saluti.

è possibile avere il pezzetto di codice java (se fatto in java) relativo all’inserimento del:

<saml2p:Extensions xmlns:spid=“https://spid.gov.it/saml-extensions">
spid:PurposePG</spid:Purpose>
</saml2p:Extensions>

Ciao, noi lo abbiamo sviluppato con C#.
Saluti.