search

italia / spid-testenv2

New test Identity Provider for SPID
GNU Affero General Public License v3.0
35 stars 38 forks source link

TestEnv2 - Metadato idp non caricato #214

Closed rmonacoAPS closed 5 years ago

rmonacoAPS commented 5 years ago

Ho installato spid-testenv2, configurato ed avviato con python spid-testenv.py Quando tento di avviare SP Shibboleth, il metadato dell'idp non viene caricato, restituendo il seguente messaggio di errore:

2019-02-11 16:51:01 INFO OpenSAML.MetadataProvider : applying metadata filter (Signature) 2019-02-11 16:51:01 ERROR XMLTooling.ParserPool [http://10.253.0.140:8088]: error on line 46, column 25, message: element 'SingleLogoutService' is not allowed for content model '(Signature?,Extensions?,KeyDescriptor,Organization?,ContactPerson,ArtifactResolutionService,SingleLogoutService,ManageNameIDService,NameIDFormat,SingleSignOnService+,NameIDMappingService,AssertionIDRequestService,AttributeProfile,Attribute)' 2019-02-11 16:51:01 ERROR OpenSAML.MetadataProvider.XML [http://10.253.0.140:8088]: error while loading resource (/opt/shibboleth/metadata/idp.spid.gov.it.xml): XML error(s) during parsing, check log for specifics.

Di seguito il file sp_metadata.xml

sp_metadata.txt

Qualcuno può aiutarmi?

Grazie in anticipo.

alranel commented 5 years ago

C'era un errore nei metadati IdP generati dal testenv. @rmonacoAPS, con la correzione che ho apportato funziona?

rmonacoAPS commented 5 years ago

Buonasera, in realtà nel frattempo siamo andati avanti senza spid-test-env per l'implementazione di spid. Attualmente però dopo aver implementato tutta la parte di autenticazione con SP Shibboleth, risulta che il servizio, implementato per la Città Metropolitana di Napoli, non presenta il comportamento previsto come illustrato nel documento SPID Quality Assessment Document.

Nel dettaglio nel report sulla conformità Tecnica, risulta che il servizio accetta le response (errate) con i seguenti parametri, invece di rifiutarle:

  1. Response - InResponseTo mancante
  2. Response - InResponseTo diverso da Request
  3. Assertion - Elemento NameID non specificato
  4. Assertion - Elemento NameID mancante
  5. Assertion - Attributo Format di NameID non specificato
  6. Assertion - Attributo Format di NameID mancante
  7. Assertion - Attributo Format di NameID diverso
  8. Assertion - Attributo NameQualifier di NameID non specificato
  9. Assertion - Attributo NameQualifier di NameID mancante
  10. Assertion - NameQualifier di NameID diverso da EntityID del S.P.
  11. Assertion - Elemento SubjectConfirmation non specificato
  12. Assertion - Attributo InResponseTo di SubjectConfirmationData mancante
  13. Assertion - Attributo InResponseTo di SubjectConfirmationData diverso da ID request
  14. Assertion - Attributo Format di Issuer non specificato
  15. Assertion - Attributo Format di Issuer mancante
  16. Assertion - Elemento Conditions non specificato
  17. Assertion - Elemento Conditions mancante
  18. Assertion - Attributo NotBefore di Condition mancante
  19. Assertion - Attributo NotOnOrAfter di Condition mancante
  20. Assertion - Elemento AudienceRestriction di Condition mancante
  21. Assertion - Elemento AuthContextClassRef impostato su https://www.spid.gov.it/SpidL1
  22. Assertion - Elemento AuthContextClassRef impostato su https://www.spid.gov.it/SpidL2
  23. Assertion - Elemento AuthContextClassRef impostato su https://www.spid.gov.it/SpidL3
  24. Assertion - Elemento AuthContextClassRef impostato ad un valore non previsto
  25. Assertion - Elemento AttributeStatement presente, con sottoelemento Attribute non specificato
  26. Assertion - Set di attributi inviato diverso da quello richiesto
  27. Anomalie utente - Ripetuta sottomissione di credenziali errate (Anomalia 19)
  28. Anomalie utente - Utente privo di credenziali compatibili (Anomalia 20)
  29. Anomalie utente - Timeout (Anomalia 21)
  30. Anomalie utente - Consenso negato (Anomalia 22)
  31. Anomalie utente - Credenziali bloccate (Anomalia 23)

Qualcuno può aiutarmi a risolverli?

Occorre settare/modificare parametri lato SP Shibboleth? Oppure occorre implementare controlli proprietari lato applicativo?

Vi ringrazio anticipatamente.

Saluti.

Eduardo1977 commented 4 years ago

Buongiorno, anche noi dovremmo risolvere gli stessi problemi per la nostra implementazione. Avreste qualche indicazione utile? Bisogna agire su qualche configurazione di SP Shibboleth?