Procedura verifica correttezza metadata

Salve a tutti,

ho ripreso in mano un vecchio progetto di qualche anno fa per attivare l’autenticazione tramite SPID su un portale per un cliente. Ho visto che rispetto alla prima procedura tecnica pubblicata, nel corso di questo tempo, sono state apportate diverse variazioni.

Il punto in cui mi sono bloccata è allo step 4 per verificare in autonomia la correttezza del metadata e della mia implementazione, subito prima di contattare AgID per la validazione formale (step 5).
Come indicato dalla guida presente qui https://www.spid.gov.it/cos-e-spid/diventa-fornitore-di-servizi/procedura-tecnica/, ho utilizzato l’ambiente Demo/Validator (https://demo.spid.gov.it/) e fatto l’accesso al tool “Registra Metadata Service Provider”, dove ho fatto il download del mio metadata e verificato nei due check che passi la validazione. A questo punto però non capisco come devo procedere, perchè se io provo dal mio portale a fare l’autenticazione con SPID e seleziono “SPID Validator” come provider SPID, vengo reindirizzata su una nuova pagina dove mi viene chiesto di selezionare uno tra gli IdP di produzione (non di test) e quindi non mi è nemmeno possibile autenticarmi con uno degli utenti di test.

Qualcuno, che ha più esperienza di me, riesce a spiegarmi i passi che devo seguire per poter procedere con la verifica del metadata e il relativo test?

Grazie mille.

Ciao Elisa,
anche io sono alle prese con una situazione simile. Ti volevo chiedere per il tuo metadata che poi dovrebbe essere il metadata del ServiceProvider come hai fatto a validarlo, quale indirizzo hai messo nel tool Registra Metadata Service Provider? Magari se mi sblocchi su questa cosa possiamo procedere insieme nei punti successivi.
Grazie in anticipo.

Ciao @eduardo.chierchia,
io nel tool ho inserito l’url pubblico del mio file metadata. Se ad esempio l’url pubblico della mia applicazione fosse https://prova.it/Pippo, ho inserito dentro “Pippo” una nuova cartella “metadata” in cui ho inserito il mio metadata firmato, perciò nel tool ho inserito http://prova.it/Pippo/metadata/metadata-sign.xml (ho preventivamente verificato che l’url sia accessibile anche da rete esterna aziendale).
Penso che comunque puoi il tuo metadata firmato in un qualsiasi punto sul tuo server, l’importante è che l’url che indichi al tool sia accessibile anche dall’esterno.

Ciao @ecasadio io ho preso il progetto su github spid-dot-net.
Ho modificato il json modificando in “SingleSignOnServiceUrl”: “https://demo.spid.gov.it/samlsso”,
così anche per SingleLogoutServiceUrl poi ho firmato la request con il certificato ed inviato la richiesta.

Non sò se questo ti può servire.

Inoltre a me l’errore evidenziato è :
AuthnRequest non supera i controlli strict.
Verificare la AuthnRequest tramite uno strumento di validazione.
Non sò se questo dipende dal fatto che non ho validato il metadata o altro?
Inoltre il file metadata avevo preso quello trovato sulla documentazione: https://demo.spid.gov.it/metadata.xml

Mi sà che mi sto perdendo qualcosa.
Grazie per la disponibilità

L’Ambiente Demo deve essere aggiunto sulla tua piattaforma come ulteriore Identity Provider.
Il suo metadata è alla url: https://demo.spid.gov.it/metadata.xml
Non avendo maggiori informazioni su che tipo di IAM stai usando, non è possibile darti indicazioni più specifiche

La libreria da te citata è vecchia di almeno 3 anni e non è aggiornata rispetto ai numerosi aggiornamenti tecnici (Avvisi SPID) che si sono susseguiti in questi anni.
Per questo motivo l’Ambiente Demo ti segnala (giustamente) un errore.
A questo punto sta a te scegliere se modificare la libreria in questione riallineandola allo stato dell’arte delle norme tecniche, oppure se passare ad altra soluzione.

Grazie mille per l’aiuto, infatti configurando l’ambiente Demo come Identity Provider, riesco ad accederci.

Ora però ho un altro problema. Quando accedo all’ambiente Demo, mi viene subito restituito il messaggio di errore sotto e non riesco a capire cosa c’è che non va.

image

Sai per caso indicarmi cosa posso controllare per risolvere questo errore? Perchè ho provato a modificare il metadata firmato in diversi punti, ma nell’ambiente Demo online il metadata passa sempre la validazione.

Probabilmente la AuthnRequest ha un formato non corretto.
Puoi confrontare l’AuthnRequest generata con gli esempi sulla documentazione ufficiale, oppure provare ad usare il tool spid-sp-test