Buongiorno,
qualcuno ha implementato l’accesso a SPID con Shibboleth che, di fatto, è uno standard in ambito SAML?
Noi, anche sulla base di diverse discussioni presenti su questo Forum (es. https://forum.italia.it/t/shibboleth-service-provider-e-spid/117) e su progetti presenti su GitHub Italia, alcuni targati Team Digitale come questo https://github.com/italia/spid-sp-shibboleth abbiamo realizzato una soluzione basata su tale framework. Soluzione attiva e funzionante da un paio di anni.
Adesso, effettuando delle validazioni, ci siamo accorti che alcuni controlli non passano.
In particolare sono i controlli che verificano l’attributo InResponseTo della risposta SAML.
Abbiamo quindi scoperto che Shibboleth non gestisce tale attributo e quindi non sarebbe compatibile con SPID.
Dato che non penso di essere l’unico ad avere usato Shibboleth, volevo chidervi se avete riscontrato anche voi tale problema e come l’avete risolto.
Ciao,
non so se sentirmi sollevato o meno…
La mia paura è che, comuqnue, la soluzione non è strettamente compliant alle specifiche. Quindi, se adesso Agid applica in maniera più rigorosa i controlli, potrebbe essere che la soluzione non venga più qualificata. Mi chiedo anche cosa succede alle implementazioni già in produzione…
Forse l’unica che potrebbe\dovrebbe esprimersi in merito è Agid stessa.