spid 0.15.2 → 0.16.0

checksums.yaml

@@ -1,7 +1,7 @@
 ---
 SHA256:
-  metadata.gz: 4866af87e0c8823162483e64a14afda3d325d3791c69f5e7678c9fdc2f29c65d
-  data.tar.gz: e437a860f4dc46efddb947ce55982c2b0d1b3bc09831d3298f537b574ae99274
+  metadata.gz: 7ba07f30c0e0a0f5a7e810dd65f1fa640c7c44be9821d80d3e66aa9beacd96f3
+  data.tar.gz: 51bdce6a6796d79c084ae3c0c4ef590fee8fa09407282a083730d851f20087a4
 SHA512:
-  metadata.gz: ef442a357be9ddb4781dad1a90addce249db283e1f9fa38890d24da8b22e176b81bdfe16c59cf4e18f3dfb192888479e1d911db33064a58b34795cb611b65fe7
-  data.tar.gz: 586d5a07cc351d555fd42d03857e4f8f803ef58e3c4334cbc9cdbfc84a242079c6216b69e05defea9cf34516230c97c49dff16439eb06c1729bbde8c1b0982c2
+  metadata.gz: 0e9bb862aa5e52e2bc9322a599f1f52905b0bfc91ac754aed5962134eeab1f4f87db3146e43a7788f5e46c34d73c0d9697c61d3e49eab81d30bd934f3f59ec11
+  data.tar.gz: 75f930de84a75db8ea97e7651a96a6116bd2e29b8e3903e39c24d98074c952d6936700a08267605a747f97956d703acab408db4ec5875bfea98cb8b4cf1ae3db

data/.rubocop.yml

@@ -12,6 +12,7 @@ Metrics/BlockLength:
   Exclude:
     - spec/**/*.rb
     - spid.gemspec
+    - lib/**/*.rake
 Metrics/LineLength:
   Exclude:
     - spid.gemspec

data/CHANGELOG.md

@@ -2,6 +2,11 @@
 
 ## [Unreleased]
 
+## [0.16.0] - 2018-09-05
+### Added
+- Task rake for IdPs metadata fetching
+- Rails installer
+
 ## [0.15.2] - 2018-08-31
 ### Fixed
 - Now response doesn't fail if status code is not success
@@ -118,7 +123,8 @@
 - Coveralls Integration
 - Rubygems version badge in README
 
-[Unreleased]: https://github.com/italia/spid-ruby/compare/v0.15.2...HEAD
+[Unreleased]: https://github.com/italia/spid-ruby/compare/v0.16.0...HEAD
+[0.16.0]: https://github.com/italia/spid-ruby/compare/v0.15.2...v0.16.0
 [0.15.2]: https://github.com/italia/spid-ruby/compare/v0.15.1...v0.15.2
 [0.15.1]: https://github.com/italia/spid-ruby/compare/v0.15.0...v0.15.1
 [0.15.0]: https://github.com/italia/spid-ruby/compare/v0.14.0...v0.15.0

data/README.md

@@ -1,8 +1,5 @@
 # spid-ruby
 
-Ruby library for SPID authentication
-
-
 | Project                | Spid Ruby |
 | ---------------------- | ------------ |
 | Gem name               | spid |
@@ -12,14 +9,103 @@ Ruby library for SPID authentication
 | Test coverate          | [![Coverage Status](https://coveralls.io/repos/github/italia/spid-ruby/badge.svg?branch=master)](https://coveralls.io/github/italia/spid-ruby?branch=master) |
 | Credits                | [Contributors](https://github.com/italia/spid-ruby/graphs/contributors) |
 
-## Installation
-
-Add into your Gemfile
+## Installazione & Configurazione
 
+### Installazione
+Aggiungi al tuo Gemfile
 ```ruby
 gem "spid"
 ```
+ed esegui nel terminale
+```bash
+$ bundle install
+```
+
+### Configurazione
+A questo punto è necessario aggiungere il middleware `Spid::Rack` nello stack dell'applicazione, avendo cura di inserirlo **dopo** un middleware per la gestione della sessione, ad esempio `Rack::Session::Cookie`
+
+```ruby
+use Rack::Session::Cookie
+use Spid::Rack
+```
+
+E configurare il parametri spid tramite il seguente codice
+```ruby
+Spid.configure do |config|
+  #config ...
+end
+```
+tramite il quale potete accedere alle seguenti configurazioni:
+
+|Nome|valore default||Obbligatorio?|
+|:---|:---|:---|:---|
+|config.hostname||Hostname dell'applicazione, che verrà utilizzato come entity_id del service provider|✓|
+|config.idp_metadata_dir_path||Directory dove si troveranno copia dei metadata degli Identity Provider del sistema SPID|✓|
+|config.private_key_pem||Chiave privata del Service Provider in rappresentazione pem|✓|
+|config.certificate_pem||Certificato X509 del Service Provider in rappresentazione pem|✓|
+|config.attribute_services||Array degli attribute service indexes richiesti dal Service Provider all'Identity Provider (vedi sotto)|✓|
+|config.metadata_path|`/spid/metadata`|Path per la fornitura del metadata del Service Provider||
+|config.login_path|`/spid/login`|Path per la generazione ed invio dell'AuthnRequest all'Identity Provider||
+|config.acs_path|`/spid/sso`|Path per la ricezione dell'Assertion di autenticazione||
+|config.logout_path|`/spid/logout`|Path per la generazione ed invio della LogoutRequest all'Identity Provider||
+|config.slo_path|`/spid/slo`|Path per la ricezione dell'Assertion di chiusura della sessione||
+|config.default_relay_state_path|`/`|Indirizzo di ritorno dopo aver ricevuto un Assertion||
+|config.digest_method|Spid::SHA256|Algoritmo utilizzato per la generazione del digest per le firme||
+|config.signature_method|Spid::RSA_SHA256|Algoritmo utilizzato per la generazione della signature XML||
+|config.acs_binding|Spid::BINDINGS_HTTP_POST|Binding method utilizzato per la ricezione dell'Assertion di autenticazione||
+|config.slo_binding|Spid::BINDINGS_HTTP_REDIRECT|Binding method utilizzato ler la ricezione dell'Assertion di chiusura della sessione||
+
+#### Attribute Services
+Il protocollo SPID prevede la possibilità di specificare almeno un servizio di attributi. Ogni servizio ha un nome e un elenco di attributi richiesti.
+
+Per configurare dei servizi bisogna utilizzare questa configurazione
+```ruby
+  Spid.configure do |config|
+    ...
+    config.attribute_services = [
+      { name: "Service 1 name", fields: [ elenco_attributi_servizio_1 ] },
+      { name: "Service 2 name", fields: [ elenco_attributi_servizio_2] }
+    ]
+```
+Gli attributi disponibili sono
+```
+ :spid_code, :name, :family_name, :place_of_birth, :date_of_birth, :gender, :company_name, :registered_office, :fiscal_number, :iva_code, :id_card, :mobile_phone, :email, :address, :digital_address
+```
+### Scaricamento metadata degli Identity Providers
+Per motivi di sicurezza il sistema SPID prevede che un Service Provider abbia una copia 'sicura' dei metadata degli Identity Providers.
+
+Al fine di facilitarne lo scaricamento la gemma `spid-ruby` prevede un task rake che li installa nella directory `config.idp_metadata_dir_path`.
+
+A questo punto è possibile lanciare 
+
+```bash
+$ rake spid:fetch_idp_metadata
+```
+
+#### Sinatra
+Occorre modificare il `Rakefile` dell'applicazione aggiungendo
+```ruby
+# qui è necessario caricare preventivamente la configurazione SPID
+# require "sinatra-app.rb"
+require "spid/tasks"
+```
+
+## Funzionamento
+### Login
+
+Per iniziare un login con SPID è necessario utilizzare un url in questo formato `/spid/login?idp_name=posteid&relay_state=/path/to/return&attribute_index=0`, dove
+
+* **/spid/login**: è il path configurato nel parametro `config.login_path`
+* **idp_name**: rappresenta l'identificativo dell'Identity Provider con cui si vuole autenticarsi
+* **relay_state**: rappresenta l'url dove deve essere fatto il redirect a seguito della ricezione della response di autenticazione
+* **attribute_index**: rappresenta l'indice del servizio di attributi che vogliano vengano forniti dall'Identity Provider in caso di autenticazione riuscita
+
+### Logout
+Per iniziare un logout con SPID l'url da utilizzare è `/spid/logout?idp_name=posteid&relay_state=/path/to/return`, dove
 
+* **/spid/logout**: è il path configurato nel parametro `config.logout_path`
+* **idp_name**: rappresenta l'identificativo dell'Identity Provider dove vogliamo terminare la sessione di autenticazione
+* **relay_state**: rappresenta l'url dove deve essere fatto il redirect a seguito della ricezione della response di logout
 
 ## Features
 

data/lib/spid/configuration.rb

@@ -15,8 +15,8 @@ module Spid
     attr_accessor :acs_binding
     attr_accessor :slo_binding
     attr_accessor :attribute_services
-    attr_writer :private_key
-    attr_writer :certificate
+    attr_accessor :private_key_pem
+    attr_accessor :certificate_pem
 
     def initialize
       @idp_metadata_dir_path    = "idp_metadata"
@@ -53,11 +53,13 @@ module Spid
     end
 
     def certificate
-      OpenSSL::X509::Certificate.new(@certificate) unless @certificate.nil?
+      return nil if certificate_pem.nil?
+      @certificate ||= OpenSSL::X509::Certificate.new(certificate_pem)
     end
 
     def private_key
-      OpenSSL::PKey::RSA.new(@private_key) unless @private_key.nil?
+      return nil if private_key_pem.nil?
+      @private_key ||= OpenSSL::PKey::RSA.new(private_key_pem)
     end
 
     def service_provider

data/lib/spid/generators/install_generator.rb

@@ -0,0 +1,13 @@
+# frozen_string_literal: true
+
+module Spid
+  module Generators
+    class InstallGenerator < ::Rails::Generators::Base # :nodoc:
+      source_root File.expand_path("templates", __dir__)
+
+      def code_that_runs
+        copy_file "spid.rb", "config/initializers/spid.rb"
+      end
+    end
+  end
+end

data/lib/spid/generators/templates/spid.rb

@@ -0,0 +1,24 @@
+# frozen_string_literal: true
+
+Spid.configure do |config|
+  config.hostname = ENV.fetch("HOST")
+
+  config.idp_metadata_dir_path = Rails.root.join("config/idp_metadata")
+  config.private_key_pem = ENV.fetch("PRIVATE_KEY")
+  config.certificate_pem = ENV.fetch("CERTIFICATE")
+
+  config.metadata_path  = "/spid/metadata"
+  config.start_sso_path = "/spid/login"
+  config.start_slo_path = "/spid/logout"
+  config.acs_path = "/spid/sso"
+  config.slo_path = "/spid/slo"
+  config.default_relay_state_path = "/"
+
+  config.digest_method = Spid::SHA512
+  config.signature_method = Spid::RSA_SHA512
+  config.acs_binding = Spid::BINDINGS_HTTP_POST
+  config.slo_binding = Spid::BINDINGS_HTTP_REDIRECT
+  config.attribute_services = [
+    { name: "Service1", fields: ["email"] }
+  ]
+end

data/lib/spid/generators.rb

@@ -0,0 +1,9 @@
+# frozen_string_literal: true
+
+require "rails/generators"
+require "spid/generators/install_generator"
+
+module Spid
+  module Generators # :nodoc:
+  end
+end

data/lib/spid/rack/sso.rb

@@ -34,10 +34,14 @@ module Spid
           session["attributes"] = responser.attributes
           session["session_index"] = responser.session_index
           session.delete("sso_request_uuid")
+          session.delete("errors")
         end
 
         def store_session_failure
           session["errors"] = responser.errors
+          session.delete("attributes")
+          session.delete("sso_request_uuid")
+          session.delete("session_index")
         end
 
         def response

data/lib/spid/railtie.rb

@@ -0,0 +1,11 @@
+# frozen_string_literal: true
+
+require "spid/generators"
+
+module Spid
+  class Railtie < ::Rails::Railtie # :nodoc:
+    rake_tasks do |_app|
+      require "spid/tasks"
+    end
+  end
+end

data/lib/spid/synchronize_idp_metadata.rb

@@ -0,0 +1,86 @@
+# frozen_string_literal: true
+
+require "json"
+require "net/http"
+
+module Spid
+  class SynchronizeIdpMetadata # :nodoc:
+    def initialize
+      FileUtils.mkdir_p(Spid.configuration.idp_metadata_dir_path)
+    end
+
+    def call
+      idp_list.map do |name, url|
+        metadata_name = "#{name.delete(' ').downcase}-metadata.xml"
+        metadata = get_metadata_from_url(url)
+
+        File.open(metadata_path(metadata_name), "wb") { |f| f.write metadata }
+      end
+    end
+
+    def idp_list
+      metadata_list.each.with_object({}) do |(name, url), acc|
+        uri = URI(url)
+        res = Net::HTTP.get_response(uri)
+        acc[name] = if res.code == "302"
+                      res["Location"]
+                    else
+                      url
+                    end
+      end
+    end
+
+    def metadata_list
+      entities.each.with_object({}) do |entity, acc|
+        entity_name = entity["entity_name"]
+        entity_name = "SPIDItalia" if entity_name =~ /SPIDItalia/
+        acc[entity_name] = entity["metadata_url"]
+      end
+    end
+
+    def metadata_path(name)
+      File.join(
+        Spid.configuration.idp_metadata_dir_path,
+        name
+      )
+    end
+
+    def entities
+      return [] if idp_list_raw.nil?
+
+      JSON.parse(idp_list_raw)["spidFederationRegistry"]["entities"]
+    end
+
+    def get_metadata_from_url(url)
+      uri = URI(url)
+      req = Net::HTTP::Get.new(uri)
+
+      res = Net::HTTP.start(
+        uri.host, uri.port, use_ssl: uri.scheme == "https"
+      ) do |http|
+        http.request(req)
+      end
+
+      res.body
+    end
+
+    def idp_list_raw
+      uri = URI(registry_url)
+
+      req = Net::HTTP::Get.new(uri)
+      req["Accept"] = "application/json"
+
+      res = Net::HTTP.start(
+        uri.host, uri.port, use_ssl: uri.scheme == "https"
+      ) do |http|
+        http.request(req)
+      end
+
+      res.body
+    end
+
+    def registry_url
+      "https://registry.spid.gov.it/api/identity-providers"
+    end
+  end
+end

data/lib/spid/tasks/certificate.rake

@@ -0,0 +1,60 @@
+# frozen_string_literal: true
+
+namespace :spid do
+  task :certificate do
+    Rake::Task["environment"].invoke if defined?(Rails)
+
+    if File.exist?(Spid.configuration.certificate_path) &&
+       File.exist?(Spid.configuration.private_key_path)
+      puts "A certificate and a private key already exists!"
+      exit
+    end
+
+    private_key = OpenSSL::PKey::RSA.new(4096)
+    public_key = private_key.public_key
+
+    subject = {}
+
+    print "Insert the certificate Country (default IT): "
+    subject[:C] = $stdin.gets.chomp
+    subject[:C] = "IT" if subject[:C] == ""
+
+    print "Insert the Organization name: "
+    subject[:O] = $stdin.gets.chomp
+
+    print "Insert the Organization Unit name: "
+    subject[:OU] = $stdin.gets.chomp
+
+    print "Insert the Common Name: "
+    subject[:CN] = $stdin.gets.chomp
+
+    print "Insert the Domain Component: "
+    subject[:DC] = $stdin.gets.chomp
+
+    print "Insert the State or Province name: "
+    subject[:ST] = $stdin.gets.chomp
+
+    subject = subject.map do |key, value|
+      "/#{key}=#{value}" if !value.nil? && value != ""
+    end.join
+
+    certificate = OpenSSL::X509::Certificate.new
+    name = OpenSSL::X509::Name.parse(subject)
+    certificate.issuer = certificate.subject = name
+    certificate.not_before = Time.now
+    certificate.not_after = Time.now + (30 * 365 * 24 * 60 * 60)
+    certificate.public_key = public_key
+    certificate.serial = 0x0
+    certificate.version = 2
+
+    certificate.sign private_key, OpenSSL::Digest::SHA512.new
+
+    File.open(Spid.configuration.certificate_path, "w") do |f|
+      f.write certificate.to_pem
+    end
+
+    File.open(Spid.configuration.private_key_path, "w") do |f|
+      f.write private_key.to_pem
+    end
+  end
+end

data/lib/spid/tasks/fetch_idp_metadata.rake

@@ -0,0 +1,11 @@
+# frozen_string_literal: true
+
+require "spid/synchronize_idp_metadata"
+
+namespace :spid do
+  desc "Synchronize IDP metadata"
+  task :fetch_idp_metadata do
+    Rake::Task["environment"].invoke if defined?(Rails)
+    Spid::SynchronizeIdpMetadata.new.call
+  end
+end

data/lib/spid/tasks.rb

@@ -0,0 +1,7 @@
+# frozen_string_literal: true
+
+require "rake"
+
+["fetch_idp_metadata", "certificate"].each do |task|
+  load "spid/tasks/#{task}.rake"
+end

data/lib/spid/version.rb

@@ -1,5 +1,5 @@
 # frozen_string_literal: true
 
 module Spid
-  VERSION = "0.15.2"
+  VERSION = "0.16.0"
 end

data/lib/spid.rb

@@ -8,6 +8,8 @@ require "spid/metadata"
 require "spid/version"
 require "spid/configuration"
 require "spid/identity_provider_manager"
+require "spid/synchronize_idp_metadata"
+require "spid/railtie" if defined?(Rails)
 
 module Spid # :nodoc:
   class UnknownAuthnComparisonMethodError < StandardError; end

data/spid.gemspec

@@ -26,6 +26,7 @@ Gem::Specification.new do |spec|
 
   spec.add_runtime_dependency "activesupport", ">= 3.0.0", "< 5.3"
   spec.add_runtime_dependency "rack", ">= 1", "< 3"
+  spec.add_runtime_dependency "rake", ">= 10.0", "< 13"
   spec.add_runtime_dependency "xmldsig", ">= 0.6.6"
 
   spec.add_development_dependency "bundler", "~> 1.16"
@@ -36,7 +37,6 @@ Gem::Specification.new do |spec|
   spec.add_development_dependency "nokogiri", "~> 1.8", ">= 1.8.3"
   spec.add_development_dependency "pry", "~> 0"
   spec.add_development_dependency "pry-doc", "~> 0"
-  spec.add_development_dependency "rake", "~> 10.0"
   spec.add_development_dependency "rspec", "~> 3.0"
   spec.add_development_dependency "rubocop", "0.57.2"
   spec.add_development_dependency "rubocop-rspec", "1.27.0"

metadata

@@ -1,14 +1,14 @@
 --- !ruby/object:Gem::Specification
 name: spid
 version: !ruby/object:Gem::Version
-  version: 0.15.2
+  version: 0.16.0
 platform: ruby
 authors:
 - David Librera
 autorequire: 
 bindir: bin
 cert_chain: []
-date: 2018-08-31 00:00:00.000000000 Z
+date: 2018-09-05 00:00:00.000000000 Z
 dependencies:
 - !ruby/object:Gem::Dependency
   name: activesupport
@@ -50,6 +50,26 @@ dependencies:
     - - "<"
       - !ruby/object:Gem::Version
         version: '3'
+- !ruby/object:Gem::Dependency
+  name: rake
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: '10.0'
+    - - "<"
+      - !ruby/object:Gem::Version
+        version: '13'
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: '10.0'
+    - - "<"
+      - !ruby/object:Gem::Version
+        version: '13'
 - !ruby/object:Gem::Dependency
   name: xmldsig
   requirement: !ruby/object:Gem::Requirement
@@ -182,20 +202,6 @@ dependencies:
     - - "~>"
       - !ruby/object:Gem::Version
         version: '0'
-- !ruby/object:Gem::Dependency
-  name: rake
-  requirement: !ruby/object:Gem::Requirement
-    requirements:
-    - - "~>"
-      - !ruby/object:Gem::Version
-        version: '10.0'
-  type: :development
-  prerelease: false
-  version_requirements: !ruby/object:Gem::Requirement
-    requirements:
-    - - "~>"
-      - !ruby/object:Gem::Version
-        version: '10.0'
 - !ruby/object:Gem::Dependency
   name: rspec
   requirement: !ruby/object:Gem::Requirement
@@ -312,6 +318,9 @@ files:
 - idp_metadata/.gitkeep
 - lib/spid.rb
 - lib/spid/configuration.rb
+- lib/spid/generators.rb
+- lib/spid/generators/install_generator.rb
+- lib/spid/generators/templates/spid.rb
 - lib/spid/identity_provider_manager.rb
 - lib/spid/metadata.rb
 - lib/spid/rack.rb
@@ -321,6 +330,7 @@ files:
 - lib/spid/rack/session.rb
 - lib/spid/rack/slo.rb
 - lib/spid/rack/sso.rb
+- lib/spid/railtie.rb
 - lib/spid/saml2.rb
 - lib/spid/saml2/authn_request.rb
 - lib/spid/saml2/identity_provider.rb
@@ -345,6 +355,10 @@ files:
 - lib/spid/sso.rb
 - lib/spid/sso/request.rb
 - lib/spid/sso/response.rb
+- lib/spid/synchronize_idp_metadata.rb
+- lib/spid/tasks.rb
+- lib/spid/tasks/certificate.rake
+- lib/spid/tasks/fetch_idp_metadata.rake
 - lib/spid/version.rb
 - spid.gemspec
 homepage: https://github.com/italia/spid-ruby