Chiarimenti sui claims del federation_entity dei RP
Closed this issue · 9 comments
Buongiorno,
in qualità di SA full FedERa, stiamo realizzando gli EC degli Enti aggregati. Avremmo bisogno di un chiarimento.
Le linee guida che stiamo utilizzando sono le seguenti: https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/metadata_oidc_rp.html
Per quanto concerne il metadata di tipo federation_entity, nella pagina che ho linkato non è chiaro se il logo_uri sia obbligatorio o meno.
Approfitto per chiedere cmq una conferma anche sugli altri claims. Sono tutti obbligatori?
Grazie.
Ciao @etignola
Tutti i claims sono obbligatori, come specificato nel testo introduttivo alla tabella, mentre solo logo_uri è RACCOMANDATO, come definito all'interno della stessa.
Penso che una revisione dei contenuti possa rendere il tutto più esplicito, specificando voce per voce se OBBLIGATORIO o meno
Ciao @peppelinux
da quello che hai scritto, ho capito che proponi di fare una revisione delle linee guida SPID OIDC CIE, è corretto?
Anche per altri metadata vi sono delle ambiguità, le riporto tutte per completezza in modo che possiamo avere chiara la situazione complessiva
Abbiamo bisogno di sapere quali di questi campi dobbiamo considerare obbligatori:
- per i metadata RP federation_entity: organization_name, homepage_uri, policy_uri, logo_uri, contacts
- per i metadata SA federation_entity: organization_name, homepage_uri, policy_uri, logo_uri, contacts
- per la composizione dei TM: logo_uri, exp, ref, organization_type, id_code, email, organization_name
Grazie in anticipo.
revisione delle linee guida SPID OIDC CIE, è corretto?
dipende da cosa intendi per revisione delle LG, io intendo evidenziare la necessità di chiarire il testo senza cambiarne il contenuto, e fare una pull request per ottenere questo su docs italia
in merito alle tue domande, leggo chiaramente i seguenti
Sui trust marks (https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/trust_marks.html) ci rifacciamo alle specifiche federation ufficiali e aggiungiamo ove necessario quale attributo dove richiesto o opzionale. Hai delle domande specifiche su qualche claim in particolare?
Ciao @peppelinux
provo a ricapitolare quanto detto per verificare che abbiamo capito bene.
- per quanto concerne i metadata federation_entity del SA (https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/metadata_oidc_ta_sa.html) ed i metadata federation_entity del RP (https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/metadata_oidc_rp.html) vale l'obbligatorietà definita nei paragrafi che ho indicato, al netto del logo_uri del metadata federation_entity del RP che è facoltativo.
- per quanto riguarda invece i TM vale l'obbligatorietà definita dalle specifiche Federation ufficiali: https://openid.net/specs/openid-connect-federation-1_0.html#name-trust-mark-claims
Ti torna tutto?
Grazie.
Sui TM le specifiche Federation indicano i parametri required, ogni TM sulla base dei suoi scopi può avere dei claim required e questo va caso per caso
quale schema di TM ti serve chiarire, OP, RP, AA, SA light, SA full ... ?
Abbiamo bisogno di chiarire il caso dei TM rilasciati da un SA full per i RP aggregati
sono equivalenti a quello che il TA o suo intermediario emette per i suoi RP accreditati
https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/esempi.html#en-1-5-trust-mark-issued-by-ta-to-a-rp
Sì, un TM emesso da un SA a un RP è riconoscibile dall'issuer. Ovviamente il TM id deve essere un TM id presente nel trust_marks_issuers del TA e il SA deve essere abilitato dal TA come issuer per quel TM id.
Un esempio non normativo lo trovi qui: https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/esempi.html#en-1-7-trust-mark-issued-by-sa-to-a-rp
Ok, grazie a tutti, chiudo la issue