CIE
Introduzione
In questa guida vedremo come creare il login tramite CIE su un dominio pubblico.
Processo di Onboarding
E' necessario seguire la guida del Manuale Operativo disponibile a questo link Processo di Onboarding (opens in a new tab) fino al punto 4.2.2 - Autorizzazione alla federazione (opens in a new tab). Questi passi servono, ad un soggetto pubblico o privato, a richiedere al Ministero dell'Interno di aderire allo schema di identificazione «Entra con CIE». Una volta che il Ministero dell'Interno avrà approvato la richiesta, sarà possibile inserire i Dati Tecnici.
Creazione dei dati tecnici
Precondizione: L'IP del dominio pubblico DEVE provenire dall'Italia in quanto il Ministero dell'Interno limita gli accessi solo per l'Italia.
Prima di procedere all'inserimento dei dati all'interno del portale (opens in a new tab) seguendo la guida 4.2.3. - Inserimento dei dati tecnici di federazione (opens in a new tab) è necessario:
- Aggiungere una regola di rewrite sul dominio che si vuole proteggere con lo schema di identificazione «Entra con CIE»;
- Generare l'Entity Configuration (Metadata di Federazione), il quale viene generato, automaticamente esposto e firmato dalla procedura Oplon.
Regola di rewrite
Per permettere al dominio di esporre l'Entity Configuration che andremo a generare, dobbiamo prima di tutto applicare la regola di rewrite header chiamata CIE-IDP-Simple sul dominio che intendiamo proteggere. Per essere compliant con la gestione dei log (opens in a new tab), abbiamo bisogno di un certificato digitale. All'interno della regola di rewrite, dobbiamo aggiungere 3 variabili:
- CERT: percorso del certificato (deve essere in formato p12);
- CERT_PWD: password del certificato;
- CERT_ALIAS: alias del certificato.
Generazione Entity Configuration
Una volta applicata la regola di rewrite, dobbiamo creare l'Entity Configurantion.
Dal menu di sinistra andiamo su CIE -> CIE Generator. Clicchiamo il pulsante '+' e inseriamo i seguenti dati:
- Select where to create the new file: selezioniamo il nodo o il cluster in cui abbiamo applicato la regola di rewrite header CIE-IDP-Simple;
- Select environment: ci sono due poissibilità, PREPROD ovvero ambiente di preproduzione oppure PROD ambiente di produzione. La scelta deve essere poi applicata anche durante l'inserimento dei dati tecnici;
- Client ID: deve essere valorizzato con l'HTTPS URL del domino;
- Organization Name: valore inserito durante l'onboarding (opens in a new tab) nel campo Denominazione dell'ente;
- Email: Come organization name, nel campo Email;
- Home page URI: URI della home page del dominio;
- Logo URI: URI del logo del dominio (il formato del logo deve essere svg).
Una volta inseriti i dati, cliccando il pulsante Generate, verrà generato l'Entity Configuration, firmato ed esposto tramite la regola di rewrite. Nel campo Public Key troveremo la chiave pubblica che dovrà essere inserita nei Dati tecnici, quindi salviamocela.
Inserimento dati tecnici sul portale
E' arrivato il momento di inserire i dati tecnici (opens in a new tab) nel portale CIE.
- Identificativo del componente: si deve aggiungere il valore del Client ID;
- Chiave pubblica di federazione: chiave pubblica appena salvata;
- URL del bottone CIE: URL del dominio + "/login".
Se tutte le verifiche e configurazioni della componente tecnica restituiscono esito positivo, il sistema effettua la federazione nell’ambiente specificato e notifica l’esito ai seguenti destinatari:
- Referente amministrativo
- Referente tecnico
- Ente
A questo punto bisogna solo confermare la federazione. Per fare ciò torniamo dentro la sezione CIE -> CIE Generator dell'ADC, selezioniamo l'entry da federare e clicchiamo sul pulsante Federate. Se il processo va a buon fine, gli utenti potranno accedere al servizio con «Entra con CIE».
Scadenza Entity Configuration
Se si supera la data di scadenza, non sarà più erogato il servizio "entra con CIE". Per riabilitare il servizio basterà andare sulla sezione CIE -> CIE Generator, selezionare l'entry scaduta e cliccare il pulsante blue Resign per riaggiornarla.