menu di navigazione del network

Errori da AGID su Response

Buondì,
stiamo effettuando l’integrazione con SPID. Dai controlli di AGID, la stessa ci segnala che c’è un problema con l’elemento AuthContextClassRef all’interno della response. Stante che l’elemento AuthContextClassRef non credo che esista (si chiama AuthnContextClassRef) non ho capito questi errori:
94. Assertion - Elemento AuthContextClassRef impostato su
https://www.spid.gov.it/SpidL1
FAIL
#1
95. Assertion - Elemento AuthContextClassRef impostato su
https://www.spid.gov.it/SpidL2
FAIL
#1
96. Assertion - Elemento AuthContextClassRef impostato su
https://www.spid.gov.it/SpidL3
FAIL

Inoltre ci hanno segnalato anche questo:
110. Response - IssueInstant con millisecondi
cosa vuol dire? E come eventualmente possiamo risolverlo?

Grazie in anticipo

Ivan

Buongiorno Ivan,

i test #94, #95, #96 verificano il comportamento del SP alla ricezione di una Response a seguito di autenticazione effettuata con il rispettivo livello di autenticazione in relazione al valore di AuthnContextClassRef indicato nella richiesta di autenticazione.

In particolare il SP deve permettere l’accesso al servizio solo se l’autenticazione risulta essere stata effettuata con un livello compatibile con quello richiesto e comunque nel rispetto delle regole tecniche SPID.

Ad esempio, se viene richiesta una autenticazione con AuthnContextClassRef=https://www.spid.gov.it/SpidL2 e Comparison=minimum, e la Response indica, invece, AuthnContextClassRef=https://www.spid.gov.it/SpidL1, il SP NON deve permettere l’accesso.

Al contrario, se viene richiesta una autenticazione con AuthnContextClassRef=https://www.spid.gov.it/SpidL2 e Comparison=exact, e la Response indica, invece, AuthnContextClassRef=https://www.spid.gov.it/SpidL3, il SP DEVE permettere l’accesso.

Occorre infatti tener presente che, da regole tecniche SPID, il SP deve permettere l’accesso anche nel caso in cui l’autenticazione avvenga con un livello superiore di quello richiesto. Per questo è consigliato usare il Comparison minimum.

Riguardo al test 110, il SP deve accettare la Response anche se l’IssueInstant è espresso in millisecondi. Es: IssueInstant=“2020-08-05T17:44:35.397Z”

Saluti,
Michele D’Amico