Skip to content

Commit

Permalink
disambiguazioni minori su single sign on
Browse files Browse the repository at this point in the history
  • Loading branch information
peppelinux committed Feb 11, 2021
1 parent 6f459d1 commit 547b97b
Showing 1 changed file with 2 additions and 2 deletions.
4 changes: 2 additions & 2 deletions single-sign-on.rst
Original file line number Diff line number Diff line change
Expand Up @@ -214,7 +214,7 @@ Assertion

Nel caso di asserzioni emesse a seguito di richieste di autenticazione per il livello SPID 1 l’elemento ``<AuthStatement>`` deve avere l'attributo ``SessionIndex`` specificante l'indice della sessione di autenticazione instaurata per l’utente presso il gestore dell’identità; tale elemento non dovrà essere presente nel caso di asserzioni emesse a seguito di richieste di autenticazione per i livelli SPID 2 e SPID 3.

* Deve essere presente l'elemento ``<Signature>`` riportante la firma sull'asserzione apposta dall'Identity Provider emittente. La firma deve essere prodotta secondo il profilo specificato per SAML (cfr [SAML-Core] cap5) utilizzando chiavi RSA almeno a 1024 bit e algoritmo di digest SHA-256 o superiore.
* Deve essere presente l'elemento ``<Signature>`` riportante la firma che l'entità emittente (SP) appone sull'envelope XML da inoltrare. La firma deve essere prodotta secondo il profilo specificato per SAML (cfr [SAML-Core] cap5) utilizzando chiavi RSA almeno a 2048 bit e algoritmo di digest SHA-256 o superiore.

.. admonition:: SI PUÒ

Expand Down Expand Up @@ -247,4 +247,4 @@ Alla ricezione della ``<Response>`` qualunque sia il binding utilizzato il Servi
* l'attributo ``NotOnOrAfter`` non sia scaduto;
* l'attributo ``InResponseTo`` si riferisca correttamente all'ID della ``<AuthnRequest>`` di richiesta

Il fornitore di servizi deve garantire che le asserzioni non vengano ripresentate, mantenendo il set di identificatori di richiesta (``ID``) usati come per le ``<AuthnRequest>`` per tutta la durata di tempo per cui l'asserzione risulta essere valida in base dell'attributo ``NotOnOrAfter`` dell'elemento ``<SubjectConfirmationData>`` presente nell'asserzione stessa.
Il fornitore di servizi deve garantire che le asserzioni non vengano ripresentate, mantenendo il set di identificatori di richiesta (``ID``) usati come per le ``<AuthnRequest>`` per tutta la durata di tempo per cui l'asserzione risulta essere valida, secondo l'attributo ``NotOnOrAfter`` dell'elemento ``<SubjectConfirmationData>`` presente nell'asserzione stessa. Più semplicemente un SP deve esclusivamente accettare Response riconducibili a Richieste di Autenticazione già inoltrate e non scadute, Response non sollecitate da precedenti AuthnRequest devono essere pertanto scartate.

0 comments on commit 547b97b

Please sign in to comment.