italia/spid-shibboleth-proxy-docker

Metadata di metadata – validatore AgID

Closed this issue · 2 comments

sweeperpm commented

Buongiorno,
per conto di ATS Milano richiediamo supporto per la validazione da parte di AgID della piattaforma Gateway SPID. Abbiamo già aperto una issue qui: https://github.com/italia/spid/issues/782
La nostra implementazione SPID è basata sulla vostra soluzione in riuso SPID AUTH DOCKER.
Ci è stato richiesto di aggiungere un ulteriore Identity Provider (https://validator.spid.gov.it/metadata.xml) per la validazione della piattaforma.
Abbiamo quindi aggiunto l'identity provider, ma SPID AUTH DOCKER verifica a sua volta il metadata di metadata disponibile all'indirizzo https://registry.spid.gov.it/metadata/idp/spid-entities-idps.xml.
In questo metadata non è presente il validator di SPID, quindi quando si seleziona l'IdP otteniamo il seguente errore: "Unable to locate metadata for identity provider".

Come possiamo evitare l'errore? Dobbiamo modificare l'url del metadata di metadata?

Grazie e cordiali saluti.

psmiraglia commented

La nostra implementazione SPID è basata sulla vostra soluzione in riuso SPID AUTH DOCKER.

Quale versione dell'immagine state utilizzando? Attualmente siamo alla 1.1.0.

Ci è stato richiesto di aggiungere un ulteriore Identity Provider (https://validator.spid.gov.it/metadata.xml) per la validazione della piattaforma.
Abbiamo quindi aggiunto l'identity provider, ma SPID AUTH DOCKER verifica a sua volta il metadata di metadata disponibile all'indirizzo https://registry.spid.gov.it/metadata/idp/spid-entities-idps.xml.
In questo metadata non è presente il validator di SPID, quindi quando si seleziona l'IdP otteniamo il seguente errore: "Unable to locate metadata for identity provider".

Come mostrato qui sotto, l'ultima versione dell'immagine gia' include la configurazione per il validatore

https://github.com/italia/spid-auth-docker/blob/1be15b51f5c2e2eb442523a9a16760c50d820bfb/etc/shibboleth/shibboleth2.xml.tpl#L106-L123

Come possiamo evitare l'errore? Dobbiamo modificare l'url del metadata di metadata?

No. Il "metadata di metadata" contiene solo i metadata degli identity provider accreditati.

Se siete gia' passati a una delle versioni 1.x e utilizzate l'immagine "AS IS" basta aggiornare il vostro repository e rifare build dell'immagine.

$ cd spid-auth-docker
$ git fetch --all --tags
$ git checkout tags/v1.1.0 -b v1.1.0
$ make build

Se invece utilizzate ancora una delle versioni 0.x, avete due opzioni:

  1. Passare alla 1.1.0 facendo attenzione a modificare le variabili d'ambiente con cui si pilota il container (vedi diff del file example/docker-compose.yml.template e la sezione How to define AttributeConsumingService elements del README)

  2. Riportare "a mano" nella versione 0.x le modifiche necessarie per abilitare il validatore (vedi commit 155c394)

sweeperpm commented

Buongiorno,
dato che utilizziamo una delle versioni 0.x, abbiamo risolto "manualmente" seguendo il commit indicato.

Grazie per l'assistenza,
cordiali saluti.