Salve a tutti,
approfitto del problema che ho per entrare nel forum e poter dare il mio contributo, difatti ho già fatto ricorso all’help desk che solitamente è stato molto celere, ma nell’ultima settimana un pò meno.
Ho prodotto e validato un metadata.xml e sto facendo una richiesta d autenticazione tramite “AuthnRequest con redirect” a Poste e Tim. Solo Tim però mi fa accedere alla pagina di login mentre poste mi risponde con l’errore numero 08, piuttosto generico soprattutto per il fatto che
la richiesta dovrebbe essere formalmente corretta.
ovviamente ho solo un account di poste per vedere se finalmente riesco a chiudere il cerchio!
Ho letto del problema degli orari, ho fatto girare il servizio ntp, ma nessun risultato.
I certificati sp vanno bene autogenerati? (Tim li prende!)
Nell’ambiente di test riesco a fare il login.
Qualcuno mi può essere d’aiuto o dare uno spunto?
Ciao @rcamanzi,
è necessario capire e vedere la request che invii ho chiesto all’helpdesk di prendere la tua segnalazione in esame e ti fornisco un feedback.
Ciao,
se non l’hai ancora visto, esiste questo documento:
che contiene la descrizione degli errori ritornati dagli IdP.
Il certificato deve essere quello che hai messo nel metadata pubblicato e va bene selfsigned, tra l’altro la tabella di cui sopra dice che il tuo errore dovrebbe essere generato dopo la verifica della firma, quindi non dovrebbe essere quello il porblema.
Sembrerebbe un problema nel formato della richiesta, a me era successa una cosa simile con un IdP per via del formato con cui scrivevamo le date/ora.
Ciao,
io avevo lo stesso errore e poi ho scoperto che a Poste non andava bene qualunque ID nella authnRequest (credo che non volesse quelli che iniziavano con un numero).
Anzitutto grazie per le vostre celerissime risposte e per il supporto.
Purtroppo ho applicato i vostri suggerimenti ma niente da fare.
L’id lo passavo già con _, era di 39 e non di 32. L’ho cambiato ma niente.
Approfitto delle vostre conoscenze e adesso vi riporto la chiamata (in chiaro) che prima avevo omesso
Scusate se mi intrometto, magari il problema è già stato risolto, ma l’attributo Destination del nodo AuthnRequest dovrebbe essere l’entityID dell’IdP, che nel caso di poste è solo: “https://posteid.poste.it”.
Ciao @rcamanzi,
il problema in realtà non è riscontrabile nelle asserzioni ma nel metadata stesso, infatti non avete dichiarato un AssertionConsumerService con binding POST.
La richiesta di autenticazione SAML (basata sul costrutto ) può essere
inoltrata da un Service Provider all’Identity Provider usando il binding HTTP Redirect o il binding HTTP
POST.
La relativa risposta SAML (basata sul costrutto ) può invece essere inviata
dall’Identity Provider al Service Provider solo tramite il binding HTTP POST.
Se aggiungete un ACS in post il problema si risolve.
Aggiungo che questo comportamento è tra gli allineamenti sull’attività di miglioramento interoperabilità tra IDP.
Ciao @umbros,
grazie per l’analisi: effettivamente ho interpretato male le specifiche.
Provvedo ad aggiornare il metadata e a fare i test, poi vi riporterò l’esito.
Effettivamente il comportamento diverso tra IdP trae in inganno sulla ricerca del problema, ma direi
che anche il sistema di verifica del metadata SP andrebbe calato più sulle specifiche SPID che su quelle SAML2.
Spero che questi piccoli problemi, resi pubblici, siano di aiuto per tutti.
Ciao @rcamanzi,
la verifica del metadata è basata su uno schema modificato secondo le regole tecniche agid. Comunque il progetto è quello di creare direttamente noi i metadata sulla base di form di configurazione compilati dagli SP (nuovo sistema di onboarding); in questa ottica, di fatto, ogni controllo “stringente” sarà gestito meglio.
Salve a tutti,
ho aggiornato il metadata e mi hanno confermato che è stato messo in delpoy, difatti adesso riesco a raggiungere anche l’Idp Infocert, ma PosteId va ancora in errore.
Dunque Tim,Aruba e Infocert ok mentre Poste ko. La richiesta è la stessa precedente.
Dove sarà l’errore?
Grazie per il supporto.