Problema issuer nella request. Richiesta aggiornamento Metadata XML

developer · 17 Maggio 2022, 7:51am

Salve a tutto il forum.
In breve devo agganciare a un sito wordpress l’autenticazione SPID. Ho utilizzato un plugin wordpress che prevede il metadata generato dal plugin autonomamente. Nel mio caso però il comune ha già uno SPID con un entity_id e metadata approvato e pubblicato da AGID tramite nodo cluster.

Ho modificato il metadata pubblicato AGID (quello già esistente del comune) aggiungendo nuove sezioni per integrare l’autenzione SPID con il sito wordpress in questione, indicando tutti i dati necessari. Il validator online mi da esito positivo. In seguito a richiesta del comune di aggiornamento metadata fatta ad Agid, quest’ultima risponde al comune così:

La Issuer, all’interno della request, risulta essere diversa dall’EntityID presente nel metadata.
Issuer: https://nomeservizio.comune.nomedelcomune.it
EntityID: https://servizi.comune.nomedelcomune.it

A quale “issuer” si stanno riferendo: forse la issuer del certificato contenuto nel metadata da modificare ?

Chiedo aiuto ai più esperti, e grazie in anticipo.

AGS · 17 Maggio 2022, 8:05am

L’issuer sta nell’AuthnRequest.
Un esempio di AuthnRequest si trova nelle regole tecniche

developer · 17 Maggio 2022, 8:09am

Ciao Antonio,
si avevo avuto il dubbio che possa essere AuthnRequest.

Quindi secondo te AGID ha fatto una prova di connessione dal sito wordpress ed ha analizzato la richiesta ? (Io sto solo richiedendo ad AGID un aggiornamento metadata)
Perché nel metadata XML nel certificato X509 (analizzato il certificato con tool certificate checker) ci sta anche una sezione “issuer”. Come posso essere certo a quale issuer AGID si sta riferendo ?

AGS · 17 Maggio 2022, 10:18am

Quindi secondo te AGID ha fatto una prova di connessione dal sito wordpress ed ha analizzato la richiesta ? (Io sto solo richiedendo ad AGID un aggiornamento metadata)

Si. In realtà tu non stai chiedendo un semplice aggiornamento ( magari perché ti è scaduto un certificato o perchè vuoi variare il tipo degli attributi richiesti) , ma stai introducendo un nuovo servizio (che andrà verificato dal punto di vista tecnico).

Come posso essere certo a quale issuer AGID si sta riferendo ?

A quanto riporti, AgID te l’ha scritto chiaramente.
Se vuoi ulteriori conferme:

Puoi installare sul tuo browser un plugin per l’analisi delle richieste SAML (ad es. SAML-tracer).
Puoi riconfigurare la tua piattaforma affinché invii le richieste all’ Ambiente Demo SPID

developer · 17 Maggio 2022, 11:18am

Ok Antonio, grazie tante.
Proverò intanto ad usare SAML-tracer per vedere intanto la richiesta e modificare la AuthnRequest con l’entityID corretto già esistente.

Sandro_Cianfarani · 4 Marzo 2024, 2:22pm

Buonasera,
scusa se ti disturbo, ma ho avuto anche io lo stesso esito di cui parlate da parte di AGID.
Non so però come risolvere il problema dello issuer nell’AuthnRequest.
Dove trovo questa informazione? Sapete indicarmi una procedura da seguire? Grazie

developer · 25 Marzo 2024, 9:32am

Ho risolto in maniera “sporca” ma veloce modificando in maniera hardcoded l’issuer ed effettuando tutta una serie di modifiche perchè chiaramente così facendo si sollevano delle exception del plugin dopo la risposta SAML2.

Magari un domani prevedo una GUI e una parametrizzazione ma chiaramente diventa una versione differente del plugin.