Hallå,
Trevlig midsommar!
Kan du titta i din kalender och se vilka tider som passar för ett BoT-möte
under de två sista veckorna i oktober. Ska skapa en Doodle.
Pål
*From:* Hans Wohlfarth <hansw(a)kth.se>
*Sent:* Thursday, June 22, 2023 11:32 AM
*To:* Pål Axelsson <pax(a)sunet.se>; saml-admins(a)lists.sunet.se
*Subject:* RE: [Swamid-bot] SWAMID Board of Trustees 2023-06-21
Härligt!
Glad midsommar!
Hans Wohlfarth
*From:* Pål Axelsson <pax(a)sunet.se>
*Sent:* den 21 juni 2023 17:01
*To:* saml-admins(a)lists.sunet.se
*Subject:* [Swamid-bot] SWAMID Board of Trustees 2023-06-21
Hej på er alla,
Så här precis innan midsommar firas hölls årets andra möte med SWAMID Board
of Trustees. På mötet godkändes en stor mängd IMPS-uppdateringar, t.ex. 8
lärosäten som börjar använda svensk e-legitimation i
kontohanteringsprocesserna och att Sunet börjar använda den nya tjänsten
eduID Connect såsom sin identitetsutgivare. För mer information se
protokollet på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2023-06-21.
Följande 17 lärosäten är idag godkända för att använda svens e-legitimation
i sin kontohanteringsprocess:
- Karlstads universitet (2022-06-03)
- Linköpings universitet (2022-06-03)
- Lunds universitet (2022-06-03)
- Högskolan Väst (2022-11-30)
- Konstfack (2022-11-30)
- Sophiahemmet högskola (2022-11-30)
- Sveriges Lantbruksuniversitet (2022-11-30)
- Mittuniversitet (2023-04-06)
- Umeå universitet (2023-04-06)
- Högskolan i Borås (2023-06-21)
- Högskolan i Jönköping (2023-06-21)
- Karolinska Institutet (2023-06-21)
- Linnéuniversitetet (2023-06-21)
- Luleå tekniska universitet (2023-06-21)
- Malmö universitet (2023-06-21)
- Södertörns högskola (2023-06-21)
- Uppsala universitet (2023-06-21)
Följande 2 lärosäten är idag godkända för att använda eduID och riskbaserad
bedömning för AL2 för personer utan svenskt personnummer:
- Malmö universitet (2023-06-21)
- Sveriges lantbruksuniversitet (2023-06-21)
Glöm inte att uppdatera och skicka in er IMPS om och när ni gör
förändringar i era kontohanteringsprocesser framöver.
Trevlig sommar
Pål
Hej på er alla,
Så här precis innan midsommar firas hölls årets andra möte med SWAMID Board
of Trustees. På mötet godkändes en stor mängd IMPS-uppdateringar, t.ex. 8
lärosäten som börjar använda svensk e-legitimation i
kontohanteringsprocesserna och att Sunet börjar använda den nya tjänsten
eduID Connect såsom sin identitetsutgivare. För mer information se
protokollet på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2023-06-21.
Följande 17 lärosäten är idag godkända för att använda svens e-legitimation
i sin kontohanteringsprocess:
- Karlstads universitet (2022-06-03)
- Linköpings universitet (2022-06-03)
- Lunds universitet (2022-06-03)
- Högskolan Väst (2022-11-30)
- Konstfack (2022-11-30)
- Sophiahemmet högskola (2022-11-30)
- Sveriges Lantbruksuniversitet (2022-11-30)
- Mittuniversitet (2023-04-06)
- Umeå universitet (2023-04-06)
- Högskolan i Borås (2023-06-21)
- Högskolan i Jönköping (2023-06-21)
- Karolinska Institutet (2023-06-21)
- Linnéuniversitetet (2023-06-21)
- Luleå tekniska universitet (2023-06-21)
- Malmö universitet (2023-06-21)
- Södertörns högskola (2023-06-21)
- Uppsala universitet (2023-06-21)
Följande 2 lärosäten är idag godkända för att använda eduID och riskbaserad
bedömning för AL2 för personer utan svenskt personnummer:
- Malmö universitet (2023-06-21)
- Sveriges lantbruksuniversitet (2023-06-21)
Glöm inte att uppdatera och skicka in er IMPS om och när ni gör
förändringar i era kontohanteringsprocesser framöver.
Trevlig sommar
Pål
Hej,
Nu i veckan utökade BankID funktionaliteten i Mobilt BankID på så sätt att
det går att läsa in en resehandling (svenskt pass eller nationellt
identitetskort) och sedan använda detta som legitimation av de
organisationer som accepterar det som legitimation.
Inom SWAMID:s tillitsnivå 3 och 4 är det definierat att de svenska
identitetshandlingar som är godkända vid användarbekräftande i SWAMID är
samma som polisen godkänner vid ansökan och utfärdande av svensk
resehandling. Polisen har nu tydligt meddelat på sidan
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/besok-pas…
att endast fysiska id-handlingar kan användas. Detta betyder att BankID:s
nya lösning inte är en godkänd id-handling för bekräftande av användare
inom SWAMID.
Pål
Hej på er alla!
Jag fick idag reda på att IdP:n som används för kontaktivering från
Antagning.se numera skickar ut (iterims)personnummer på studenter som är
obekräftade i antagningssystemet, dvs. endast uppfyller SWAMID AL1. Det är
därför viktigt att ni (som jag skrev den 10 februari) kontrollerar
tillitsnivå för personen i attributet eduPersonAssurance i era
kontoaktiveringstjänster. Glöm inte att ni även formellt måste i metadata
kontrollera att aktuell tjänst är godkänd för respektive tillitsnivå, se
https://wiki.sunet.se/display/SWAMID/3.3+Configure+Shibboleth+SP+-+Check+fo…
för mer information.
Vad vi vet om förändringen i IdP:n för Antagning.se:
- I slutet av mars började tillitsnivå via eduPersonAssurance signaleras.
- I slutet på april byttes värdet för eduPersonPrincipalName från
(interims)personnummer(a)antaging.se till psedonym(a)antagning.se.
- I början på maj började norEduPersonNin även innehålla värden för
personer som är obekräftade (SWAMID AL1).
Trevlig sommar
Pål
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: Philip Smart via announce <announce(a)shibboleth.net>
> Subject: OIDCCommon V2.2.1 now available
> Date: 13 June 2023 at 17:35:59 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: Philip Smart <Philip.Smart(a)jisc.ac.uk>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released V2.2.1 of the OIDCCommon plugin.
>
> The new version was needed to fix two issues related to auditing in the OP and attribute transcoding in the RP. See the release notes at [1].
>
> — Phil Smart, on behalf of the team
>
> [1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3232137218/OI…
>
> Jisc is a registered charity (number 1149740) and a company limited by guarantee which is registered in England under company number. 05747339, VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Services Limited is a wholly owned Jisc subsidiary and a company limited by guarantee which is registered in England under company number 02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company limited by shares which is registered in England under company number 09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> For more details on how Jisc handles your data see our privacy notice here: https://www.jisc.ac.uk/website/privacy-notice
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom
/Paul
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Service Provider Security Advisory [12 June 2023]
Date: 2023-06-12 14:34:44
Shibboleth Service Provider Security Advisory [12 June 2023]
An updated version of the XMLTooling library that is part of the
OpenSAML and Shibboleth Service Provider software is now available
which corrects a server-side request forgery (SSRF) vulnerability.
Parsing of KeyInfo elements can cause remote resource access.
=============================================================
Including certain legal but "malicious in intent" content in the
KeyInfo element defined by the XML Signature standard will result
in attempts by the SP's shibd process to dereference untrusted
URLs.
While the content of the URL must be supplied within the message
and does not include any SP internal state or dynamic content,
there is at minimum a risk of denial of service, and the attack
could be combined with others to create more serious vulnerabilities
in the future.
This issue is *not* specific to the V3 XMLTooling software and is
believed to impact all versions prior to V3.2.4.
Recommendations
===============
Update to V3.2.4 or later of the XMLTooling library, which is
now available. Note that on Linux and similar platforms, upgrading
this component will require restarting the shibd process to correct
the bug.
The updated version of the library has been included in a V3.4.1.3
patch release of the Service Provider software on Windows.
Other Notes
===========
The xmltooling git commit containing the fix for this issue is
6080f6343f98fec085bc0fd746913ee418cc9d30 and may be in general terms
applicable to V2 of the library.
Credits
=======
Juriën de Jong, an independent security researcher in the Netherlands
URL for this Security Advisory:
https://shibboleth.net/community/advisories/secadv_20230612.txt
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Kan någon hjälpa mig förstå varför jag inte lyckas släppa norEduPersonLIN ordentligt till vår nya portal?
I Shibboleths debuglog får jag
2023-03-07 12:39:22,343 - DEBUG [net.shibboleth.idp.saml.profile.impl.BaseAddAttributeStatementToAssertion:321] - Profile Action AddAttributeStatementToAssertion: Attribute norEduPersonLIN does not have any transcoding rules, nothing to do|0:0:0:0:0:0:0:1|
Vår attribute-resolver.xml:
<AttributeDefinition xsi:type="ScriptedAttribute" id="norEduPersonLIN" xmlns="urn:mace:shibboleth:2.0:resolver">
<InputDataConnector ref="myLDAP" attributeNames="someADattribute" />
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:norEduPersonLIN" />
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN" />
<Script>
<![CDATA[
if (typeof someADattribute != "undefined" && someADattribute.getValues().size() > 0) {
value=someADattribute.getValues().get(0);
norEduPersonLIN.getValues().add("ladok.se:studentuid:" + value).toString;
}
]]>
</Script>
</AttributeDefinition>
Vår attribute-filter.xml:
<AttributeFilterPolicy id="releaseXXXXX">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://studen" />
<Rule xsi:type="Requester" value="https://studenu.se" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="norEduPersonLIN" >
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Vad jag tycker är konstigt är att vi gör i princip samma sak för norEduPersonNIN och det fungerar till flera SP utan problem. Vad gör jag för fel?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
Förutom spamfiltreringsproblemet så har vi också upptäckt att Sunets
mailfilter avslår all e-post som innehåller wordbilagor om de innehåller om
den mall som används för filen är en s.k. remote template. Detta för att
denna typ av mallar används av malware.
När ni ska skicka in bilagor till operations, t.ex. vid uppdatering av
organisationens Identity Management Practice Statement (IMPS),
rekommenderar vi att ni skickar dem i PDF-format istället för som wordfiler.
Pål
Hej,
Om ni väntar på svar från SWAMID Operations via adressen
operations(a)swamid.se och inte fått något svar ber jag er kontrollera era
spamfoldrar. Vi har fått reda på att t.ex. e-post som passerar Microsofts
molntjänst spamhanteras. Vi håller på att titta på orsaken till detta och
gör nödvändiga justeringar.
Pål
