spid-testenv2 icon indicating copy to clipboard operation
spid-testenv2 copied to clipboard
verified publisher icon italia

Validazione metadati SP

Open alranel opened this issue 7 years ago • 7 comments

I metadati SP dovrebbero essere validati nel momento in cui vengono usati, e quindi gli errori dovrebbero essere mostrati a video insieme agli errori della AuthnRequest. Cosa ne pensi @fmarco?

alranel avatar Jun 22 '18 17:06 alranel

@alexrj Sì, in ottica anche dell'integrazione del supporto multi-utente potrebbe aver senso validare i dati nel momento effettivo in cui vengono utilizzati. Direi che questa issue si può ricollegare alla #37

fmarco avatar Jun 25 '18 08:06 fmarco

vedi primi test manuali di validazione metedata lato SP: https://github.com/italia/spid-php/issues/19#issuecomment-400702482

simevo avatar Jun 27 '18 17:06 simevo

Promemoria: del metadata SP va verificata anche la firma, ma l'eventuale assenza va mostrata solo come warning (il testenv2 deve funzionare anche con metadati non firmati).

alranel avatar Jul 02 '18 17:07 alranel

Il certificato presente nei metadati va verificato per quanto riguarda:

  • completezza/sintassi
  • scadenza
  • uso di SHA1 (non deve essere usato)

alranel avatar Jul 06 '18 10:07 alranel

Appunti per possibili errori:

  • NameFormat errato (alcune implementazioni indicano urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified anziché :basic);
  • <SingleLogoutService> mancante;
  • <KeyDescriptor> senza attributo use="signing"
  • attributi non esistenti indicati in AttributeConsumingService
  • ID che inizia con cifra

alranel avatar Jul 10 '18 10:07 alranel

@alexrj Ciao, potresti verificare che attualmente su master ci sia una copertura adeguata? Abbiamo mergiata una modificata coperta da unit test.

fmarco avatar Oct 10 '18 12:10 fmarco

Questa issue suona un po giurassica, taggo con "closing" perché mi sembra che a parte lo scrupolo di controllare, le verifiche in oggetto parrebbero già state realizzate

peppelinux avatar Mar 01 '21 00:03 peppelinux