search

microsoft / SPID-and-Digital-Identity-Enabler

This repo contains the SPIDProxy code and several ADFS/Azure B2C related scripts and assets. SPIDProxy allows to communicate with SPID, CIE and eIDAS. The repo also contains a web app enabling CNS authentication through ADFS and AAD B2C.
MIT License
27 stars 12 forks source link

Errore con LogIn CIE #62

Closed Reykrot closed 1 year ago

Reykrot commented 1 year ago

la procedura di log in dell'ambiente di test di CIE non va a buon fine, prima della redirect finale B2C va in errore:

premetto che lo spid proxy ha le configurazioni apparentemente settate correttamente, dopo che nel browser appare la pagina

image

quindi dentro l'eccezione trovo questo ripetuto tre volte: "Key": "Exception", "Value": { "Kind": "Handled", "HResult": "80131500", "Message": "The service provider is not a valid audience of the assertion.", "Data": { "IsPolicySpecificError": false }

premesso che l'ambiente di SPID funziona correttamente e che ho portato a compimento tutto il processo di autenticazione per il collaudo, questo errore dovrebbe essere dovuto ad una discrepanza tra l'EntityID nei vari punti dove viene inserito, tra metadati e configurazioni, e l'audience, che mi arriva nella SAMLresponse, tuttavia questa discrepanza non c'è, funziona tutto correttamente, le redirect sono quelle corrette, il CIE_EntityID è corretto e risulta essere lo stesso sia nel portale CIE sia nei metadata inseriti nel portale CIE sia nelle configurazioni della webapp.

Manca qualcosa a me o c'è un qualche bug?

non so se sia rilevante ma nel TrustFrameworkExtension i valori di cie e cie-test sono invertiti, a riga 573 e 585 hanno i valori invertiti rispetto al TecnicalProfile di riferimento. sono io che non ho capito qualcosa o sono effettivamente invertiti?

Grazie mille in anticipo, Giovanni

Reykrot commented 1 year ago

Update: l'errore è stato risolto tuttavia io ho invertito anche i valori a riga 573 e 585 anche se non sono sicuro possa essere rilevante approfitto solo perché sicuramente è stata una svista e almeno potete correggerlo

fume commented 1 year ago

ciao @Reykrot, grazie per la segnalazione inerente il SessionManagement che però non avrebbe portate nessun malfunzionamento in quanto "coerente". L'errore che riscontravi però era sicuramente legato ad un errore di configurazione, visto che AADB2C segnalava il mismatch tra il proprio entityID e quello presente nella SAMLResponse ricevuta. Probabilmente c'era qualche errore nella config dello SPIDProxy, confermi?

Può essere utile indicare in un commento quale fosse l'errore di configurazione in modo che altri utenti, nel caso riscontrassero lo stesso errore, possano trovare una risposta utile in questo issue.

ciao ciao,

Reykrot commented 1 year ago

Scusami se rispondo solo ora, si il problema era nella configurazione del Federator_EntityId, quando sono andato a modificare le configurazioni ho modificato questo valore mettendo l'entityId presente nei metadata, ma è un errore quello deve essere l'entityId del B2C ovvero ad esempio: https://.b2clogin.com/.onmicrosoft.com/B2C_1A_TrustFrameworkBase

questo deve essere sempre lo stesso invariato

con questa accortezza ho risolto