Cool-jconon - Selezioni online

mspasiano · 22 Novembre 2021, 9:25am

Ciao, i modelli vengono caricati allo startup dell’applicativo, se poi venono aggiornati viene evidenziato un warning sulla differenze dell’md5, se devi cambiarlo puoi accedere ad Alfresco tramite webdav ed aggiornare il file

frabnet · 30 Novembre 2021, 4:27pm

Salve, ho una domanda sul container Alfresco fornito insieme a cool-jconon-template. Funziona tutto bene ma non riesco a cambiare la password di ‘admin’. Mi aspettavo di accendere all’indirizzo /share per poter usare l’interfaccia di Alfresco ma non funziona. Come si cambia la password?

mspasiano · 1 Dicembre 2021, 8:43am

Ciao, Share non c’è ma comunque se sei abituato ad usarlo puoi avviarlo, la password di admin può essere cambiata anche da cool-jconon-template

frabnet · 1 Dicembre 2021, 10:20am

Ciao Marco, potresti elaborare un poco di più la risposta? Non sono pratico di Alfresco. So solo che in una installazione “standard” si può gestire da /share. Ho anche provato la strada dell’installazione standard caricando gli Amp come indicato ma non riesco a proseguire (penso sia da riadattare il file alfresco-global.properties, ma a questo punto preferisco usare l’installazione fornita già pronta, a patto di cambiare la password per sicurezza).

mspasiano · 1 Dicembre 2021, 3:47pm

Se non sei pratico dell’installazione conviene che segui quella fornita con docker, quello che puoi fare è avviare il tutto poi accedere con admin/admin su jconon e quindi cambiare la password, al successivo riavvio però non dimendicare di cambiare -Duser.admin.password=admin

KarimSaad91 · 16 Dicembre 2021, 7:51am

Buongiorno, vi scriviamo nuovamente perchè abbiamo riscontrato un errore in fase di validazione del metadata con AGID. In particolare, nella fase di test delle response effettuato da AGID si ottiene sempre il messaggio:

{"timestamp":"2021-12-03T11:27:08.693+00:00","status":403,"error":"Forbidden","message":"Forbidden","path":"/auth/realms/CNR/broker/Infocert/endpoint"}

Probabilmente dipende dal metadata.xml che contiene:

<md:SingleLogoutService Binding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST Location=https://SITO_COOL_JCONON/rest/security/logout/>
<md:SingleLogoutService Binding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST Location=https://SITO_COOL_JCONON/auth/realms/CNR/broker/Aruba/endpoint/>
<md:SingleLogoutService Binding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST Location=https://SITO_COOL_JCONON/auth/realms/CNR/broker/Infocert/endpoint/>

Il file metadata.xml è stato compilato da noi prendendo spunto da vari esempi/template trovati su github.
Esiste un template ufficiale per interfacciarsi correttamente con cool-jconon? O avete riscontrato un errore simile a quello proposto?

Grazie per la collaborazione!

mspasiano · 16 Dicembre 2021, 9:11am

Salve, al CNR oltre a Selezioni Online abbiamo l’SSO con Keyclock per cui nei metadati trova anche i riferimenti a quello, per cui se avete già fatto l’on-boarding SPID dovreste integrarlo, altrimenti potreste far riferimento a questo https://selezionionline.cnr.it/jconon/rest/static/metadata/sp/sp_metadata.xml eliminando tutti i riferimenti a https://sso.cnr.it…

KarimSaad91 · 16 Dicembre 2021, 9:41am

Buongiorno Marco, l’ultimo modello che abbiamo utilizzato è proprio quello https://selezionionline.cnr.it/jconon/rest/static/metadata/sp/sp_metadata.xml
dal quale abbiamo tolto i riferimenti al vostro sso. Abbiamo poi firmato il metadata e validato con il Validator AGID con risultati positivi.
Nel metadata comunque la sostituzione l’abbiamo fatta in questo modo:

</md:KeyDescriptor>

<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://bandi.aspbassaromagna.it/rest/security/logout"/>

<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Aruba/endpoint"/>
[...]
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://bandi.aspbassaromagna.it/spid/send-response" index="9"/>

Quello che non riusciamo a capire è, quindi, se l’errore (403) di cui sopra fa riferimento al file o se serve fare qualche modifica ulteriore.

Se avete altre opzioni o suggerimenti, vi chiederei di aiutarci. Nel frattempo cerco di indagare la questione anche nei forum #spid dedicati.

Grazie ancora,
Karim

mspasiano · 16 Dicembre 2021, 10:40am

Mi sa che

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Aruba/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Infocert/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Intesa/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Lepida/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Namirial/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Poste/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Sielte/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/SpidItalia/endpoint”/>

<md:SingleLogoutService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Tim/endpoint”/>

ed anche

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Aruba/endpoint” index=“0” isDefault=“true”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Infocert/endpoint” index=“1”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Intesa/endpoint” index=“2”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Lepida/endpoint” index=“3”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Namirial/endpoint” index=“4”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Poste/endpoint” index=“5”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Sielte/endpoint” index=“6”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/SpidItalia/endpoint” index=“7”/>

<md:AssertionConsumerService Binding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST” Location=“https://bandi.aspbassaromagna.it/auth/realms/CNR/broker/Tim/endpoint” index=“8”/>

Non servono per cui puoi anche eliminarli

vito_deviti_milano · 17 Dicembre 2021, 10:16pm

buongiorno, volevo chiederti se la firma OTP aruba si puo disabilitare ed eventualmente delle indicazioni? c’e disponibile un manuale di amministratore del sistema?

mspasiano · 18 Dicembre 2021, 7:17am

Salve,

Non c’è un vero e proprio manuale ma può far riferimento ai seguenti link:

github.com

consiglionazionaledellericerche/cool-jconon-template/blob/master/setup.md

## GESTIRE PROFILO SPRING PERSONALIZZATO

Creare il file `application-comune.yml` in `src/main/resources/config/` e scrivere i parametri di posta elettronica, le credenziali dei vari servizi (OIL, IO) e impostare il timer di protocollazione automatica secondo quanto concordato con l'ufficio Risorse Umane.

Per caricare il nuovo profilo, nel file `docker-compose.yml` inserire la variabile di ambiente nella definizione di jconon:

`- SPRING_PROFILES_ACTIVE=comune,prod`

## ATTIVARE SPID

### CERTIFICATI

Generare i certificati con https://github.com/italia/spid-compliant-certificates/ 

```
docker pull italia/spid-compliant-certificates:edge

docker run -ti --rm -v "/certificati-spid:/certs" 			\
italia/spid-compliant-certificates:edge generator 			\
--key-size 3072 							\

This file has been truncated. show original

Per quanto riguarda la firma remota, è presente solo per le Comunicazioni/Convocazioni/Esclusioni, per cui basta non utilizzare la funzionalità di firma e procedere direttamente con l’invio tramite PEC e App IO.

vito_deviti_milano · 20 Dicembre 2021, 2:37pm

ok, ti ringrazio delle inddicazioni

KarimSaad91 · 21 Dicembre 2021, 9:01am

Buongiorno Marco,
abbiamo eliminato le stringhe che ci hai indicato, ma AGID ci ha segnalato nuovamente errore in fase di response. Stiamo quindi cercando di effettuare i test in autonomia. Non riusciamo ad integrare né spid-saml-check né SPID-testenv2.
La procedura che effettuiamo è:

Prelevare metadata.xml e scriverlo in /src/main/resources/META-INF/metadata/idp/test-metadata.xml
Adattare postURL, redirectURL, entityId nel idp.yml
Attivare profilo dev su SPRING_PROFILES_ACTIVE

Cool-jconon non si avvia più, restituendo l’errore:

[ERROR] org.springframework.boot.SpringApplication:871 - Application run failed
org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'SPIDIntegrationService' defined in URL [jar:file:/opt/jconon.war!/WEB-INF/lib/cool-jconon-spid-4.9.37.jar!/it/cnr/si/cool/jconon/spid/service/SPIDIntegrationService.class]: Invocation of init method failed; nested exception is java.lang.NullPointerException
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1786)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:602)
Caused by: java.lang.NullPointerException: null
	at it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService.getIDPSSODescriptor(SPIDIntegrationService.java:221)
	at it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService.lambda$afterPropertiesSet$3(SPIDIntegrationService.java:184)
	at java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:193)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1782)

Grazie come sempre per la collaborazione,
Karim

mspasiano · 21 Dicembre 2021, 9:21am

Ciao dovresti controllare quanto scritto in idp.yml, dallo stacktrace sembra con trovi la risorsa, tutte le entry presenti in idp.yml devono esistere.

KarimSaad91 · 21 Dicembre 2021, 12:01pm

Ciao Marco,
abbiamo seguito le tue indicazioni ed effettivamente ci eravamo persi un dettaglio.
Una volta sistemato però ci siamo trovati a un bivio legato agli index del AssertionConsumerService e AttributeConsumingServic:

CASO n.1) Abbiamo indicato:

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://bandi.aspbassaromagna.it/spid/send-response" index="1" isDefault="true"/>
<md:AttributeConsumingService index="1">
<md:ServiceName xml:lang="it">Single sign-on</md:ServiceName>
<md:RequestedAttribute FriendlyName="Email" Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"/>

Risultato: la response funziona perfettamente e lo spid-testenv2 è ok. Quando facciamo la validazione del metadata perà da errore 62 (“Must be present the default AssertionConsumerService with index = 0”)

CASO n.2) Abbiamo indicato:

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://bandi.aspbassaromagna.it/spid/send-response" index="0" isDefault="true"/>
<md:AttributeConsumingService index="0">
<md:ServiceName xml:lang="it">Single sign-on</md:ServiceName>
<md:RequestedAttribute FriendlyName="Email" Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"/>

Risultato: il metadata andrebbe bene, ma non gira lo spid-testenv2 e non riusciamo a verificare la response.

Suggerimenti? Siamo a un vicolo cieco.

Grazie sempre per la disponibilità,
Karim

mspasiano · 21 Dicembre 2021, 2:19pm

Mi sembra molto strano, ma avete ggiornato il metadata sotto SPID test e i parametri di avvio?
spid.attributeConsumingServiceIndex=0
spid.assertionConsumerServiceIndex=0

KarimSaad91 · 23 Dicembre 2021, 9:07am

Buongiorno Marco,
siamo riusciti a implementare lo spid-saml-check di AGID.
Abbiamo un’altra domanda (scusateci) per quanto riguarda le response. Abbiamo notato che alla #03 (03. Response - Assertion non firmata ) dove il risultato atteso è “KO”, in realtà fa il login correttamente con SPID (utente: SpidValidator AgID).
Abbiamo anche visto che, in generale, nei casi di risultato atteso “KO”, il risultato è:
{"timestamp":"2021-12-23T09:03:32.787+00:00","status":500,"error":"Internal Server Error","exception":"java.lang.NullPointerException","message":"No message available","path":"/spid/send-response"}
È normale?

Grazie sempre,
Karim

vito_deviti_milano · 23 Dicembre 2021, 9:39am

buongiorno, abbiamo caricato un json cone le sed nel path di progettto src\main\resources\remote-xxx\Data Dictionary\Web Applications\jconon\WEB-INF\classes\sedi.json ma non vediamo le sedi caricate come scelta quando carichiamo un bando? il parametro --siper.sedi.url= va settato in qualche modo?

mspasiano · 23 Dicembre 2021, 9:40am

Ciao Karim, Se mi mandi il frammento dei log dove compare il NPE posso controllare

KarimSaad91 · 23 Dicembre 2021, 10:51am

Nel caso del test “02. Response non firmata” le log sono:

[INFO] it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService:544 - Total of SPIDRequest 5
[INFO] it.cnr.si.cool.jconon.spid.repository.SPIDRepository:51 - cleared spid request with id _8e89c263-ec3b-49e8-bcf7-97d2e1863c29
[ERROR] org.apache.catalina.core.ContainerBase.[Tomcat].[localhost].[/].[dispatcherServlet]:175 - Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is java.lang.NullPointerException] with root cause
java.lang.NullPointerException: null
at it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService.validateSignature(SPIDIntegrationService.java:574)
at it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService.decodeAndValidateSamlResponse(SPIDIntegrationService.java:565)
at it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService.idpResponse(SPIDIntegrationService.java:759)
at it.cnr.si.cool.jconon.spid.rest.SPID.idpResponse(SPID.java:129)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
[troncato per eccessiva lunghezza]
[WARN] it.cnr.si.cool.jconon.rest.openapi.controllers.IndexController:62 - ERROR Page Controller Status:500 Message:No message available

Il problema grave è nel caso “03. Response - Assertion non firmata”, dove il risultato atteso è “KO”, ma l’utente si logga correttamente. In questo caso le log sono le seguenti:

[INFO] it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService:544 - Total of SPIDRequest 5
[INFO] it.cnr.si.cool.jconon.spid.repository.SPIDRepository:51 - cleared spid request with id _0b9af87f-bff4-481b-a86e-565c90e1a86a
[ERROR] it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService:574 - SPID Validate Response Signature: true, org.opensaml.xml.signature.impl.KeyInfoImpl@6b849ba4
[ERROR] it.cnr.si.cool.jconon.spid.service.SPIDIntegrationService:575 - SPID Validate Response Assertion Signature: false,
[INFO] it.cnr.si.cool.jconon.spid.rest.SPID:130 - Ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd
[INFO] it.cnr.cool.cmis.service.CmisAuthRepository:109 - creating binding session for ticket TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd
[INFO] it.cnr.cool.cmis.service.CmisAuthRepository:73 - user not cached for ticket TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd
[INFO] it.cnr.cool.cmis.service.CmisAuthRepository:92 - add to cache user spidvalidator-agid to the cache having ticket = TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET null?
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET /page/home?
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET null?v=0.0.1
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET /common?pageId=home&v=0.0.1
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET /common?pageId=home&v=0.0.1
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET /frontOffice/notice?ajax=true&guest=true&groups=d41d8cd98f00b204e9800998ecf8427e
[INFO] it.cnr.cool.cmis.service.CMISService:271 - User: spidvalidator-agid with ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd IP: NOSTROIP Path: GET /frontOffice/notice?ajax=true&guest=true&groups=d41d8cd98f00b204e9800998ecf8427e
[INFO] it.cnr.cool.cmis.service.CmisAuthRepository:62 - creating a new CMIS Session for ticket: TICKET_fbc24444a7775b7fab3de05aff5adb58251b03fd