Problema di "combining" metadata policy in caso di entità con doppio ruolo RP / SA #189
Comments
|
metadata_policy viene applicato su tutta la chain, mentre per questo motivo è richiesto di chiarire quando usare metadata_policy (algoritmo da rimuovere per motivi di sicurezza) e quando questo è chiarito qui
|
In https://docs.italia.it/italia/spid/spid-cie-oidc-docs/it/versione-corrente/entity_statement.html#metadata-policy viene descritto che nelle policy di un TA per un RP, deve essere presente per il claim jwks un controllo che verifica che ci siano nei metadata dell'RP i suoi jwks di core.
Allo stesso tempo, viene descritto che nelle policy di un SA per un RP deve essere presente per il claim jwks lo stesso controllo di cui sopra.
Nell'ipotesi venga richiamato il resolve sul TA per un RP aggregato dall'SA (che è anche RP come descritto nel titolo), nella risoluzione della trust chain vengono recuperati tramite fetch endpoint i metadata_policy dell'SA per l'RP, e poi i metadata_policy del TA per l'SA (che però è anche RP, dunque ci saranno le policy per il ruolo openid_relying_party) ed infine questi vengono combinati (sezione 5.1.4 di https://openid.net/specs/openid-connect-federation-1_0.html) prima di essere applicati ai metadati dell'RP aggregato.
Questo porta ad un problema, poiché l'SA nel fetch del suo RP aggregato, inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core di questo RP aggregato in jwks, ed il TA nel fetch dell'SA (che però è anche RP, come ci siamo detti sopra), inserisce nelle policy del metadata type openid_relying_party il set delle chiavi di core dell'SA in jwks.
Quando avviene il combining delle policy, ci sono due valori diversi per lo stesso operatore legato al metadato jwks, e questo causa problemi.
The text was updated successfully, but these errors were encountered: