Entity Statement¶

Il componente basilare per costruire una Catena di Fiducia (Trust Chain) è l'Entity Statement (ES), un JWT firmato che contiene la chiavi pubbliche dell' Entità discendente (subject) e ulteriori dati usati per controllare il processo di risoluzione della Trust Chain.

Una entità pubblica un ES relativo ad un suo discendente presso il proprio Fetch Endpoint. L'entità superiore PUÒ definire le policy sui metadata per un soggetto discendente e pubblicare i TM da lei emessi per questo.

Firma di Entity Statement¶

Si applicano le medesime considerazioni fatte per gli EC e riportate nella sezione Firma della Entity Configuration.

Entity Statement¶

Gli ES emessi dal TA o da un suo Intermediario per i propri diretti discendenti, DEVONO contenere i seguenti attributi:

Claim	Descrizione	Supportato da
iss	Si rimanda alla specifica OIDC-FED Sezione 3.1 per i dettagli.
sub	Si rimanda alla specifica OIDC-FED Sezione 3.1 per i dettagli.
iat	Si rimanda alla specifica OIDC-FED Sezione 3.1 per i dettagli.
exp	Si rimanda alla specifica OIDC-FED Sezione 3.1 per i dettagli.
jwks	JWKS di Federazione dell'entità sub. Si rimanda alla specifica OIDC-FED Sezione 3.1 per i dettagli.
metadata_policy	JSON Object che descrive un criterio di Metadata. Ogni chiave dell'oggetto JSON rappresenta un identificatore del tipo di Metadata e ogni valore DEVE essere un oggetto JSON che rappresenta la politica dei Metadata in base allo schema di quel tipo di Metadata. Si rimanda alla specifica OIDC-FED Section 5.1 per i dettagli implementativi.
trust_marks	JSON Array contenente i Trust Mark emessi da se stesso per il soggetto discendente.
constraints	PUÒ contenere il claim allowed_leaf_entity_types per restringere i tipi di Entità riconoscobili per il suo discendente (esempio: solo RP).

Vedi anche

Metadata Policy¶

Trust Anchors e Intermediari (SA) DEVONO pubblicare una policy relativa ai rispettivi discendenti nell'Entity Statement ad essi riferito. La Metadata Policy si DEVE applicare a cascata su tutti i discendenti.

Metadata Policy di un TA per un RP¶

Di seguito vengono riportati i claim che DEVONO essere considerati nel parametro metadata di tipo openid_realying_party all'interno della policy che il TA stabilisce per un RP suo discendente diretto.

Claim	Operazioni / Valori	Supportato da
jwks	Operazioni: value Valori: DEVE contenere i JWKS del RP relativi alle operazioni di Core essential = true
grant_types	Operazioni: subset_of, super_set Valori: DEVE contenere authorization_code e refresh_token essential = true
id_token_signed_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
id_token_encrypted_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = false
id_token_encrypted_response_enc	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = false
userinfo_signed_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encrypted_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encrypted_response_enc	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
token_endpoint_auth_method	Operazioni: one_of Valori: DEVE essere private_key_jwt essential = true
client_registration_types	Operazioni: subset_of Valori: DEVE essere automatic essential = true
redirect_uris	Operazioni: essential = true
client_id	Operazioni: essential = true
response_types	Operazioni: value Valori: DEVE essere code essential = true

Metadata Policy di un TA per un SA¶

Di seguito vengono riportati i claim che DEVONO essere considerati nel parametro metadata di tipo openid_relying_party all'interno della policy che il TA stabilisce per un SA. Questa policy DEVE essere applicata a cascata ai metadata dei RP discendenti diretti (aggregati) del SA.

Claim	Operazioni / Valori	Supportato da
grant_types	Operazioni: subset_of, superset_of Valori: DEVE contenere authorization_code e refresh_token essential = true
id_token_signed_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
id_token_encrypted_response_alg	Operazioni: one_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = false
id_token_encrypted_response_enc	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = false
userinfo_signed_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encrypted_response_alg	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encrypted_response_enc	Operazioni: one_of Valori: DEVE contenere uno degli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
token_endpoint_auth_method	Operazioni: one_of Valori: DEVE essere private_key_jwt essential = true
client_registration_types	Operazioni: subset_of Valori: DEVE essere automatic essential = true
redirect_uris	Operazioni: essential = true
client_id	Operazioni: essential = true
response_types	Operazioni: value Valori: DEVE essere code essential = true

Metadata Policy di un SA per una RP¶

Di seguito vengono riportati i claim che DEVONO essere considerati nel parametro metadata di tipo openid_relying_party all'interno della policy che il SA stabilisce per un RP suo discendente diretto (Aggregato).

Claim	Operazioni / Valori	Supportato da
jwks	Operazioni: value Valori: DEVE contenere i JWKS del RP relativi alle operazioni di Core essential = true

Metadata Policy di un TA per un OP¶

Di seguito vengono riportati i claim che DEVONO essere considerati nel parametro metadata di tipo openid_provider all'interno della policy che il TA stabilisce per un RP suo discendente diretto.

Claim	Operazioni / Valori	Supportato da
jwks	Operazioni: value Valori: DEVE contenere i JWKS del OP relativi alle operazioni di Core essential = true
revocation_endpoint_auth_methods_supported	Operazioni: subset_of Valori: DEVE essere private_key_jwt essential = true
code_challenge_methods_supported	Operazioni: subset_of Valori: DEVE essere S256 essential = true
scopes_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere openid, offline_access. Per CIE id PUÒ contenere anche profile, email. essential = true
response_types_supported	Operazioni: subset_of Valori: DEVE essere code. essential = true
response_modes_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere form_post, query. essential = true
grant_types_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere refresh_token, authorization_code. essential = true
acr_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere https://www.spid.gov.it/SpidL1, https://www.spid.gov.it/SpidL2, https://www.spid.gov.it/SpidL3. essential = true
subject_types_supported	Operazioni: subset_of Valori: DEVE essere pairwise. essential = true
id_token_signing_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
id_token_encryption_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
id_token_encryption_enc_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_signing_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encryption_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
userinfo_encryption_enc_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
token_endpoint_auth_methods_supported	Operazioni: subset_of Valori: DEVE essere private_key_jwt essential = true
token_endpoint_auth_signing_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
claims_parameter_supported	Operazioni: value Valori: DEVE essere true essential = true
request_parameter_supported	Operazioni: value Valori: DEVE essere true essential = true
authorization_response_iss_parameter_supported	Operazioni: value Valori: DEVE essere true essential = true
client_registration_types_supported	Operazioni: subset_of Valori: DEVE essere automatic essential = true
request_authentication_methods_supported	Operazioni: value Valori: DEVE essere request_object essential = true
request_authentication_signing_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
request_object_signing_alg_values_supported	Operazioni: subset_of, superset_of Valori: DEVE contenere gli algoritmi definiti nella Sezione Algoritmi Crittografici essential = true
issuer	Operazioni: essential = true
authorization_endpoint	Operazioni: essential = true
token_endpoint	Operazioni: essential = true
userinfo_endpoint	Operazioni: essential = true
introspection_endpoint	Operazioni: essential = true
revocation_endpoint	Operazioni: essential = true

Vedi anche

Esempi non normativi di Metadata Policy

Docs Italia beta

Documenti pubblici, digitali.

Entity Statement¶

Firma di Entity Statement¶

Entity Statement¶

Metadata Policy¶

Metadata Policy di un TA per un RP¶

Metadata Policy di un TA per un SA¶

Metadata Policy di un SA per una RP¶

Metadata Policy di un TA per un OP¶