Per evitare errori formali nell’invio dei metadata è possibile rendere disponibile l’XSD del SP metadata così come descritto nel Regolamento recante le norme tecniche SPID ed ulteriormente specificato negli Avvisi SPID ?
1 Mi Piace
Ciao @emmedi,
per evitare errori ho provveduto a rilasciare due tool per la compilazione corretta del metadata (che presto non dovrà essere più comunicato perchè l’SP sarà configurabile in altre modalità).
Metadata builder: https://github.com/italia/spid-metadata-builder
Metadata signer: https://github.com/italia/spid-metadata-signer
Relativamente all’XSD l’ho caricato qui: https://github.com/italia/spid-metadata-builder/blob/master/saml-schema-metadata-SPID-SP.xsd
Buona giornata
Umberto Rosini
Agenzia per l’Italia Digitale
Ottimo, grazie per la rapidità!
Scusate la domanda. Perché Poste ed Infocert accettano un metadata (in Test) che non è valido rispetto allo schema XSD che hai rilasciato ma è valido rispetto a SAML.
Non ho usato i tuoi tool a dire il vero però.
Mi manca qualche pezzo?
grazie
Ciao @umbros,
nello schema che hai rilasciato si importa un altro schema “saml-SPID-metadata-1.0.xsd” che non so dove trovare…
Grazie e buona giornata
Federico
@robertob Poste e Infocert non accettano metadata in test a meno che non utilizzi sistemi dei rispettivi IDP su cui però non controlliamo, ovvero loro sistemi che mettono a disposizione di clienti.
La validazione del metadata viene effettuato da AgID e propagato agli IDP.
Umberto Rosini
Agenzia per l’Italia Digitale
Ciao @FedericoA,
c’era un refuso, grazie della segnalazione.
Aggiornato: https://github.com/italia/spid-metadata-builder/blob/master/saml-schema-metadata-SPID-SP.xsd
Umberto Rosini
Agenzia per l’Italia Digitale
All’anima del refuso 
Grazie comunque, penso che adesso avrò meno problemi di validazione.
Roberto
@robertob è stato rilasciato un tool apposito, l’xsd lo utilizziamo internamente ma non c’è stato nulla in contrario a condividerlo…
Umberto Rosini
Agenzia per l’Italia Digitale
Ciao, SAML utilizza la chiave pubblica, nella forma di un certificato X.509 che viene riportato sul metadata) per securizzare la trasmissione dei dati tra i soggetti federati (IDP/SP/AA). Questi certificati non sono utilizzati nelle transazioni tls via browser ma solo per la firma ed encryption (che presto attiveremo) delle asserzioni basando tutto sull’ Explicit Key Trust Model.
Secondo questo modello le chiavi pubbliche legate ai certificati nei metadati sono trustate, non i certificati stessi che sono concepiti come un contenitore di una chiave pubblica trustata. Questo è anche un motivo, sopratutto per gestione e scalabilità, per cui è accettata la creazione di certificati self-signed di lunga durata. Il contenuto del certificato è ignorato. Un processo importante è quindi la modalità di controllo delle informazioni sul metadata e di come vengono rilasciate. Proprio per questo motivo è AgID stessa a controllare il flusso di controllo e caricamento del metadata presso gli IDP.
Ovviamente se un’amministrazione utilizza un certificato emesso da una CA non c’è nulla in contrario.
Se avete necessità di ulteriori informazioni sono a disposizione.
Umberto Rosini
Agenzia per l’Italia Digitale
Sì e di questo ti ringraziamo. Conosco il tuo notevole sforzo personale nel realizzare questi tool.
A presto
1 Mi Piace
Comunque adesso i problemi di validazione segnalati sono assolutamente residuali. perfetto
Grazie per aver condiviso l’XSD, è molto utile per velocizzare il processo di approvazione dei metadati, che ora richiede giornate intere per avere un controllo sintattico basato su regole tecniche non comprensive di tutti i dettagli, avevo provato a chiederlo all’HelpDesk SPID senza successo.
Ho fatto sottomissione di Issue e PR ai repository che citi ma senza feedback, sono canali pensati per lo sviluppo collaborativo o solo per la pubblicazione unilaterale?
Nel primo caso darei qualche contributo volentieri, nel secondo evito di tediarvi.
Grazie, ciao,
Cristian
Ciao @cmezzett,
pensavo di averla chiusa, in realtà il SingleLogoutService, da avviso 3, prevede solo il binding Post, Redirect e SOAP (anche se sul binding SOAP sto facendo dei controlli sulla necessità).
Tornando al discorso metadata la creazione e invio, come dicevo prima, la sto sostituendo da un processo più semplice e che abbassa gli errori attualmente attestati sul 70%.
Le PR sono sempre ben volute.
Grazie a te
Umberto Rosini
Agenzia per l’Italia Digitale