-
Notifications
You must be signed in to change notification settings - Fork 26
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[AuthnRequest] Issuer NameQualifier #15
Comments
Nel mio SP pysaml2 le richieste Authn presentano come Issuer il seguente
L'EntityID è in formato URI e risulta corretto ma manca purtroppo l'attributo NameQualifier.
Anch'io riterrei opportuno rimuovere questo obbligo come già proposto da @alranel update: Ho letto comunque l'avviso riguardante questo aspetto nelle specifiche stabili. |
risolto qui
|
Scusate, aiutatemi a capire: questo "progetto" GitHub, con le sue segnalazioni, può in qualche modo far arrivare il feedback sulle specifiche tecniche a chi le specifiche le emana e le "promuove"? Questa issue è marcata come chiusa, per cui volevo capire cosa si intenda per "chiusa": c'è la speranza che le regole tecniche ufficiali di SPID vengano corrette? Oppure significa solamente che le regole consolidate scritte qui su GitHub sono state corrette in modo da aderire alla specifica ufficiale (ma senza alcuna velleità di correggerla)? Ringrazio in anticipo. |
Ciao @mauromol, Sulla tua ultima domanda sento di doverti rispondere con onestà intellettuale. La correzione alla quale ti riferisci non è purtroppo strettamente di competenza di questo progetto, quello che ci hai descritto corrisponde a quanto definito all'interno dalle specifiche ufficiali AgID e loro successive integrazioni. spid-regole-tecniche vuole solo unificare le specifiche e i suoi avvisi in un'unico documento, interattivo e facilmente consultabile. Ad oggi la validazione del sistema di onboarding di AgID richiede questi attributi, come le Regole Tecniche alla pag. 9 esplicitano. |
Credo che sia necessario lasciare aperta questa Issue come riferimento per tutte le specifiche SPID che dovrebbero essere riallineate con SAML2 core. Grazie @mauromol per il tuo intervento che mi ha permesso di rivalutare questo |
Grazie @peppelinux per la cortesia, la franchezza e la chiarezza. Anzi, chiedo scusa se le mie domande possono sembrare ingenue, ma ti assicuro che dopo aver letto più di 50 documenti tra specifiche SAML, specifiche tecniche SPID, avvisi di rettifica/integrazione, linee guida, altri documenti interpretativi ed almeno 4 siti web "ufficiali" su SPID (tra cui quello su Developers Italia, comprensivo di vari repository GitHub), mettere ogni tassello al posto giusto non è facile. Ti dirò di più, se posso dare un suggerimento cercherei di chiarire meglio (fin dalla home dedicata a SPID su Developers Italia) che le risorse messe a disposizione della community non sono da intendersi come normative, ma solo come supporto informale che cerca di essere dare aiuto integrativo per gli sviluppatori. Se, infatti, da un lato, vedendo la pagina dedicata a SPID su Developers Italia linkata direttamente dal sito ufficiale di SPID, speravo che finalmente avessero messo la community al centro nella definizione e gestione di standard così importanti per lo sviluppo del Paese, dall'altro ho capito (solo dopo un paio di interventi qui su GitHub) che purtroppo in realtà queste risorse trattasi solo di un best effort che cerca di seguire quanto diramato ufficialmente con i soliti modi in po' barocchi e spesso confusionari tipici di questi standard governativi. Detto questo, se sei a conoscenza di un canale tramite il quale si possa segnalare ad AGID il problema, ti sarei grato se me lo segnalassi, anche se mi sento un po' presuntuoso a chiederlo perché immagino che se esistesse l'avreste già sfruttato voi alcuni anni fa... |
Grazie @mauromol il tuo contributo è veramente importante, |
Per completezza, saml-core-2.0-os.pdf |
Tre segnalazioni:
<saml:Issuer>
è valorizzato con un entityID non in formato URI, quindi credo che sia in contraddizione con quanto previsto dalle stesse Regole Tecniche:spid-regole-tecniche/src/code-samples/authnrequest.xml
Lines 13 to 17 in b0759ed
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
:Eppure nelle Regole Tecniche è previsto l'obbligo di includere l'attributo NameQualifier. Questa disposizione sembra contraddire le specifiche tecniche di SAML, ed infatti comporta la spiacevole necessità di patchare le implementazioni esistenti (cfr. italia/spid-sp-simplesamlphp#2). Qualora non sia possibile eliminare questa difformità (a mio avviso la soluzione preferibile), sarebbe quantomeno opportuno documentarla in modo esplicito.
Nell'esempio riportato nelle Regole Tecniche stesse, il valore di tale attributo è una URI (coincidente con l'entityID) e non un dominio. La semantica di tale attributo non è desumibile dalle specifiche di SAML poiché le stesse recitano:
e come si vedeva al punto 2, in questo caso l'attributo non è previsto.
The text was updated successfully, but these errors were encountered: