Errore aggancio SPID Validator

cervino · 9 Settembre 2022, 7:13am

Ciao a tutti,
ho caricato su SPID Validator il mio file di metadata.
Supero i controlli Check Strict e Check Extra. Non supero il Check per Produzione.
Provo ad utilizzare l’idp validator passando la seguente AuthRequest:

<samlp:AuthnRequest xmlns:samlp=“urn:oasis:names:tc:SAML:2.0:protocol”
AssertionConsumerServiceURL=“https://dev-liv2-www.spid.piemonte.it/gasp_regione/authnResponseAction.do”
AttributeConsumingServiceIndex=“1”
Destination=“SPID”
ID=“_e44ad9e5-7db8-440a-8a32-0b6c12b07db6”
IssueInstant=“2022-09-09T07:02:23.240Z”
ProtocolBinding=“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST”
Version=“2.0”
>
<saml:Issuer xmlns:saml=“urn:oasis:names:tc:SAML:2.0:assertion”
Format=“urn:oasis:names:tc:SAML:2.0:nameid-format:entity”
NameQualifier=“https://dev-liv2-www.spid.piemonte.it”
>http://tst-www.regione.piemonte.it/sp</saml:Issuer>
<samlp:NameIDPolicy AllowCreate=“true”
Format=“urn:oasis:names:tc:SAML:2.0:nameid-format:transient”
/>
<samlp:RequestedAuthnContext Comparison=“exact”>
<saml:AuthnContextClassRef xmlns:saml=“urn:oasis:names:tc:SAML:2.0:assertion”>https://www.spid.gov.it/SpidL1</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

Essendo in GET non aggiungo il tag signature nella AuthRequest. La signature viene passata come parameters.
L’idp validator mi risponde: “Errore. Formato richiesta non corretto. La AuthnRequest non supera i controlli strict. Verificare la AuthnRequest tramite uno strumento di validazione.” Ho verificato l’AuthRequest e mi sembra conforme alle specifiche AgiD.
Quale potrebbe essere il problema? In più, c’è modo di capire meglio l’errore che mi restituisce lo SPID Validator?
In attesa di un riscontro ringrazio tutti anticipatamente.
Domenico

damikael · 30 Settembre 2022, 7:42am

Buongiorno @cervino ,
più che un problema sul metadata, di cui il “Check per Produzione” non è dovrebbe risultare bloccante,
consiglio di verificare meglio il problema inviando la AuthnRequest al Validator, configurando sul SP il metadata relativo alla modalità validator (https://demo.spid.gov.it/validator/metadata.xml), in aggiunta al metadata relativo alla modalità demo (https://demo.spid.gov.it/metadata.xml).

Ricordo infatti che SPID Validator, formalmente spid-saml-check, può operare nelle due distinte modalità:

Demo: presenta una interfaccia simile ad un IdP per l’inserimento di username e password di utenti fittizi.
Validator: presenta l’interfaccia per il caricamento del metadata con due ulteriori sezioni: per la verifica della Request e l’esito dei relativi test, e per l’invio di Response malformate al fine di verificare la conformità del SP.

Dopo aver configurato il metadata per la modalità Validator, potrai verificare quali test relativamente alla Request non risultano superati.

Michele D’Amico (@damikael)

cervino · 6 Ottobre 2022, 10:26am

Buongiorno,
oggi finalmente sono riuscito a provare. Grazie dell’informazione. Infatti, con il validator sono riuscito a completare il giro.
Ancora grazie.
Domenico