Dal forum:

per quanto riguarda il Service Provider basato su Shibboleth, vorrei porre l'attenzione sulla fase di Logout. Secondo le regole tecniche in "Gestione delle sessioni SSO e meccanismi di Single Logout", la Logout Request dovrebbe contenere nell'elemento Issuer gli attributi Format e NameQualifier. Questo però sembra non essere possibile in Shibboleth SP (al contrario della fase di AuthnRequest, dove è possibile impostare un template nel SessionInitiator).
Avete trovato una soluzione a questa problematica?

(Non ho verificato, sto solo riportando la issue qui)

Usando come entityId dell'IdP quello di Aruba (es. https://myhost/saml/Login?target=/app&entityID=https://loginspid.aruba.it si ottiene una pagina di errore.

Ciao,
Sarebbe opportuno aggiungere un file di licenza per questo software.

Se me la indicate, posso fare una PR

Sarebbe utile scrivere una piccola guida su come installare e configurare manualmente Shibboleth. Questo playbook funziona solo su alcuni sistemi operativi e in generale un playbook Ansible o anche un docker non si adattano all'integrazione con sistemi esistenti.

La guida dovrebbe anche spiegare come integrare Shibboleth a livello applicativo attraverso esempi di chiamate, visto che la documentazione originale di Shibboleth è ampia, un po' accademica, e non è chiaro cosa si applica a SPID e cosa no.

La pagina di errore di Shibboleth fa riferimento a /shibboleth-sp/main.css che attualmente non è pubblicato alla configurazione NGINX di shibboleth-nginx

Dovrebbe essere possibile fare il merge dei due container e avere un solo reverse proxy che integra Shibboleth e Let's Encrypt

Utilizzando un role apposito è possibile supportare altre distribuzione durante l'installazione di docker.

Senza nameFormat shibd rifiuta gli attributi provenienti dallo SPID-IdP con l'errore:

2017-12-14 11:31:06 INFO Shibboleth.AttributeExtractor.XML [2]: skipping unmapped SAML 2.0 Attribute with Name: familyName, Format:urn:oasis:names:tc:SAML:2.0:attrname-format:basic

vedi PR #26

Va implementata una pagina di login di esempio con il bottone di login di SPID.

Ho provato a usare il playbook (con ansible 2.4 per la configurazione, le VM sono Ubuntu server 16.04 e 17.04), ma mi pare ci sia un errore nella configurazione del container shibboleth-nginx che viene creato. Il file /etc/shibboleth/spidMetadata.xml non è più un file XML come nel repo ma una directory vuota:

#` docker ps --all
CONTAINER ID        IMAGE                                   COMMAND                  CREATED             STATUS                      PORTS               NAMES
93f4dbe15c29        bradjonesllc/docker-nginx-letsencrypt   "/bootstrap.sh"          18 seconds ago      Exited (1) 13 seconds ago                       nginx-letsencrypt
a6da989f79e5        virtualstaticvoid/shibboleth-nginx      "/usr/local/bin/ep -v"   20 seconds ago      Up 18 seconds               80/tcp, 9090/tcp    shibboleth-nginx
e517bbe53ac0        readytalk/nodejs-hello                  "/nodejs/bin/npm star"   24 seconds ago      Up 23 seconds               8080/tcp            app-backend
# docker exec -ti a6da989f79e5 bash
root@a6da989f79e5:/# ls -la /etc/shibboleth/spidMetadata.xml/
total 8
drwxr-xr-x 2 root root 4096 Oct 23 07:29 .
drwxr-xr-x 5 root root 4096 Oct 24 12:01 ..

Aggiungere nel playbook la configurazione opzionale di uno StorageService specifico per Shibboleth

test finali con i singoli idp

buongiorno ce qualche guida che spiega come poter provare questo repository?
sto cercando un esempio di spid da poter implementare con una mia piattaforma cms.
purtroppo non conosco questo metodo playbook quindi sarebbe utile spiegare come poterlo provare grazie!

Gli schemi xml per shibboleth2.xml si aspettano che la direttiva signingAlg sia un attributo dell'elemento ApplicationDefaults (non SessionInitiator).
cfr: PR #28

mi sembra che i files in questa dir:
https://github.com/italia/spid-sp-playbook/tree/master/roles/shibboleth/files/shibboleth-spid

sono duplicati o si sovrappongono con questi:
https://github.com/italia/spid-sp-shibboleth

il secondo repo è più recente quindi questo dovrebbe essere aggiornato ?

https://spid-test.spc-app1.teamdigitale.it/app risponde con 302 redirect su:

https://posteid.poste.it/jod-fs/ssoserviceredirect?SAMLRequest=lV...
&RelayState=ss...
&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1
&Signature=V8...

che risponde con:

messaggio di avviso
Errore: Impossibile stabilire l'autenticità della richiesta di autenticazione - Contattare il gestore del servizio

Il playbook mi ha funzionato correttamente solo con macchina aperta per far funzionare il certbot di Let's Encrypt. E' nota questa limitazione?

Nel caso non sarebbe meglio quindi definire come opzionale l'uso di Let's Encrypt nel playbook (installando un certificato autosigned in questi casi) oppure definire dei playbook alternativi che installano solo una parte (che ne so, solo Shibboleth con configurazione per SPID)?

Grazie

Ciao,
Vorrei chiedere aggiornamenti sulla Roadmap di questo progetto per risoluzione delle issues e delle Pull Request.
Abbiamo ricevuto alcune segnalazioni da parte degli sviluppatori che ci indicano che questo repository conterrebbe risorse
non allineate con lo stato attuale delle Specifiche SPID.

Spero di ottenere un tuo gentile feedback entro la prossima settimana,
Grazie e a presto

...o generare entrambi da una configurazione del playbook.

Questo eviterebbe che le due liste vadano fuori sincrono.

Attualmente more_clear_input_headers non supporta wildcard, questo rende fragile il meccanismo di anti-spoof degli attributi.

Con OpenResty / LUA dovrebbe essere possibile implementare un meccanismo di blacklist un po' più solido, con supporto di wildcard (es spid-*)