Hej!
Jag vill bara höra med er då jag inte har så mycket information eller erfarenhet runt ORCID.
Har en användare som säger sig ha problem att logga in via ORCID (organisationsinloggning) och nu undrar jag om det är någon som har möjlighet att testa via er egna organisation
för att se om det fungerar?
För vad jag har förstått så ska jag inte behöva göra något speciellt på min IDP. (utöver de inställningar som finns i exemplen på swamid-wikin)
Förvirrade hälsningar,
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructur
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<http://www.miun.se/en/personaldata>
Hej,
*Detta brev gäller alla som använder antagning.se <http://antagning.se> för
studentkontohantering!*
För ett år sedan blev identitetsutfärdaren för antagning.se godkänd med
tillitsnivåerna SWAMID AL1 och SWAMID AL2 och 5:e september i år började
den att korrekt signalera tillitsnivån SWAMID AL2 via eduPersonAssurance
för bekräftade användare. Detta betyder att det särskilda undantag som
funnits när det gäller antagning.se inte längre gäller.
Vad betyder detta för mig som använder antagning.se för att aktivera och
genomföra lösenordsåterställningar via antaging.se? I korthet betyder detta
att ni snarast behöver justera era rutiner för att säkerställa att det är
en bekräftad användare på antagning.se som loggar i er
kontohanteringsstjänst. Tidigare har det räckt med att kontrollera att ni
får personnummer via attributet norEduPersonNIN från antagning.se för att
veta att det är en bekräftad person men nu behöver ni istället kontrollera
att ni får SWAMID AL2 i attributet eduPersonAssurance (samt i vanlig
ordning i assurance-certification i metadata).
För att eventuellt UHR ska kunna ta nästa steg och börja signalera
interimspersonnummer och SWAMID AL1 för personer utan svenskt personnummer
måste ni alla genomföra denna förändring senast 31 mars. Denna förändring
medför förhoppningsvis att ni framöver kommer att kunna låta
utbytesstudenter använda antagning.se för att aktivera sina studentkonton
på lärosätet. Detta kräver dock att ni har AL1-rutiner beskrivna och
godkända i er av SWAMID godkända Identity Management Practice Statement
(IMPS).
SWAMID Operations
Pål Axelsson
Hej,
Under 2022 har SWAMID arbetat med att förbättra kvalitén på publicerad
metadata för registrerade identitetsutfärdare och tjänster. Idag finns det
inga identitetsutfärdare som inte uppfyller SWAMIDs krav men det finns för
ögonblicket runt 70 tjänster som inte gör det även om vi försökt kontakta
dem alla ett flertal gånger. Inga sunettjänster finns kvar i den
kvarvarande listan!
Nu på måndag kommer vi att avregistrera alla tjänster som inte uppfyller
kraven i SWAMIDs regelverk och inom ett dygn kommer användarna få problem
att logga in i dessa. Om ni upptäcker problem ska ni hänvisa tjänsten till
operations(a)swamid.se. Vi har beredskap för att hantera frågorna samt hjälpa
till med handledning för hur man löser problemet.
De enda två undantagen vi gör är för tjänsterna ProjectPlace och Egencia.
Dessa byter entitetskategori för att få behövda attribut till REFEDS
Personalized Entity Category från SWAMIDs gamla entitetskategori SWAMID
Research and Education. Orsaken till undantaget är att ni som har
identitetsutgivare ska hinna få in stöd för den nya entitetskategorin.
Undantaget gäller fram till 28 februari!
Pål Axelsson
Hej
På dagens möte tog jag upp ett problem med inloggning till SDN som jag efter dagens session fick tillräckligt med info om för att kunna felsöka.
Det visade sig att jag hade <eduPersonPrincipalNameRessignable>true</eduPersonPrincipalNameRessignable> i config.SWAMID.xml vilket i vårt fall är fel då vi inte återanvänder samAccountName som vi använder för att bygga ePPN. När jag ändrat till <eduPersonPrincipalNameRessignable>false</eduPersonPrincipalNameRessignable> och importerat på nytt med
Import-AdfsTkMetadata -EntityId https://sp.snd.gu.se/module.php/saml/sp/metadata.php/default-sp -ConfigFile C:\ADFSToolkit\config\institution\config.swamid.xml -ForceUpdate
Så fungerar det som det skall. Vår ADFS släpper nameid-format:transient som den skall. (måste dock erkänna att jag inte riktigt förstår sambandet 😉 )
Mvh
Anders Persson
Systemarkitekt
Ekonomi och verksamhetsstöd - EoV
IT
D: +46 10 516 56 48 | V: +46 10 516 50 00
anders.persson(a)ri.se<mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se<http://ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
Hej,
Ni som använder Shibboleth, antingen som IdP, SP eller bägge, får gärna
svara på denna enkät. Det är ett sätt för Shibboleth konsortiet att få
reda på mer om hur de ska jobba vidare med produkterna.
Pål
> -----Original Message-----
> From: members <members-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott
> Sent: Wednesday, January 11, 2023 6:12 PM
> To: Shibboleth Consortium Members <members(a)shibboleth.net>
> Subject: Shibboleth Consortium Survey
>
> Hi,
>
> The Consortium Board asked me to circulate this to the membership, and
I'll
> be sending this to users afterward to cast a wider net.
>
> The Consortium has put together a survey to gather feedback about
current
> and future state of the project and the consortium, and we're hoping to
get
> as much feedback as we can, so your help is appreciated.
>
> In the case of NRENs, circulating this to your own membership would be
> welcome and appreciated.
>
> https://online1.snapsurveys.com/shibboleth
>
> Thanks.
> -- Scott
>
>
> _______________________________________________
> members mailing list
> members(a)shibboleth.net
> https://shibboleth.net/mailman/listinfo/members
FYI
Happy upgrading!
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V4.3.0 now available
> Date: 18 January 2023 at 17:48:34 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project is pleased to announce that the latest upgrade to the IdP is now available [1]. Please review the Release Notes for any pertinent information. [2]
>
> This is a minor release that is fully compatible with previous V4 releases, but does include some additional deprecation warnings in advance of the release of V5, which will be removing a number of features and APIs.
>
> One particular change can result in a number of warnings, particularly when using older versions of some plugins, so those plugins have been adjusted to report themselves incompatible with V4.3, and we have altered the documentation to suggest that people upgrade any plugins first, prior to applying this upgrade, to limit the noise encountered.
>
> We expect this to be the final release of the V4 branch, barring security issues, with all further work shifting to V5.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
För kännedom för er som har tjänster med användare från Ryssland kommer de
två ryska identitetsfederationerna uteslutas från eduGAIN nu på fredag.
Ryska användare som har loggat in via dessa ska inte heller kunna logga in
via SWAMID. Hänvisa inte dessa användare till eduID för att komma runt
sanktionskraven.
"Today the eduGAIN Secretariat informed RUNNET AAI and FEDURUS of a
decision made by the eduGAIN Executive Committee[1].
Due the requirements set out in Article 5l1 of COUNCIL REGULATION (EU)
2022/576 [2], the Committee has decided to remove RUNNET AAI and FEDURUS
memberships from eduGAIN as this is deemed to be direct support of
organisations within Russia to whom sanctions apply. The metadata of both
federations will be removed from the eduGAIN aggregation at 17:00
CET on Friday 20th January 2023.
The representatives of both federations have already been removed from the
edugain-sg mailing list.
[1] As eduGAIN is currently funded by the GÉANT project, the eduGAIN
Executive Committee is the GÉANT Board.
[2]
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R0576&fr…
"
Pål
SWAMID Hackaton 26 januari - Konfigurera de nya entitetskategorierna i ADFS
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+26+januari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i ADFS för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName. Senaste versionen av ADFS
Toolkit behövs för att de nya entitetskategorierna och attributen ska
fungera. Vid behov ingår också uppgraderingsstöd under hackatonet.
*Målgrupp*
Detta hackaton riktar sig till er som har en ADFS identitetutgivare (IdP)
registrerade i SWAMID.
*Datum & tid*
Torsdagen den 26 januari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/65070997766?pwd=WDhUOEdZL1A5YnJIKzFxZW5ZQ2xxUT09
*Handledare*
Johan Peterson och Tommy Larsson
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
SWAMID Hackaton 1 februari - Konfigurera de nya entitetskategorierna i
Shibboleth IdP
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+1+februari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i Shibboleth IdP för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName.
*Målgrupp*
Detta hackaton riktar sig till er som har en Shibboleth identitetutgivare
(IdP) registrerade i SWAMID.
*Datum & tid*
Onsdagen den 1 februari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/66959995672?pwd=SEhDVUtHNnBzTEhJYXlRNnBtU3JkUT09
*Handledare*
Paul Scott, Björn Mattsson och Johan Wassberg
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
God fortsättning!
För kännedom, se nedan.
--
jocar
> A patch release of the Service Provider, V3.4.1, is now available [1][2]. This release fixes a couple of small bugs and adds a warning requested by one of our member organizations in the absence of the redirectLimit setting, which leads to SPs being abused as open redirectors.
>
> Notably, this release includes an update to the xmltooling library that hardens the code base against the sorts of attacks reported against the IdP in the recent advisory. The SP is, as far as can be determined, not impacted directly by that vulnerability, but this is a precautionary change.
>
> The Windows update also includes a change to restrict the ACLs on the /opt/shibboleth-sp directory when the default installation path is used, to limit some privilege escalation attacks due to overly permissive ACLs.
>
> The documentation has been updated to reflect this change [3], but we continue to observe that ultimately the responsibility for securing the file system lies with the deployer. We also urge caution and testing for those using IIS since the changes to the ACLs could prevent unusual IIS configurations from functioning without adjusting those ACLs.
>
> Packages have been pushed to at least a couple of the mirrors, but as has been typical, I'm not able to update all of them due to firewall changes, which I will follow up on.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/service-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335693
> [3] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335545
