Retriving Service Provider metadata url Metadata issue about spid-and-digital-identity-enabler HOT 5 CLOSED

ciao @Reykrot ,
innanzi tutto chiedo scusa per l'enorme delay nella risposta, ma ammetto di non aver notato questo issue prima di ora.

Il metadata da inviare ad Agid (o da caricare sull'ambiente DemoSPIDGov) non può essere prodotto automaticamente da AAD B2C. Va redatto manualmente seguendo le regole tecniche di AGID pubblicate qui: https://docs.italia.it/italia/spid/spid-regole-tecniche/it/stabile/metadata.html#service-provider

Si può però usare come punto di partenza il metadata reperibile all'indirizzo https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/policy-name/samlp/metadata?idptp=tecnical-profile-name dove technical-profile-name può essere uno qualsiasi dei TP di SPID (i.e. Aruba-SAML2). Questo metadata va poi modificato per essere compliant con le regole AGID (mancano sicuramente i tag AttributeConsumingService, Organization, Contact, etc) e vanno aggiunti gli endpoint dello SPIDProxy come AssertionConsumerService e SingleLogoutService. Andrà poi cambiata la key di "signing", specificando quella in uso sullo SPIDProxy, e il file andrà poi firmato.

from spid-and-digital-identity-enabler.

Figurati non preoccuparti del ritardo non ci sono problemi anche perchè
io sarei anche riuscito a creare dei metadata compliant ma mi hai appena messo un dubbio, io ho gia nei metadata di B2C AssertionConsumerService e SingleLogoutService
come puoi vedere a questo indirizzo
https://testb2c01siag.b2clogin.com/testb2c01siag.onmicrosoft.com/B2C_1A_signup_signin_SPID/samlp/metadata?idptp=Aruba-SAML2

quelli presenti in questo metadata non sono corretti o a questi vanno aggiunti anche quelli dello SPIDProxy?

il vero problema è la signature che sebbene la aggiunga poi il validator di Agid non me la valida mi va in errore dicendo che non corrisponde il , ma questo lo risolverò, tuttavia ti chiedo se puoi confermarmi se quei valore che ti ho scritto sopra non sono corretti.

Grazie ancora del supporto

from spid-and-digital-identity-enabler.

Vanno aggiunti ANCHE quelli dello SPIDProxy:
AssertionConsumerService con binding POST verso https://urlproxy/proxy/assertionconsumer
SingleLogoutService con binding POST verso https://urlproxy/proxy/assertionconsumer
SingleLogoutService con binding POST verso https://urlproxy/proxy/logout

Gli ultimi due in realtà sono inutilizzati, generalmente li aggiungiamo per lungimiranza.

Una volta modificato il metadata, va necessariamente rimossa la Signature e riapplicata con xmlsectool.

from spid-and-digital-identity-enabler.

Aggiunti, perfetto ti ringrazio molto del supporto tutto fatto e funzionante.

Se posso chiederti un'ultima domanda: ho visto che tra le varie issue ci sta l'integrazione di eIDAS nelle custom policy e Custom UI, ma ho ricontrollato entrambe e non ho trovato i riferimenti ad una guida per inserirlo ed aggiungerlo, è colpa mia? sono io che non lo trovo?

Ancora grazie mille per il supporto

from spid-and-digital-identity-enabler.

eIDAS è già supportato dalla soluzione e perfettamente funzionante. Sul repo però mancano le configurazioni. Dovremmo aggiungere il tutto a breve.

from spid-and-digital-identity-enabler.