SPID – SISTEMA PUBBLICO PER L’IDENTITA’ DIGITALE Avviso nr. 11
12 novembre 2018
REGOLAMENTO RECANTE LE REGOLE TECNICHE
In considerazione che le specifiche SAML Core 2.0definiscono il valore dell'attributo Destination:
[...] A URI reference indicating the address to which this request has been sent. This is useful to prevent malicious forwarding of requests to unintended recipients, a protection that is required by some protocol bindings. If it is present, the actual recipient MUST check that the URI reference identifies the location at which the message was received. If it does not, the request MUST be discarded. Some protocol bindings may require the use of this attribute [...]
Verificato che le regole tecniche SPID [Sez. 1.2.2.1] definiscono il valore dell'attributo Destination:
[...] L'attributo Destination, a indicare l'indirizzo (URI reference) dell’Identity provider a cui è inviata la richiesta, come risultante nell'attributo entityID presente nel metadata IdP dell’IdentityProvider a cui viene inviata la richiesta [...]
Per limitare l'impatto del conflitto sulle implementazioni, si richiede agli identity provider SPID di supportare l’attributo Destination come descritto in entrambe le definizioni.
Il Responsabile del progetto SPID