menu di navigazione del network

Diversi SP per un singolo Ente


(Andrea Cividini) #1

Buongiorno a tutti,

sto coordinando l’integrazione tra SPID ed il portale web istituzionale per un nostro cliente (un’amministrazione comunale di medie/grosse dimensioni).

Ci siamo trovati nella situazione in cui uno degli altri fornitori di servizi per questo cliente ha già coordinato e implementato l’integrazione SPID con uno suo prodotto, e quindi l’amministrazione comunale risulta già accreditata.
Non mi è possibile tuttavia, per come sono stati implementati rispettivamente i due sistemi, utilizzare il SP già disponibile (anche solo unire i due metadati generati risulta decisamente difficile al momento).

È possibile registrare più accreditamenti, con diversi metadati, per il medesimo Ente?
Lo chiedo prima che la mia comunicazione dei metadati vada erroneamente a sistuire quella dell’ulteriore fornitore.


(Umberto Rosini) #2

Ciao Andrea,
quello che evidenzi è il problema per cui stiamo lavorando per il superamento dell’invio del metadata. Per ora non è possibile se non per urgenze particolari ma già da fine settembre conto di avviare il servizio. Nel caso posso provare a fare da intermediario tra voi e l’altro fornitore.

Umberto Rosini
Agenzia per l’Italia Digitale


(Eduardo77) #3

Buongiorno,
vorrei chiedere quale sia ad oggi la maniera migliore di procedere quando ci si trova nella situazione descritta molto bene sopra. E’ possibile avere chiarimenti tecnici e istruzioni sugli adempimenti di carattere amministrativo necessari per realizzare un’integrazione di questo tipo? Qual’è la vostra opinione su configurazioni di questo tipo? Potrebbero esistere particolari controindicazioni ?


(Umberto Rosini) #4

Ciao Eduardo,
il metadata è pensato per avere più sp (identificati dall’AssertionConsumerService), a questi si possono, ovviamente, aggiungere più certificati di signing. L’unica cosa che non deve essere diversa è l’EntityID.

Umberto Rosini
Agenzia per l’italia Digitale


(Eduardo77) #5

Ciao Umberto,
grazie per aver risposto subito, effettivamente, in accordo con quanto scrivi si può leggere anche all’inizio del documento NOTE SUL DISPIEGAMENTO DI SPID PRESSO I GESTORI DEI SERVIZI che:

I formati previsti da SAML consentono di definire, nel file di configurazione (metadata) di un gestore di servizi (service provider), diversi punti di erogazione dei servizi (assertionConsumerServer).
Questa flessibilità consentita dal SAML standard, recepita dal profilo di interoperabilità SPID, costituisce un elemento di strutturazione del file di configurazione che consente di evitare frammentazione nelle informazioni afferenti la stessa entità, con conseguente eliminazioni di ridondanze, semplificazione della manutenzione dei dati di configurazione e facilità nel dispiegamento dei sistemi.

Solo che non mi è chiaro ancora come bisogna procedere, nel caso di due aziende diverse che abbiano due installazioni di shibboleth-sp su server distinti sui quali sono presenti i servizi da fornire ad uno stesso Comune.

E’ possibile registrare più accreditamenti (con più installazioni di shibboleth ad esempio), con diversi metadati, per il medesimo Ente?


(Angelo Rossini) #6

Ciao @Eduardo1977,

quello che vi manca, a mio avviso, è quello che nel documento che hai citato è indicato in figura 1 come “sistema AM”. È attraverso l’utilizzo di tale sistema che si riesce a implementare il funzionamento desiderato.

Saluti.


(Umberto Rosini) #7

Ciao @Angelo_Rossini,
corretto quanto dici dal momento che si vuole utilizzare un singolo AM, ma nel caso di più AM è solamente necessario aggiungere più AssertionConsumerService e certificati di signing. L’unica difficoltà, essendo possibile un solo metadata per PA, è lavorare e firmare uno stesso metadata quando intervengono più fornitori, motivo per il quale stiamo lavorando ad un processo di onboarding più semplice e che non fa uso di metadata lato SP ma che permetterà la compilazione di una form con tutti gli elementi necessari e la generazione in backend del metadata saml che sarà firmato dall’Agenzia dopo opportune verifiche.
@Eduardo1977 per il caso specifico se hai necessità di un’intermediazione tra te e l’altro fornitore e supporto scrivimi pure: rosini@agid.gov.it

Ciao

Umberto Rosini
Agenzia per l’Italia Digitale


Registro - metadata - nuovo modello di onBoarding
(Eduardo77) #8

Buongiorno @Angelo_Rossini e @umbros,
vi ringrazio davvero per l’aiuto. Adesso è molto più chiaro.
Grazie anche per la disponibilità, se ci sarà bisogno di un’intermediazione @umbros ti contatterò sicuramente.
Buona giornata


(Luca Giucastro) #9

Ciao, questo è il mio primo post.
Chiaro per quanto riguarda la definizione di più AssertionConsumerService e certificati di signing (anche se non ho capito bene come verrebbero associati ai singoli servizi, forse per ordine di definizione nell’xml ?) , ma la definizione di SingleLogoutService credo possa essere solo una per tipologia (Post, Redirect…), questo credo non permetterebbe il corretto Logout dalla specifica istanza di SP.
Non sarebbe a questo punto più corretto , definire nel metadata un nuovo elemeto di tipo SPSSODescriptor (stavo leggendo le specifiche saml per capire la fattibilità) e dentro definire tutto ciò che serve per un’altra istanza fisica di SP?

Ciao
Buona giornata


(Umberto Rosini) #10

Ciao @lgiucastro-dn,
proprio ieri durante una riunione è ho anticipato, anche per altre necessità di poter interire più descrittori nello stesso metadata. Per ora è necessario lavorare sullo stesso.

Ciao
Umberto Rosini
Agenzia per l’Italia Digitale


(Andrea Maffeis) #11

@umbros ci sono novità rispetto alla gestione (e firma) del metadata nel caso di amministrazioni con diversi SP?
Ero rimasto che avreste rilasciato un tool online a disposizione delle PA per la compilazione delle informazioni senza la necessità di intervenire sul metadato.


(Umberto Rosini) #12

Ciao @AndreaM,
il sistema rientra nel nuovo sistema di onboarding che stiamo sviluppando. Per ora è valido ancora quanto detto sopra. Circa i tempi ritengo non prima di aprile.

Umberto Rosini
Agenzia per l’Italia Digitale


(Marco Deligios) #13

Da qui a quando sarà disponibile il sistema di onboarding come dobbiamo fare quando ci sono più fornitori?


(Marco Deligios) #14

@umbros: scusa se insisto, potrei avere una risposta al quesito?


(Umberto Rosini) #15

Ciao @emmedi,
presto pubblicherò le roadmap di sviluppo. Il sistema guida attraverso tutto il flusso di configurazione/verifica e convenzione e ovviamente di gestione dopo la convenzione.

Ti aggiorno appena ho date certe.

Umberto Rosini
Agenzia per l’Italia Digitale


(Daniele Cherchi) #16

Salve, ho letto svariati post per capire come operare nella generazione del metadata con servizi erogati a diversi SP. Tutt’ora però ho alcuni punti un po’ oscuri.
Nel caso specifico è già operativo il nostro servizio e ora, la PA chiede l’integrazione di un secondo servizio erogato da un altro fornitore.

Da quello che ho capito, per fare questo, il metadata deve essere integrato includendo gli ulteriori AssertionConsumerService e a cui si possono, ma non obbligatoriamente, aggiungere i relativi certificati di signing.
I questiti quindi sono:
Domanda_1) Si può decidere di utilizzare anche un unico signing condiviso?

Domanda_2) Se ogni SP oltre che includere il proprio AssertionConsumerService inserisce il proprio certificati di signing, questo viene caricato secondo l’ordine posizionale o è totalmente indifferente?

Domanda_3) In riferimento alla frase " L’unica difficoltà, essendo possibile un solo metadata per PA, lavorare e firmare uno stesso metadata quando intervengono più fornitori" è che in pratica il metadato dovrebbe essere firmato più volte utilizzando ciascuno il proprio certificato?

Grazie


(Umberto Rosini) #17

Ciao @Daniele_Cherchi,
ti rispondo ai quesiti, premettendo che stiamo sviluppando il sistema di onboarding che, di fatto, eliminerà il processo di creazione del metadata perchè insito nella procedura di onboarding e gestione degli SP;

Volendo si ma se sono più fornitori dovresti condividere con tutti la chiave e il certificato di firma!!! Quindi si è possibile ma assolutamente non consigliato.

E’ indifferente, l’IDP vede la richiesta proveniente dall’entità e ne valida la firma ciclando sui certificati di signing resi noti.

Il metadata viene firmato una volta sola; l’ideale sarebbe che il mantenimento e la gestione del metadata sia effettuato dalla PA stessa o da un fornitore singolo che si preoccupa di integrare i dati degli altri fornitori.

Umberto Rosini
Agenzia per l’Italia Digitale


(Alessia De Col) #18

Buongiorno,
chiedo gentilmente se ci sono novità in merito alla procedura di onboarding e gestione degli SP.
Grazie e saluti.