You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Nell'ipotesi venga richiamato il resolve sul TA per un RP aggregato dall'SA (che è anche RP come descritto nel titolo), nella risoluzione della trust chain vengono recuperati tramite fetch endpoint i metadata_policy dell'SA per l'RP, e poi i metadata_policy del TA per l'SA (che però è anche RP, dunque ci saranno le policy per il ruolo openid_relying_party) ed infine questi vengono combinati (sezione 5.1.4 di https://openid.net/specs/openid-connect-federation-1_0.html) prima di essere applicati ai metadati dell'RP aggregato.
Questo porta ad un problema, poiché l'SA nel fetch del suo RP aggregato, inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core di questo RP aggregato in jwks, ed il TA nel fetch dell'SA (che però è anche RP, come ci siamo detti sopra), inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core dell'SA in jwks.
Quando avviene il combining delle policy, ci sono due valori diversi per lo stesso operatore legato al metadato jwks, e questo causa problemi.
The text was updated successfully, but these errors were encountered:
metadata_policy viene applicato su tutta la chain, mentre metadata solo sul discendente
per questo motivo è richiesto di chiarire quando usare metadata_policy (algoritmo da rimuovere per motivi di sicurezza) e quando metadata (contatto, jwks o qualsiasi altra cosa relativa al solo discendente)
In some cases, a superior may want to be explicit about what metadata should be used for a Subordinate. In that case metadata can be used. If metadata is used it is only valid for the subject of the Entity Statement and has no impact on its Subordinates. If a metadata claim appears beside a metadata_policy claim in an Entity Statement, then for each Entity Type, claims that appear in metadata MUST NOT appear in metadata_policy
In https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/entity_statement.html#metadata-policy viene descritto che nelle policy di un TA per un RP, deve essere presente per il claim jwks un controllo che verifica che ci siano nei metadata dell'RP i suoi jwks di core.
Allo stesso tempo, viene descritto che nelle policy di un SA per un RP deve essere presente per il claim jwks lo stesso controllo di cui sopra.
Nell'ipotesi venga richiamato il resolve sul TA per un RP aggregato dall'SA (che è anche RP come descritto nel titolo), nella risoluzione della trust chain vengono recuperati tramite fetch endpoint i metadata_policy dell'SA per l'RP, e poi i metadata_policy del TA per l'SA (che però è anche RP, dunque ci saranno le policy per il ruolo openid_relying_party) ed infine questi vengono combinati (sezione 5.1.4 di https://openid.net/specs/openid-connect-federation-1_0.html) prima di essere applicati ai metadati dell'RP aggregato.
Questo porta ad un problema, poiché l'SA nel fetch del suo RP aggregato, inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core di questo RP aggregato in jwks, ed il TA nel fetch dell'SA (che però è anche RP, come ci siamo detti sopra), inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core dell'SA in jwks.
Quando avviene il combining delle policy, ci sono due valori diversi per lo stesso operatore legato al metadato jwks, e questo causa problemi.
The text was updated successfully, but these errors were encountered: