Hej,
Hoppas ni alla har haft en trevlig semester och välkomna tillbaka.
Tänkte påminna om att ni som använder Shibboleth IdP och ännu inte
uppgraderat till version 5 måste göra detta snarast. Se nedan för mer
information.
Pål
Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg
påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity
Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är
det dags att uppgradera till en nyare huvudversion eftersom den tidigare
huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl
alltid viktigt att endast använda aktuella och underhållna versioner av
programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För
er som använder Shibboleth Identity Provider finns det två sätt att
hantera att näst senaste huvudversion blir End-of-Life, antingen genom
att uppgradera till version 5, att byta till annan programvara än
Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit
<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>,
eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare
i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut
senast under november 2024 och genomför helst arbetet i god tid. Vi
uppmanar er därför att aktivt delta på webinar och diskussionsmöten
under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än
uppgradering inom samma huvudversion och det är därför särskilt viktigt
att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er
information om hur ni både förbereder och genomför uppgraderingen på ett
bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för
användarkonton och ett administrativt gränssnitt för att koppla dessa
till organisationen.
SWAMID finns som stöd i uppdateringen
Under våren genomförde SWAMID ett webinar om hur man genomför
uppdateringen och detta finns inspelat och tillgängligt på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering….
Torsdagen den 29 augusti kör vi igång med de öppna frågestuderna igen
och nu när vi passerar datumet för end-of-life kommer de att hållas
varje vecka. Se
https://wiki.sunet.se/pages/viewpage.action?pageId=185139336 för mer
information. På wikisidan finns även en länk till kalenderhändelse som
innehåller alla tillfälle som frågestudenn kommer att hållas.
Hej!
Jag har försökt implementera MFA i shibboleth med TOTP. Jag skickar i
bilagan dokumentationen hur jag gjort.
I slutet av dokumentationen ser ni problemet jag stöter på. Jag antar
att en del av er redan implementerat MFA med lyckat resultat och kanske
kan se något uppenbart fel i konfigurationen.
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej.
Nu har vi infört en ny funktion i Metadata.swamid.se <http://metadata.swamid.se/> , detta gäller i första hand för er som är IdP admins.
Alla lärosäten som har en IdP i SWAMID har en Identity Management Practice Statement (IMPS) och denna skall kontrolleras minst en gång per år.
I AL profilerna står följande under 3.2 "The Member Organisation MUST annually confirm that their Identity Management
Practice Statement is still accurate.”
Vi har nu börjat kontrollera om detta är gjort och ni kan se på er IdP när den senast kontrollerades.
För att inte införa ytterligare roller har beslutat att IdP:admins får rättigheten att flagga att lärosätet:s IMPS fortfarande är korrekt och vilka IdP:er den är bunden till.
Just nu flaggas det som error / warning baserat på tiden sedan senaste kontroll. Vi kommer senare att börja maila ut påminnelser och dessa går då till Admin-kontakten för IdP:erna samt de som har redigeringsbehörighet på IdP:erna.
// Björn M.
Hej,
SWAMID BOard of Trustees har haft möte idag och protokollet finns
publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-09-27.
På dagens möte beslutades om nya godkända metoder för att identifiera
betrodd part i videoverifiering på AL2-nivå. För mer information se
https://wiki.sunet.se/pages/viewpage.action?pageId=99713193.
Vidare beslutades att de fem lärosäten som skickat in uppdateringar av
sina Identity Management Practice Statement fick dessa godkända.
Som informationspunkter fanns Shibboleth Identity Provider version 4
end-of-life, aktuell status på uppdatering av tillitsprofiler och
förändringa i eduID.
Trevlig helg
Pål
Hej!
Vårt bibliotek vill föra in en ny applikation från VLEBooks.
Ser inte i metadatat att de har konfigurerat någon entitetskategorie och på fråga så vill de att man ska använda sig av personlized.
Är det någon mer som har denna leverantör och har ni då satt upp ett eget attributfilter för dem?
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej,
Igår (25/9) kl 14:57 lyckades en person verifiera sig via inloggning mot antagning.se i vår ID-portal. Vid nästa försök, kl 17:54 får vi plötsligt följande fel från SAML-biblioteket vi använder (Sustainsys):
Encrypted Assertion(s) could not be decrypted using the configured Service Certificate(s)
Vi har inte gjort några som helst ändringar på vår sida (certet expirerar 2032). Är det någon annan som fortfarande använder sig av antagning.se som IdP som märkt något konstigt?
(För protokollet så är BankID och eduID de primära metoderna hos oss nu men det finns fortfarande några enstaka som väljer antagning.se verkar det som)
Med vänliga hälsningar,
//dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
www.du.se<http://www.du.se> | +46 23 778000
Hej!
<OFFTOPIC>
Detta är så off topic det bara går så om ni har ett svar till mig skicka det som ett svar direkt till mig och inte till listan.
För er andra ber jag så mycket om ursäkt och hoppas ni kan titta på bort en liten stund. (🙂Oh, titta därborta. En hök!)
Det är några enkla frågor jag försöker få fram lite svar åt mina chefer och jag ställer frågan till er som har arbetplats som har en virtualiseringplattform on-premise.
Vad är det för produkter ni använder er av? Vad har ni för erfarenheter av dessa?
Tack så mycket till er som svarar
</OFFTOPIC>
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Att kunna bekräfta sin identitet med digitala identiteter även för de
utanför Sverige och eIDAS-länderna har varit efterlängtat. Vi slog av den
funktionen i eduID innan sommaren på grund av att vi blev tvungna avbryta
avtalet med leverantören. Men funktionen är nu åter igång igen.
Verifiering med pass kan var en dyr historia om man ska vara säker på att
leverantören gör det på ett sätt vi kan lita på. Vi har nu ett avtal vi är
nöjda med som när de är klara med sina förberedelser täcker in alla länder
som ger ut resehandlingar med de tekniska förusättningar som krävs, vilket
innebär att vi kan få en bekräftad identitet från alla länder
överhuvudtaget teoretiskt kan hjälpa till med digital onboarding.
Vi använder oss av Freja eID. Verifieringen går, som tidigare, till genom
att man skapar upp ett konto hos leverantören med en mobiltelefon, läser in
resehandlingen med NFC (pass, eller nationellt ID-kort), en jämförelse med
informationen ur passet görs mot den person som håller i telefonen. När
kontot där är skapat så kan det användas för att inuti eduID genomföra en
bekräftelseprocess där vi får till oss information om den riktiga
identiteten.
Freja eID har följande lista över länder de kommer ha stöd för verifiering
från. De lägger till länder kontinuerligt, de som är markerade med stjärna
är ännu inte aktiverade hos Freja eID, men de planerar att alla är tillagda
under hösten.
https://frejaeid.com/en/freja-supported-countries/
*Europe*
- *All EU/EEA countries*
- Albania
- Andorra
- Belarus*
- Bosnia & Herzegovina
- Moldova
- Monaco
- Montenegro
- North Macedonia
- San Marino
- Serbia
- Switzerland
- Ukraine
- United Kingdom
*Asia*
- Armenia*
- Azerbaijan*
- Bahrain*
- Bangladesh
- China (People’s Republic)
- Georgia
- India
- Indonesia
- Iran*
- Iraq*
- Israel*
- Japan
- Kazakhstan
- Kuwait*
- Lebanon*
- Malaysia
- Maldives*
- Mongolia*
- Nepal*
- North Korea*
- Oman*
- Palestine*
- Philippines
- Qatar*
- Saudi Arabia*
- Singapore
- South Korea
- Syria*
- Tajikistan*
- Taiwan (Republic of China)
- Thailand
- Timor-Leste*
- Turkey
- Turkmenistan*
- United Arab Emirates
- Uzbekistan*
- Vietnam*
*North & South America*
- Antigua and Barbuda*
- Argentina
- Bahamas*
- Barbados*
- Belize*
- Brazil
- Canada
- Chile
- Colombia
- Costa Rica*
- Dominica*
- Ecuador*
- Jamaica*
- Mexico
- Panama
- Paraguay
- Peru
- Saint Kitts and Nevis*
- Saint Vincent and the Grenadines*
- United States
- Uruguay
*Africa*
- Algeria
- Benin*
- Botswana*
- Cameroon*
- Côte d’Ivoire*
- Gambia*
- Ghana*
- Kenya*
- Morocco
- Nigeria*
- Rwanda*
- Senegal*
- Seychelles*
- Tanzania*
- Uganda*
- Zimbabwe*
*Oceania*
- Australia
- New Zealand
*Other Territories and Dependencies*
- American Samoa*
- Antarctica*
- Aruba*
- Bermuda*
- Bouvet Island*
- Bonaire, Sint Eustatius and Saba*
- Cayman Islands*
- Cocos (Keeling) Islands*
- Christmas Island*
- Curaçao*
- Faroe Islands*
- French Guiana*
- French Polynesia*
- French Southern Territories*
- Gibraltar
- Greenland*
- Guadeloupe*
- Guam*
- Guernsey*
- Heard Island and McDonald Islands*
- Holy See*
- Hong Kong
- Isle of Man*
- Jersey*
- Macau*
- Martinique*
- New Caledonia*
- Norfolk Island*
- Northern Mariana Islands*
- Pitcairn Islands*
- Puerto Rico*
- Réunion*
- Saint Barthélemy*
- Saint Martin*
- Saint Pierre and Miquelon*
- Sint Maarten*
- South Georgia and the South Sandwich Islands*
- Svalbard and Jan Mayen*
- Tokelau*
- United States Minor Outlying Islands*
- United States Virgin Islands*
- Wallis and Futuna*
- Western Sahara*
- Åland (Autonomous Region)
Hej!
Som tidigare annonserats så ersätts SWAMID Testing med SWAMID QA [0]. Tidigare under eftermiddagen idag så raderades alla metadata-flöden tillhörande SWAMID Testing så nu är det enbart QA som gäller.
[0] https://wiki.sunet.se/pages/viewpage.action?pageId=166330502
--
jocar
SWAMID Operations
Hej alla SAML-gurus.
Vi har på Örebro universitet påbörjat arbetet med att ersätta vår gamla Shibboleth-IdP (version 4.x) med en ny 5.1.3 och allt har gått bra och vi är nästan redo att byta ut https://idp.oru.se mot https://shib-idp-1.oru.se, men vi har en detalj kvar att lösa. Återautentisering fungerar inte.
Den gamla IdP:n är en Gluu Server som består av flera paketerade komponenter, bl.a Shibboleth IdP 4.3.1?, OpenDJ (LDAP-server) och Passport.js. Passport.js används för OpenIDConnect, både som OP (mot Shibboleth-servrarna) och RP (för autentisering mot Entra och Freja eID+).
Målsättningen vi har är att sätta upp den nya IdP:n och använda oss av OIDC för autentisering mot den gamla IdP:n och inaktivera den inbyggda Shibboleth-IdP:n.
För att få OIDC att fungera har vi installerat de plugins som behövs och konfigurerat så att det fungerar som vi vill. Autentisering fungerar perfekt, men som sagt, återautentisering fungerar inte.
Det som händer vid återautentisering är att man, som förväntat, tvingas autentisera igen men när det är klart landar man på inloggningssidan igen.
Det verkar som att vår OIDC OP inte vet var man ska omdirigeras efter lyckad återautentisering men vi hittar inga fel i några loggar och på vår nya IdP händer ingenting i loggen efter att man omdirigerades till OP:n.
En skillnad mellan vår nya IdP och den gamla är att vi nu använder oss av net.shibboleth.idp.plugin.oidc.xxx för att delegera autentisering till Passport.js istället för Gluu's oxAuth saml-passport.
Vi gissar att vi är ganska ensamma om denna setup men hoppas att någon annan kanske har erfarenheter gällande Shibboleth-IdP 5.x och OIDC och kanske har stött på liknande problem.
Med vänliga hälsningar
Jonny Ehrnberg och Tomas Liljebergh
