Logout response e ambiente di test

Antonyclar93 · 3 Novembre 2021, 11:03am

Buongiorno a tutti.
Stavo testando la mia applicazione asp net core per verificare l’implementazione della funzionalità di logout con SPID.
Tutti i test li ho fatti con il Validator ([SPID Validator] (SPID Validator) secondo il quale il metadata, request e response risultano corretti.

Nel momento in cui invio all’IdP di test una request all’indirizzo https://demo.spid.gov.it/samlsso, al momento della response, ottengo un errore 405 Method not allowed sul browser.

Questo è quanto compare sulla barra degli indirizzi del browser al momento dell’errore:
https:///acs/logout?SAMLResponse=fVLBSsNAEL0L%2FYeS%2Bya72b …

Inviando la stessa request di tipo POST da Postman alla mia applicazione, invece, si attiva il metodo per la gestione delle operazioni di logout ma ottengo un errore in quanto la response non è in base 64.

Preciso che non ho alcun tipo di problema quando devo elaborare la response alla richiesta di autenticazione.

Da qui alcune domande:

L’ambiente demo gestisce anche il logout o solo la fase di login?
Quando il browser inoltra al SP (la mia applicazione) la response dell’IdP, lo fa attraverso una POST così come previsto dalle specifiche SAML?
Come mai il valore della response che visualizzo sulla barra degli indirizzi del browser non è una stringa in formato base 64?

Andrea_Tironi1 · 4 Novembre 2021, 4:00pm

Prova a sentire spid.tech@agid.gov.it

Antonyclar93 · 5 Novembre 2021, 10:27am

Per completezza ho visto che il Validator non gestisce il logout infatti la request proveniente dall’IdP e che dovrebbe contenere la response, non è di tipo POST (come dovrebbe essere) ma di tipo GET.

mauromol · 9 Novembre 2021, 6:12pm

Consiglio di leggere ed eventualmente intervenire su:

github.com/italia/spid-aspnetcore

Problema su logout

opened 03:30PM - 29 Sep 21 UTC

closed 09:47AM - 05 Oct 21 UTC

santesem-links

Buongiorno a tutti, segnalo che il sistema - una volta effettuata la login con …un IdP, nel caso particolare di livello SPID maggiore di 1 (quindi senza sessione), va in errore in quanto manca il controllo legato al fatto di NON dover inviare la richiesta di logout. In particolare, nel file SamlHandler.cs, riga 404 e quindi 455 - il valore di authnStatementSessionIndex è pari a "" (essendo senza sessione) - quindi la response dall'IdP arriva vuota andando in errore.

github.com/italia/spid-saml-check

Logout nuovo ambiente Demo

opened 10:34AM - 13 Jul 21 UTC

Claudio0449

Buonasera, nel nuovo ambiente di test pubblicato all'indirizzo https://demo.spi…d.gov.it/ riscontro una problematica relativa al logout. Nello specifico, effettuata la Logout request (effettuata correttamente con pagina "postante") , mi aspetto la response in HTTP-POST dell'Idp di test invece risponde in HTTP-GET dove non posso recuperare i dati dalla formcollection. Anche l'applicativo in locale SAML Checker mi risponde in HTTP-GET e non con HTTP-POST. Il vecchio ambiente https://idptest.spid.gov.it/ (ora non più raggiungibile) invece funzionava correttamente. Specifico che il validatore del metadata non riscontra anomalie. Saluti

github.com/italia/spid-saml-check

Su LogoutResponse Binding HTTP-POST ignorato

opened 09:17AM - 04 Aug 21 UTC

BigGM

Premessa: il metadata del service provider contiene un solo SingleLogoutService …su binding HTTP-POST. Alla richiesta di logout request l'Identity Provider non invia la risposta su end-point POST ma su end-point GET esattamente come se si trattasse di binding HTTP_Redirect. In allegato, il metadata e la richiesta di logout. [metadata-sp-signed.txt](https://github.com/italia/spid-saml-check/files/6930087/metadata-sp-signed.txt) [LogoutRequest.txt](https://github.com/italia/spid-saml-check/files/6930097/LogoutRequest.txt)