• Link a spid validator da errore

Ciao a tutti,
dopo tanti sforzi sembra siamo riusciti ad avere tutti i check verdi per quanto riguarda il metadata.xml dello spid, però non abbiamo ancora avuto l’accreditamente da parte di AGID per questo problema:

  • link a spid validator da errore, deve puntare a https://validator.spid.gov.it/
    abbiamo verificato lato codice ed era sbagliato il link mancava il ‘/’ lo abbiamo messo, ma effettuando il test sul nostro sito di collaudo, provando ad entrare sul nosto login di spid viene effettuato il redirect alla pagina di cui sopra ma ho un errore generico e non riesco a capire a cosa sia dovuto. Lato codice abbiamo modificato anche il campo SPUID con il corretto url dell’entityID. Avete qualche idea a riguardo?

L’xml ri risposta recuperato tramit saml trace è il seguente:

Grazie mille

il punto 5 della procedura tecnica di accreditamento afferma:

5 ) Rendi disponibile il metadata su una url ‘https’ del tuo dominio e inserisci tra gli IDP del bottone “Entra con SPID” anche l’IDP del tool SPID Validator (il metadata è disponibile all’url: https://validator.spid.gov.it/metadata.xml).
Il metadata deve contenere un certificato self-signed relativo alla chiave privata con cui firmare lo stesso metadata e le request verso gli IdP.

Osservando il citato metadata , si vede che la location del SingleSignOnService è

https://validator.spid.gov.it/samlsso

Importando il metadata del Validator come quello di un qualunque altro Idp, la configurazione dovrebbe essere automatica. Controllate che il vostro SP lanci le Authnrequest verso tale indirizzo di SingleSignOnService.

Osservando la vostra AuthnRequest ho notato 2 errori:

  • Le regole SAML affermano che i riferimenti temporali in UTC vanno allineati al secondo o al millisecondo. Voi usate una precisione al milionesimo di secondo.
  • Le regole SPID affermano che : L’algoritmo impiegato per le impronte crittografiche è il dedicated hash-function 4 definito nella norma ISO/IEC 10118-3, corrispondente alla funzione sha-256. È consentito l’uso della funzione sha-512. Voi usate lo sha-1.

Ciao Antonio,
Importando il metadata del Validator come quello di un qualunque altro Idp, la configurazione dovrebbe essere automatica. cosa si intende? Si deve scaricare e caricare sul nostro sito internet e deve essere puntato?

Grazie mille

Lo devi trattare come il metadata di qualunque altro IDP reale (Poste, Aruba, etc…).
Il metodo pratico varia in base alla libreria/IAM specifico che stai usando, ognuno ha le sue istruzioni di configurazione.

Ciao Antonio,
dovremmo aver sistemato i 2 problemi che ci avevi segnalato relativi ai riferimenti temporali UTC e quelli relativi allo sha-1.
Per il punto iniziale ancora non abbiamo capito bene:

  • oltre al metadata.xml custom firmato (presente nel nostro sito e presente nel link dei vari test) che ha dato esito positivo ai test metadata-extra e strick, dobbiamo inserire altro?
  • nei vari tasti di login (POSTE/ARUBA etc) abbiamo inserito il tasto Validator, che fa una redirect al link SPID, al click su di lui viene fatto il redirect alla pagina “OnBoarding - Ambiente per la gestione dei processi del Sistema Pubblico di Identità Digitale (Beta Version)” a quel punto se provo ad entrare con SPID, attraverso il mio spid privato ad esempio POSTE, accedo arrivo alla pagina con AGID tratta i seguenti dati, in cui c’è il ripeilogo dei miei dati, andando su prosegui ho la pagina con “Accesso non autorizzato. Contattare l’amministratore di sistema.”

Grazie

E’ il funzionamento normale.
L’accesso è limitato ad una whitelist di personale AgID.
Penso che potete riproporre la richiesta.

Ottimo in effetti sembra che ora vada, ma non finisce qui (come diceva Corrado), ora abbiamo errori sulla response


e ce ne sono altri.
Domanda ma come facciamo noi a verificare questi report relativi alla response? Nel senso che se proviamo ad accedere SPID Validator a questo link e registriamo il nostro metadata.xml (che ha ok in stric ed extra) ma non riusciamo a vedere i test relativi alla response, se non sbaglio dovrei vedere alcune voci in più sul menù di sinistra, corretto?

Buongiorno @CommissarioBetti ,

il progetto spid-saml-check, informalmente SPID Validator, può essere eseguito in due modalità:

  • modalità Validator, che permette di controllare direttamente il flusso ed eseguire le verifiche su Metadata, Request e Response;
  • modalità Demo, che simula un IdP presentando una form per l’inserimento delle credenziali;

L’istallazione su https://demo.spid.gov.it espone entrambe le modalità.

Per utilizzare la modalità Validator, occorre registrare sul proprio SP il metadata da IdP del Validator (modalità Validator) disponibile alla URL: https://demo.spid.gov.it/validator/metadata.xml

Per utilizzare, invece, la modalità Demo, occorre registrare sul proprio SP il metadata da IdP del Validator (modalità Demo) disponibile alla URL https://demo.spid.gov.it/metadata.xml

La modalità Validator permette di controllare la conformità di Metadata, Request e Response.

Se si accede direttamente al Validator tramite la URL: SPID Validator, si troverà abilitata esclusivamente la sezione per la verifica del metadata.

Per abilitare le sezioni per la verifica di Request e Response, occorre inviare una AuthnRequest dal proprio SP all’IdP Validator (modalità Validator), il quale, come già indicato, dovrà essere stato precedentemente configurato sul proprio SP tramite il metadata da IdP (modalità Validator) scaricabile alla URL https://demo.spid.gov.it/validator/metadata.xml.

Cordiali saluti,
Michele D’Amico (@damikael)