HOWTO Identity Providers

Ubuntu

• HOWTO Install and Configure a Shibboleth IdP v3.2.1 on Ubuntu Linux LTS 16.04 with Apache2 + Jetty9
• HOWTO Install and Configure a Shibboleth IdP v3.2.1 on Ubuntu Linux LTS 16.04 with Apache2 + Tomcat8

Fedora

• HOWTO Install and Configure a Shibboleth IdP v3.2.1 on Linux Fedora 24 Server Edition (minimal) with Apache2 + Jetty9
• HOWTO Install and Configure a Shibboleth IdP v3.2.1 on Linux Fedora 24 Server Edition (minimal) with Apache2 + Tomcat8

Solutions

• HOWTO Configure a Shibboleth IdP v3.2.1 to authenticate users existing on different LDAP Servers
• HOWTO Release only one value of a specific attribute to a specific resource
• HOWTO Define dynamically attributes for Shibboleth IdP v3.md

HOWTO Service Providers

Debian

• HOWTO Install and Configure a Shibboleth SP v2.x on Debian Linux 9 (Stretch)
• HOWTO Install and Configure a Shibboleth SP v2.6.1(from source) on Debian Linux 9 (Stretch)
• HOWTO Install and Configure a SimpleSAMLphp SP v1.x on Debian Linux 9 (Stretch)

HOWTO Entity Attributes in metadata

SIRTFI

Poster illustrativo per SIRTFI a cura del progetto AARC

SIRTFI è un framework nato per aiutare a identificare le entità federate capaci di reagire e collaborare nei casi in cui si verifichino incidenti di sicurezza legati ai processi di autenticazione federata. Lo scopo di SIRTFI è quello di fornire un modello scalabile di cooperazione nella gestione di eventuali incidenti di sicurezza.

Per richiedere l'adesione a SIRTFI sono necessari i seguenti passi:

1. Effettuare una "autovalutazione" assicurandosi di aver risposto positivamente a tutte le affermazioni contenute nel documento https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf (OS1-OS6, IR1-IR6, TR1-TR2, PR1-PR2)
2. IDEM consiglia di uniformare il Security Contact a Given name=GARR-CERT, email=cert@garr.it. In questo caso tutti gli scambi di informazioni relativi agli incidenti vanno esclusivamente condotti con questo contatto.
3. Compilare tramite Registry la sezione apposita ed i relativi elementi richiesti:
   1. (Contacts -> Add Contact -> [Type=Security, Given name=GARR-CERT, email=cert@garr.it]
   2. (Edit Provider -> Entity Attribute -> spunta su SIRTFI)
4. Attendere l'approvazione del servizio IDEM: il supporto a SIRTFI apparirà nei metadati della vostra entità a partire dal giorno successivo l'approvazione del servizio IDEM-help

In caso di incidente di sicurezza che coinvolge un nodo della Federazione sarà messa in atto la procedura di gestione incidenti di GARR-CERT includendo inoltre tra i destinatari i responsabili tecnici dell'entità federata.

Strumenti utili per l'autovalutazione

GARR-CERT e IDEM-help consigliano:

• SSL Server Test by Qualis SSL Labs
• Check SSL Powered by testssl.sh
• SCARR - Scansioni Ripetute a Richiesta by GARR-CERT (servizio disponibile ai soli APM - Trova il tuo APM)
• Iscrizione agli ALERT di sicurezza di GARR-CERT

Requisiti necessari per IDEM

IdP

1. entityID: Verificare che sia riportato lo stesso valore su:
   • Richiesta di Adesione (RA)
   • Identity Provider Registration Request (IDPRR)
   • Metadata dell'entità: IDEM Entity Registry & IdP Metadata
2. eduGAIN: Verificare quanto indicato sul modulo IDPRR per l'opt-out dall'interfederazione. Valore di default: Opt-In
3. IdP Metadata:
   • Lo Scope:
     • <shibmd:Scope>: Il valore/i valori dei domini in questo elemento sono relativi all'organizzazione?
       • Verificare con: WHOIS
   • MDUI e varie:

   1. DisplayName: Nome dell'organizzazione visualizzato nei Discovery Service
      • <mdui:DisplayName xml:lang="en">: University...
      • <mdui:DisplayName xml:lang="it">: Università...
   2. Description: Descrizione della comunità di utenti autorizzati ad utilizzare l'IdP
      • <mdui:Description xml:lang="en">
      • <mdui:Description xml:lang="it">
   3. InformationUrl: Pagina informativa per gli utenti finali.
      • <mdui:InformationUrl xml:lang="en">
      • <mdui:InformationUrl xml:lang="it">

      Tale pagina dovrà contenere:

      • Elenco attributi supportati dall'IdP
      • Federazioni a cui l'IdP aderisce compresi di loghi e riferimenti (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)
      • Indirizzo di posta elettronica di supporto agli utenti su IDEM e le credenziali di autenticazione

   4. PrivacyStatementUrl: Privacy Policy dell'organizzazione/IdP
      • <mdui:PrivacyStatementUrl xml:lang="en">
      • <mdui:PrivacyStatementUrl xml:lang="it">
   5. Logo: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio delle dimensioni indicate)
      • <mdui:Logo xml:lang="en" width="16" height="16">
      • <mdui:Logo xml:lang="en" width="80" height="60">
      • <mdui:Logo xml:lang="it" width="16" height="16">
      • <mdui:Logo xml:lang="it" width="80" height="60">
   6. OrganizationName: Nome dell'organizzazione
      • <md:OrganizationName xml:lang="en">
      • <md:OrganizationName xml:lang="it">
   7. OrganizationDisplayName: Nome dell'organizzazione da mostrare sui Discovery Service
      • <md:OrganizationDisplayName xml:lang="en">: University...
      • <md:OrganizationDisplayName xml:lang="it">: Università...
   8. OrganizationUrl: URL del sito web dell'organizzazione
      • <md:OrganizationUrl xml:lang="en">
      • <md:OrganizationUrl xml:lang="it">
   9. ContactPerson: Contatti relativi all'IdP e all'organizzazione
      • <md:ContactPerson contactType="technical">: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento dell'IdP

   • ValidUntil: sui metadata dell'IdP forniti alla federazione IDEM non devono essere presenti
   • Endpoint HTTPS: tutti gli endpoint/URL devono essere protette da HTTPS
   • Binding: assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:

   • <ArtifactResolutionService>
   • <SingleLogoutService>
   • <SingleSignOnService>
   • <AttributeService>

   • EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Premere su "Validate"
   • Controllare che Errors e Warnings non abbiano anomalie per il proprio IdP.

4. SSL:
   • Controllare la robustezza del proprio IdP su: SSL Server Test
   • Controllare certificato e catena della CA sulla porta 443
   • Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
5. Pagina di Login:
   • Verificare che sia protetta da una CA riconosciuta dal browser
6. Test di accesso:
   • eseguire una login su https://sp24-test.garr.it/secure e, dopo aver verificato di vedere 'eduPersonTargetedID' e 'affiliation', comunicare l'ora dell'avvenuto accesso a idem-help@garr.it

SP

1. entityID: Verificare che sia riportato lo stesso valore su:
   • Resource Registration Request (RRR)
   • Metadata dell'entità: IDEM Entity Registry & SP Metadata
2. eduGAIN: Verificare quanto indicato sul modulo RRR per l'opt-in dall'interfederazione. Valore di default: Opt-Out
3. SP Metadata:
   • MDUI e varie:

   1. DisplayName: Nome semplice e parlante della risorsa federata. Vietato l'uso della parola "IDEM" se non erogata dal Servizio IDEM GARR AAI.
      • <mdui:DisplayName xml:lang="en">: <Nome servizio> provided by <Nome Ente>
      • <mdui:DisplayName xml:lang="it">: <Nome servizio> erogato da <Nome Ente>
   2. Description: Descrizione breve della risorsa federata. Cosa può fare l'utente con essa.
      • <mdui:Description xml:lang="en">
      • <mdui:Description xml:lang="it">
   3. InformationUrl: Pagina informativa per gli utenti finali.
      • <mdui:InformationUrl xml:lang="en">
      • <mdui:InformationUrl xml:lang="it">

      Tale pagina dovrà:

      • Descrivere la risorsa federata per l'utente finale
      • Descrivere il pubblico a cui è rivolto
      • Indicare a quale organizzazione appartiene/da qual è erogata.
      • Contenere un indirizzo di posta elettronica per il supporto agli utenti finali che accedono la risorsa ed ai gestori dei servizi di Identity Provider(IdP)
      • Contenere i riferimenti alla Privacy Policy adottata dalla risorsa (es. informativa su attributi richiesti e relativo trattamento)
      • Federazioni a cui l'SP aderisce compresi di loghi e riferimenti (Logo di IDEM | Rif. IDEM ITA | Rif. IDEM ENG | eduGAIN Logo | Rif. eduGAIN)

   4. PrivacyStatementUrl: Privacy Policy dell'organizzazione/SP (TEMPLATE)
      • <mdui:PrivacyStatementUrl xml:lang="en">
      • <mdui:PrivacyStatementUrl xml:lang="it">
   5. Logo: Logo dell'organizzazione visualizzato sui Discovery Service (basta rispettare l'Aspect-Ratio)
      • <mdui:Logo xml:lang="en" width="16" height="16">
      • <mdui:Logo xml:lang="en" width="80" height="60">
      • <mdui:Logo xml:lang="it" width="16" height="16">
      • <mdui:Logo xml:lang="it" width="80" height="60">
   6. <AttributeConsumingService>:
      • <RequestedAttribute>: Indicare tutti gli attributi necessari alla risorsa per consentire l'accesso agli utenti. Riportare tali attributi anche sulla Privacy Policy della risorsa stessa. Se gli attributi richiesti per l'accesso sono diversi da ePSA (eduPersonScopedAffiliation) e ePTID(eduPersonTargetedID), segnalare a idem-help@garr.it il perchè durante la valutazione.
   7. OrganizationName: Nome dell'organizzazione
      • <md:OrganizationName xml:lang="en">
      • <md:OrganizationName xml:lang="it">
   8. OrganizationDisplayName: Nome della risorsa federata da mostrare
      • <md:OrganizationDisplayName xml:lang="en">: <Nome servizio> provided by <Nome Ente>
      • <md:OrganizationDisplayName xml:lang="it">: <Nome servizio> erogato da <Nome Ente>
   9. OrganizationUrl: URL del sito web dell'organizzazione a cui la risorsa appartiene
      • <md:OrganizationUrl xml:lang="en">
      • <md:OrganizationUrl xml:lang="it">
   10. ContactPerson: Contatti relativi alla risorsa
       • <md:ContactPerson contactType="technical">: indirizzo di una mailing-list dei contatti tecnici responsabili del corretto funzionamento del SP

   • ValidUntil: sui metadata del SP forniti alla federazione IDEM non devono essere presenti
   • Endpoint HTTPS: tutti gli endpoint/URL devono essere protette da HTTPS
   • Binding: assicurarsi che gli endpoint di comunicazione tra IdP e SP non presentino errori di binding:

   • <ArtifactResolutionService>
   • <SingleLogoutService>
   • <AssertionConsumerService>

   • EduGAIN Validator: https://technical.edugain.org/validator2

   • Federation Metadata URL: http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml
   • Premere su "Validate"
   • Controllare che Errors e Warnings non abbiano anomalie per il proprio SP

4. SSL:
   • Controllare la robustezza del proprio SP su: SSL Server Test
   • Controllare certificato e catena della CA sulla porta 443
   • Controllare che il certificato sulla 443 non abbia una Weak key (Debian)
5. Pagina di Login:
   • Verificare che sia protetta da una CA riconosciuta dal browser
6. Test di accesso:
   • eseguire una login con https://idp311.idem.garr.it/ e, dopo aver verificato di ricevere gli attributi necessari, comunicare l'ora dell'avvenuto accesso a idem-help@garr.it