Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[SPID] Avviso 41 versione 2 #72

Closed
8 of 14 tasks
peppelinux opened this issue Oct 5, 2022 · 5 comments
Closed
8 of 14 tasks

[SPID] Avviso 41 versione 2 #72

peppelinux opened this issue Oct 5, 2022 · 5 comments
Assignees
@agcolella @damikael
Labels
avviso AgID

Comments

@peppelinux
Copy link
Member

peppelinux commented Oct 5, 2022
edited

In questa issue elenchiamo tutte le modifiche richieste nel prossimo Avviso AgID:
@peppelinux peppelinux changed the title Modifiche rispetto a LLGG SPID OpenID e Avviso 41 Differenze con LLGG SPID OpenID e Avviso 41 Oct 5, 2022
@peppelinux peppelinux mentioned this issue Oct 12, 2022
Open
@peppelinux
Copy link
Member Author

Considerare anche https://www.agid.gov.it/sites/default/files/repository_files/tabella_attributi_v.1.3.pdf

@peppelinux
Copy link
Member Author

Ulteriore specificha sugli algoritmi che conferma avviso 41 e abilita profili di sicurezza maggiori ove possibile, qui
#88

@peppelinux peppelinux changed the title Differenze con LLGG SPID OpenID e Avviso 41 [SPID] Avviso 42 - prossimo avviso Oct 20, 2022
@peppelinux
Copy link
Member Author

peppelinux commented Oct 20, 2022
edited

Correzioni proposte da Avviso 41.
Le seguenti affermazioni dovrebbero essere riviste.

PAIRWISE IDENTIFIER
L’OP può individuare autonomamente un valore ricollegabile al Client per il “sector_identifier_uri” in caso non sia stato
possibile usando i criteri indicati nella specifica OIDC (https://openid.net/specs/openid-connect-core-
1_0.html#PairwiseAlg.).

A: sector_identifier_uri non esiste nei metadata ne tantomeno esiste un endpoint di client registration.

INTROSPECTION
Se il parametro “active” è valorizzato con “false” non è necessario restituire anche gli altri parametri

A: dovrebbe tornare "active" anche se valido.

METADATA OPENID PROVIDER
Gli OpenID Provider (OP) devono usare “jwks_uri”.
Per il “jwks_uri” è necessario che la URL afferisca allo stesso dominio, di titolarità dell’OP, sul quale è pubblicato il
metadata.

A: rivedere sulla base di quanto definito nella determina OIDC Federation. Ad ogni modo nulla ci vieta di consentire l'uso di jwks_uri agli OP. OIDC Federation ci consente di affiancare a questo anche jwks e signed_jwks_uri a patto che le jwks siano uguali.

METADATA CLIENT
I Relying Party (RP) possono utilizzare sia il “jwks” che il “jwks_uri”.

CIFRATURA E SIGILLO

esteso in docs italia corrente, con alcuni algoritmi raccomandati per migliore sicurezza.

@peppelinux peppelinux removed the done label Nov 18, 2022
@damikael
Copy link
Member

PAIRWISE IDENTIFIER
L’OP può individuare autonomamente un valore ricollegabile al Client per il “sector_identifier_uri” in caso non sia stato
possibile usando i criteri indicati nella specifica OIDC (https://openid.net/specs/openid-connect-core-
1_0.html#PairwiseAlg.).

A: sector_identifier_uri non esiste nei metadata ne tantomeno esiste un endpoint di client registration.

Per il Sector Identifier, OIDC Core prevede:
"If the Client has not provided a value for sector_identifier_uri in Dynamic Client Registration [OpenID.Registration], the Sector Identifier used for pairwise identifier calculation is the host component of the registered redirect_uri."
OIDC SPID non ha client registration e non ha sector_identifier_uri nel metadata RP, ma l'OP, poichè non può recuperare il valore di sector_identifier_uri, individua autonomamente il valore da utilizzare per il Pairwise come previsto da OIDC Core nel caso in cui non riesca a recuperare il valore di sector_identifier_uri.

INTROSPECTION
Se il parametro “active” è valorizzato con “false” non è necessario restituire anche gli altri parametri

A: dovrebbe tornare "active" anche se valido.

Disambiguato

METADATA OPENID PROVIDER
Gli OpenID Provider (OP) devono usare “jwks_uri”.
Per il “jwks_uri” è necessario che la URL afferisca allo stesso dominio, di titolarità dell’OP, sul quale è pubblicato il
metadata.

A: rivedere sulla base di quanto definito nella determina OIDC Federation. Ad ogni modo nulla ci vieta di consentire l'uso di jwks_uri agli OP. OIDC Federation ci consente di affiancare a questo anche jwks e signed_jwks_uri a patto che le jwks siano uguali.

Modificato avviso 41

METADATA CLIENT
I Relying Party (RP) possono utilizzare sia il “jwks” che il “jwks_uri”.

Modificato avviso 41

CIFRATURA E SIGILLO

esteso in docs italia corrente, con alcuni algoritmi raccomandati per migliore sicurezza.

Modificato avviso 41

@damikael
Copy link
Member

In questa issue elenchiamo tutte le modifiche richieste nel prossimo Avviso AgID:

Modificato regolamento

  • Metadata OP

    • Claim aggiunti:

      • revocation_endpoint_auth_methods_supported
      • code_challenge_methods_supported
      • scopes_supported
      • response_types_supported
      • response_modes_supported (valori: form_post e query)
      • grant_types_supported (valori: refresh_token e authorization_code)
      • request_object_signing_alg_values_supported (default: RS256)
      • claims_supported
      • authorization_response_iss_parameter_supported (opzionale in SPID, obbligatorio in CIE)
      • client_registration_types_supported (default: automatic)
      • request_authentication_methods_supported (default: request_object)
      • logo_uri (già definito in determina federation)
      • organization_name (già definito in determina federation)

    • Claim rimossi:

      • op_name (diventa organization_name)
      • op_uri (diventa homepage_uri)

Modificato in parte avviso 41

Disambiguato

* **logo_uri** (già definito in determina federation)
* **organization_name** (già definito in determina federation)
* **id_token_signed_response_alg**
* **id_token_encrypted_response_alg**
* **id_token_encrypted_response_enc**
* **userinfo_signed_response_alg**
* **userinfo_encrypted_response_alg**
* **userinfo_encrypted_response_enc**
* **token_endpoint_auth_method**
* **client_registration_types** (default: automatic)

  • Claims rimossi:

    • client_name (diventa organization_name)

Modificato in parte avviso 41

Disambiguato

Disambiguato

Modificata tabella attributi e regolamento federation

@nunzionapoli nunzionapoli removed their assignment Jan 30, 2023
@peppelinux peppelinux changed the title [SPID] Avviso 42 - prossimo avviso [SPID] Avviso 41 versione 2 Feb 7, 2023
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@agcolella agcolella

@damikael damikael

Labels
avviso AgID
Projects
SPID CIE OpenID Connect docs
Status: Done
Milestone
No milestone
Development

No branches or pull requests
4 participants
@peppelinux @agcolella @damikael @nunzionapoli