Partiamo da zero

Buongiorno ragazzi,
mi ricollego al post aperto qualche settimana fa (guida spid passo passo).

Penso che a molti sistemisti … serva effettivamente una sorta di lista della spesa…per partire da zero e mettere su un Service Provider per SPID.

Requisiti hardware, sistema operativo, applicativi…e poi arrivare all’XML e metadata…

Che ne pensate?

Ciao @dlarizza,
pensare ad un’architettura che possa andare bene in tutti i casi è cosa un po’ ardua e potrebbe non risultare completa. Un sistema di access management è un sistema che invia una request e riceve una response, poi può essere accompagnato da un sistema di authorization.
Riguardo il metadata è un oggetto che verrà generato direttamente dal sistema di onboarding e che quindi sarà più facile la generazione.

In particolare cosa vorresti approfondire?

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao Umberto,
le mie difficoltà…e quelle di molti altri (e ti assicuro che sono molti)…sono in parte raccolte nella tua risposta.
Tutto cio’ che si trova online e’ incentrato sul cosa deve fare…e non come farlo.

Parlo della mia esperienza…
Volendo mettere su un SP da sistemista…non da programmatore…da dove si inizia?
Che sistema operativo??? Ho messo su con un Ubuntu Server…migliori alternative?
Che componenti sono necessarie? Apache? connessioni hhttps? certificati?
Che service provider? Shibboleth? SimpleSaml? ecc ecc…
tutto cio’ corredato da due righe per la configurazione base…

Si parla di configurazioni finali…come se tutto il resto fosse funzionante…ma se il problema fosse in qualche altra componente?

Tempo fa ne avevo messo su uno con shibboleth…testato su Teshshib era tutto ok…ma poi scopro che con i nostri IDP non avrebbe parlato mai.

Le dimensioni, potenza e accessori sono un problema secondario…si puo’ iniziare con un “serverino di test” per poi affinare il tutto.

Spero di aver fatto trasparire le mie problematiche
Saluti
Danilo

Ciao @dlarizza,

• in questa pagina è descritto il flusso di autenticazione SPID https://github.com/italia/spid-docs/blob/master/pages/spid-saml.md
• in questa pagina https://github.com/italia/spid-docs/blob/master/pages/spid-saml-architetture-sistemi.md spiego le varie modalità con cui si può implementare un sistema basato su saml (che è il protocollo utilizzato per l’autenticazione)
• i sistemi di access management sono vari tra cui: shibboleth o phpsimplesaml (in Github Italia abbiamo rilasciato diverse soluzioni); nel caso l’access management scelto, come la maggior parte delle volte, può essere installato su windows o linux, il consiglio è di scegliere il sistema che ha la versione più aggiornata (ad esempio Shibboleth è rilasciata sempre prima per sistemi linux redhat derivati)
• su github.com/italia abbiamo rilasciato delle soluzioni complete pronte ad essere utilizzate
• i tool github.com/italia/spid-metadata-builder e github.com/italia/spid-metadata-signer servono a creare un metadata compliant SPID Saml
• in questa pagina è descritto l’utilizzo dell’ambiente di test SPID: https://github.com/italia/spid-docs/blob/master/pages/spid-ambiente-di-test.md
• SPID è un sistema che provvede all’autenticazione, per l’autorizzazione è necessario implementare un proprio sistema (acl/abac/rbac…).
• Altra documentazione o attività sono riportate qui: https://github.com/italia/spid-docs/blob/master/pages/documentazione-e-utilita.md

In questi giorni stiamo spostando la gestione di supporto tecnico su github (issue) https://github.com/italia/spid , avviserò quando il sistema sarà avviato e su forum.italia.it questioni più generiche sul progetto.

Attualmente il flusso è descritto a questa pagina e sarà valido fino all’attivazione di quanto detto sopra: https://www.spid.gov.it/come-diventare-fornitore-di-servizi-pubblici-e-privati-con-spid

E’ previsto un rilascio e aggiornamento continuo di faq e guide che saranno organizzate in una knowledgebase per permettere ad un utente di implementare passo passo un applicativo con SPID e avere risposte a quesiti di natura sia tecnica che amministrativa.

Un esempio di un howto è questo: https://github.com/italia/spid-docs/blob/master/pages/spid-shibboleth-sp.md o questo: https://github.com/italia/spid-docs/blob/master/pages/spid-simplesamlphp-sp (sarà poi riportato su readthedocs)

Nei prossimi mesi rilasceremo un sistema di onboarding che permetterà di automatizzare il processo di implementazione, verifica e adesione a SPID.

Umberto Rosini
Agenzia per l’Italia Digitale

Buongiorno,
approfitto del thread per chiedere dei chiarimenti su shibboleth.

Quando avevo fatto l’analisi iniziale mi era parso di capire che shibboleth fosse una libreria che implementa un sistema di autenticazione SAML2.

Però, leggendo la documentazione di SPID, ho visto che c’erano altri punti da approfondire oltre l’accesso con protocollo SAML2, in particolare:

• il tracciamento delle autenticazioni;
• il logout e le sessioni gestiti in base al livello di autenticazione richiesto;
• l’acquisizione delle informazioni riguardanti alle entità coinvolte (per l’aggiornamento della lista degli IDP accreditati e dei relativi certificati)

Con shibboleth è possibile coprire anche queste casistiche?

Ciao Umberto mi presento sono Fabiano un programmatore php, una società che lavora per enti pubblici mi ha commissionato di sviluppare per loro un servizio di autenticazione tramite SPID. Ho seguito la vostra documentazione e per il momento sono riuscito a implementare tramite phpsimplesaml login/logout verso il server di test https://idp.spid.gov.it/. Se non ho capito male ora dovrei iniziare a lavorare sui file metadata compliant SPID Saml per ricevere i valori corretti degli utenti ma mi sono perso un attimo (Ora ricevo un array vuoto da parte dell’IDP).
Avete già scritto una procedura per creare / caricare e configurare questi benedetti metadata? Calcola che sono alla mia prima esperienza con i servizi SPID.
Grazie in anticipo.