Buongiorno a tutti,
sto cercando di raccogliere documentazione, idee e suggerimenti (che sono veramente tanti) per poter iniziare a definire un prototipo di comunicazione in ambiente di test.
Al momento mi sembra di aver capito che potrei percorrere due strade:
- installazione in locale di un service provider (https://github.com/italia/spid-testenv-identityserver ) e di un backoffice (https://github.com/italia/spid-testenv-backoffice)
- utilizzare gli ambienti online:
a. l’identity provider (https://idp.spid.gov.it:9443 ) – serve a simulare l’accesso con una della identità registrate
b. il backoffice (https://idp.spid.gov.it:8080) – serve a simulare la registrazione ufficiale
Ipotizzando di seguire la seconda alternativa ho i seguenti dubbi:
- il metadata che deve essere generato sul backoffice deve contenere un certificato x509 che può essere self-signed?
- questo stesso metadata è quello che dovrà essere inviato per ogni request all’idp firmato digitalmente?
- gli end point registrati sul backoffice devono essere raggiungibili?
- la firma apposta sul metadata deve riguardare tutto quello che è compreso nel tag “md:SPSSODescriptor”?
Grazie per le indicazioni che potrete fornirmi.