Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entitet har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-06-04:
https://uuu.mira.se/Saml2/
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej.
För kännedom till er som kör Shibboleth IdP på Windows.
Inget akut att uppdatera mer om ni vill ha en lite fräshare jetty :-)
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Jetty for Windows installer updated to 12.0.20
> Date: 12 May 2025 at 16:35:23 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> There was a DoS vulnerability [1] in Jetty when HTTP/2 is enabled, which isn't really something we support in our packaging for Windows, but out of caution we have refreshed it to 12.0.20 as it was fairly stale anyway. [2]
>
> Monitoring that download point is the main way to keep track but as always, running (and patching) your own container is strongly advised.
>
> -- Scott
>
> [1] https://www.eclipse.org/lists/jetty-announce/msg00198.html
> [2] https://shibboleth.net/downloads/identity-provider/jetty-windows/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej!
Enligt dokumentation här
https://wiki.geant.org/pages/viewpage.action?spaceKey=TCSNT&title=TCS+2025+…
så kräver Harica följande attribut:
givenName (oid:2.5.4.42)
surname (oid:2.5.4.4)
mail (oid:0.9.2342.19200300.100.1.3)
edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
Men jag har problem att få iväg attributet edupersonTargetedID till Harica.
I attribute-filter har jag följande:
<AttributeFilterPolicy id="Harica">
<PolicyRequirementRule xsi:type="Requester"
value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grn…"
/>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="edupersonTargetedID">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="tcsPersonalEntitlement">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonPrimaryAffiliation">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
I attribute-resolver:
<AttributeDefinition xsi:type="SAML2NameID"
xmlns="urn:mace:shibboleth:2.0:resolver" id="edupersonTargetedID"
nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
<InputDataConnector ref="StoredId" attributeNames="persistentId"/>
<AttributeEncoder xsi:type="SAML1XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
<AttributeEncoder xsi:type="SAML2XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10"
friendlyName="edupersonTargetedID" />
</AttributeDefinition>
När jag loggar in så skickas attributet edupersonTargetedID enligt
bilaga, men det ser ut som Harica vägrar att ta emot detta då jag får
felmeddelande:
Cannot create your account
Your Identity Provider (IdP) does not provide HARICA with the
appropriate info (attributes) for your account.
Please contact your IdP, to fix this issue.
Testade även med https://cm.harica.gr/loginsaml/test.php och då får jag
att dessa attibut kommer fram (trots att attributen skickas enligt
bilaga alltså):
eduPersonPrincipalName: matsl(a)irf.se
schacHomeOrganization: irf.se
sn: Luspa
eduPersonEntitlement: urn:mace:terena.org:tcs:personal-user
eduPersonPrimaryAffiliation: The Swedish Institute of Space Physics
givenName: Mats
mail: mats.luspa(a)irf.se
groups: realm-irf.se, users, members
Är det någon i denna lista som fått SSO login till Harica att fungera
med idp shibboleth (ver. 5.1.4)?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Shibboleth projekt vill gärna få feedback och förslag till förbättringar av IDP dokumentationen.
Se mail nedan.
-------- Forwarded Message --------
From: Steven Premeau via users <users(a)shibboleth.net<mailto:users@shibboleth.net>>
Reply-To: Shib Users <users(a)shibboleth.net<mailto:users@shibboleth.net>>
To: users(a)shibboleth.net<mailto:users@shibboleth.net>
Cc: Steven Premeau <shibboleth(a)premeauenterprises.com<mailto:shibboleth@premeauenterprises.com>>
Subject: IDP Documentation Survey
Date: 11/04/25 17:04:34
Some of you may recognize me from my former roles in the University of Maine and University of Wisconsin systems.
I am working with the Shibboleth Consortium to identify and prioritize options for improving the IDP (and IDP related) documentation -- one of the items on the
Shibboleth Project Roadmap 2025-2026<https://shibboleth.atlassian.net/wiki/x/AQDS0#Enhanced-Product-Documentatio…>.
If you are running the Shibboleth Identity Provider in production OR have utilized the existing documentation site(s), you are invited to participate in this effort by completing a survey sharing your experiences.
The survey can be found at: https://forms.gle/1BD4uLkvWDrkEuEV9
The survey can be completed anonymously. Optionally, an email address can be provided -- it will only be used if there are any follow-up questions.
The survey will close on Wednesday, April 30th.
Thank you in advance,
Steve.
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej!
Omstart av release-check.swamid.se <http://release-check.swamid.se/> kommer se under förmiddagen vilket kommer skapa ett kort avbrott i tjänsten.
--
jocar
SWAMID Operations
Hej!
Tänkte höra mig för vilka MFA-metoder som används eller funderar på att användas som uppfyller de krav som AL2 och AL3 ställer?
Dvs, tekniker som uppfyller kraven och möjligen fungerar efter 2025/2027?
Vad är det för produkter som används?
Hur "brett" använder ni dessa?
Är det någon som använder samma MFA-lösning i andra system utöver er IDP?
Tror frågorna räcker.
Anledningen är att vi tittar på att uppdatera AL2 (eller AL3) där vi försöker få tips på vilka tekniker som finns och som går/kommer gå att använda inom Swamid idag och i framtiden.
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej,
För kännedom till er som kör.
Tänk dock på att mjukvara TOTP inte är tillåtet i SWAMID efter 2025.
// Björn M
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth IdP TOTP plugin V2.3.0 available
> Date: 1 April 2025 at 16:01:34 GMT+1
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> [You don't often get email from announce(a)shibboleth.net. Learn why this is important at https://aka.ms/LearnAboutSenderIdentification ]
>
> A new version of the TOTP plugin for the IdP is now available, V2.3.0.
>
> The only additional feature is adding success/failure audit logging along the lines of the other authentication flows.
>
> -- Scott
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej
Jag stötte på ett litet problem när jag försökte uppgradera OSet på vår IDP-server (Ubuntu). Det är två paket som inte kan autouppdateras och verkar behöva skötas manuellt - mysql-server och mysql-client. Två frågor, vad exakt används dessa till på IDP-servern (den server kör endast IDP) och vad är smidigaste sättet att uppdatera dessa på (om det nu behövs)?
Bifogar texten från /var/log/unattended-upgrades/unattended-upgrades.log
2025-04-01 12:39:26,031 INFO Starting unattended upgrades script
2025-04-01 12:39:26,032 INFO Allowed origins are: o=Ubuntu,a=focal, o=Ubuntu,a=focal-security, o=UbuntuESMApps,a=focal-apps-security, o=UbuntuESM,a=focal-infra-security
2025-04-01 12:39:26,032 INFO Initial blacklist:
2025-04-01 12:39:26,032 INFO Initial whitelist (not strict):
2025-04-01 12:39:26,734 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:39:27,052 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:39:27,383 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:39:27,702 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:39:28,092 INFO No packages found that can be upgraded unattended and no pending auto-removals
2025-04-01 12:39:28,221 INFO Package mysql-client is kept back because a related package is kept back or due to local apt_preferences(5).
2025-04-01 12:39:28,222 INFO Package mysql-server is kept back because a related package is kept back or due to local apt_preferences(5).
2025-04-01 12:46:47,746 INFO Starting unattended upgrades script
2025-04-01 12:46:47,746 INFO Allowed origins are: o=Ubuntu,a=focal, o=Ubuntu,a=focal-security, o=UbuntuESMApps,a=focal-apps-security, o=UbuntuESM,a=focal-infra-security
2025-04-01 12:46:47,746 INFO Initial blacklist:
2025-04-01 12:46:47,747 INFO Initial whitelist (not strict):
2025-04-01 12:46:48,604 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:46:48,929 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:46:49,366 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-01 12:46:49,677 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-02 06:34:52,497 INFO Starting unattended upgrades script
2025-04-02 06:34:52,497 INFO Allowed origins are: o=Ubuntu,a=focal, o=Ubuntu,a=focal-security, o=UbuntuESMApps,a=focal-apps-security, o=UbuntuESM,a=focal-infra-security
2025-04-02 06:34:52,498 INFO Initial blacklist:
2025-04-02 06:34:52,498 INFO Initial whitelist (not strict):
2025-04-02 06:34:53,450 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-02 06:34:53,783 WARNING package mysql-client upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-02 06:34:54,249 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-02 06:34:54,584 WARNING package mysql-server upgradable but fails to be marked for upgrade (E:Unable to correct problems, you have held broken packages.)
2025-04-02 06:34:55,611 INFO Packages that will be upgraded: linux-generic linux-headers-generic linux-image-generic
2025-04-02 06:34:55,611 INFO Writing dpkg log to /var/log/unattended-upgrades/unattended-upgrades-dpkg.log
2025-04-02 06:35:40,243 INFO All upgrades installed
2025-04-02 06:35:52,104 INFO Packages that were successfully auto-removed: linux-headers-5.4.0-208 linux-headers-5.4.0-208-generic linux-image-5.4.0-208-generic linux-modules-5.4.0-208-generic linux-modules-extra-5.4.0-208-generic
2025-04-02 06:35:52,104 INFO Packages that are kept back:
2025-04-02 06:35:52,347 INFO Package mysql-client is kept back because a related package is kept back or due to local apt_preferences(5).
2025-04-02 06:35:52,348 INFO Package mysql-server is kept back because a related package is kept back or due to local apt_preferences(5).
Mvh Vyacheslav Lytvynenko
IT-avdelningen
Högskolan i Skövde
Hej,
För kännedom.
Är samma säkerhetshål som för Shibboleth SP som vi skickar om förra veckan. Men nu är det IdP:n som har fått en fix.
Inte lika akut som SP:n men ni bör nog uppgradera ändå.
Infon skickad till saml-admins + admin, teknik och säkerhetskontakt i metadatat för de Shibboleth IdP jag hittat i SWAMID
// Björn M
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider Security Advisory [26 March 2025]
> Date: 27 March 2025 at 15:04:56 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> Shibboleth Identity Provider Security Advisory [26 March 2025]
>
> An updated version of the OpenSAML Java library is available
> which corrects a parameter manipulation vulnerability when
> using SAML bindings that rely on non-XML signatures.
>
> The Shibboleth Identity Provider is impacted by this issue, and
> it manifests as a low to moderate security issue in that context,
> depending on its configuration.
>
> A separate advisory may be issued discussing the broader
> implications for those using the OpenSAML library directly.
>
> Parameter manipulation allows the forging of signed SAML messages
> =================================================================
> Vulnerabilities in the OpenSAML library used by the Shibboleth
> Identity Provider allowed for creative manipulation of parameters
> combined with reuse of the contents of older requests to fool the
> library's signature verification of non-XML based signed messages.
>
> The uses of that feature involve very low or low impact use cases
> without significant security implications, and allow an attacker
> to forge signed messages used to request authentication or logout,
> neither of which presents a major concern.
>
> The IdP's support for inbound SAML assertions (proxying SAML
> authentication) did partially support the POST-SimpleSign binding
> but is not believed vulnerable to an attack. This support was
> not documented and has been removed in this patch out of caution.
>
> A moderate issue resulting in potential information disclosure (but
> not forged logins) exists when the "skipEndpointValidationWhenSigned"
> profile configuration option is used [1]. This option does not
> implement standardized SAML behavior, and allows an IdP to be
> manipulated into sending responses to any URL contained in a
> request, provided the request is signed.
>
> This vulnerability allows an attacker to manipulate the IdP into
> responding to a URL of the attacker's choice, but in doing so the
> response can only be used compliantly by a Service Provider
> operating under the expected entityID and at that exact location.
> Furthermore, in most cases the enclosed data would be encrypted
> under a key known only to the legitimate SP. It would be an
> unusual and deliberate decision to implement this feature with
> an SP *not* also having an encryption key to use, and moreover
> to do so while relying on the known-vulnerable AES-CBC encryption
> algorithm.
>
> Thus, a combination of a number of deliberate, and to some extent
> poor, configuration choices create an information disclosure
> concern.
>
> Recommendations
> ===============
> Update to V5.1.4 (or later) of the Identity Provider software.
>
> In the meantime, avoiding use of the "skipEndpointValidationWhenSigned"
> profile option in conjunction with an SP without an encryption key
> or which does not support the modern AES-GCM data encryption algorithm
> is advisable as a mitigation.
>
> Credits
> =======
> Thanks to Alexander Tan of SecureSAML for discovering and reporting
> this vulnerability.
>
>
> [1] https://shibboleth.atlassian.net/wiki/x/yKC0vg
> [2] https://shibboleth.atlassian.net/wiki/x/koO0vg
>
> URL for this Security Advisory:
> https://shibboleth.net/community/advisories/secadv_20250326.txt
Hallihallå!
Onsdag 26 mars med start klockan 09.00 kommer vi göra underhåll på metadata.swamid.se. Borde gå snabbt och smärtfritt, meddelar via denna kanal när allting är klart och verktyget redo att användas igen.
--
jocar
Hej
Det kom in ett mail gällande sårbarheten i OpenSAML tidigare (https://wiki.sunet.se/pages/viewpage.action?pageId=241119211) dock står det väldigt lite kring hur man går tillväga med en uppdatering. Finns det någon lite mer detaljerad beskrivning eller tutorial för detta? Alt om någon har gjort det redan och kan hjälpa med instruktioner för Ubuntu.
Är det fler delar som påverkas och behöver uppdateras när man uppdaterar OpenSAML?
Mvh Vyacheslav Lytvynenko
IT-avdelningen
Högskolan i Skövde
Hej.
Som info.
För er på Windowsplatformen kvittar 3.5.0.1 eller 3.5.0.2 båda är säkra men 3.5.0.2 visar rätt version i loggen.
Linux
CentoOS/Redhat mfl finns ju RPM:er från Shibboleth.net <http://shobboleth.net/>
Debian - Släppte en fixad version för Shibboleth 3.4 i Söndags.
Ubuntu - Finns buggraporter men inget släppt officielt. SUNET kör en del Ubuntu dock inte senaste. En kollega har byggt för oss :-) https://launchpad.net/~sunet/+archive/ubuntu/ppa
// Björn M
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: SP for Windows service patch to correct log line
> Date: 18 March 2025 at 16:10:21 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> We have posted a second service release for the SP (V3.5.0.2) [1].
>
> This is a *non-essential* patch to correct a logging mistake.
>
> It was noted there's a second log line in the shibd.log output that reports the older OpenSAML version (3.3.0) instead of the correct one. This is cosmetic, and the correct version was logged later on in the file, but this is now corrected in the new patch to aid in assessing the state of systems in light of the recent advisory.
>
> Purely optional to apply, it contains no other changes.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/service-provider/latest/win32
> https://shibboleth.net/downloads/service-provider/latest/win64
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej!
Vi får rapporter om att användare får MFA-krav när dom ska attestera
betyg i både test och prod-miljön.
Någon annan som ser det eller är det bara vår "instans" som är drabbad?
MVH
- Simon
Hej.
Det har i dag släppts information om 2 säkerhetshål i SAML.
HTTP-POST-SimpleSign i Shibboleth och HTTP-Redirect i SimpleSAMLphp.
Kort så bör ni som kör Shibboleth antingen plocka ner och kompilera upp senaste OpenSAML (3.3.1) och Shibboleth 3.5 eller uppdatera en fil på burken.
Många Linuxdistibutioner kör kvar på Shibboleth 3.4 och OpenSAML 3.2.x!
Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten i SP:n.
Gå in i protocols.xml och radera raden
<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"
path="/SAML2/POST-SimpleSign" />
För er som kör SimpleSAMLphp gäller att uppdatera till senaste versionen 2.3.7 eller 2.2.5
För mer info se https://wiki.sunet.se/pages/viewpage.action?pageId=241119211
// Björn Mattsson
Idag kom en ny version av SeamlessAccess till allmän beskådan.
Initialt så kommer det för vissa visas en vit ruta utan sökresultat som
beror på problem med cachning mellan versioner, det ser ut så här och lösas
genom en hård refresh / tömning av cache.
[image: Screenshot 2025-02-27 at 15.13.16.png]
Med den nya versionen kommer också en varningsruta, som visas om tjänsten
saknar korrekt returnurl i sitt metadata. En kort guide för hur man
åtgärdar det är på gång, men det handlar alltså om att adressen som skickas
med till anvisningstjänsten ska stämma överens med det man angivit i
metadatat.
[image: image.png]
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2023-03-19:
https://test-kmh.hr.evry.se/shibbolethhttps://test-ki.hr.evry.se/shibbolethhttps://test-du.hr.evry.se/shibboleth
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Begränsad delning
Hej!
Efter 10 långa år är det dags att göra en key-rollover på vårt metadatacertifikat för vår Sunet Play SP.
Gissar att flera av er har gjort detta och tänkte höra hur er process har varit?
Är det så enkelt som jag beskriver nedan?
*
generera ett nytt certifikat med t.ex. openssl (hitta info hos kaltura)
*
lägg publika certifikatet i metadata på metadata.swamid.se
*
vänta
*
ändra i kaltura
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej.
Vi håller just nu på att bygga om en del bakom kulisserna på metadata.swamid.se <http://metadata.swamid.se/>.
Inga stora förändringar som ni märker men koden skall bli lite mer modulär för att underlätta samarbete med andra federationer.
Nu på morgonen släppte jag en större förändring. SKALL inte påverka men om ni märker något får ni gärna höra av er :-)
// Björn M.
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på
datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta
till rätt instans inom er organisation.
Raderas 2025-02-26:
https://sp.sweclarin.se/sp/module.php/saml/sp/metadata.php/default-sp
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej,
Detta mail finns även som blogginlägg på SWAMIDs wikiutrymme,
https://wiki.sunet.se/x/pYqyDQ.
I slutet av hösten 2024 öppnade en viktig tjänst avsedd för både
forskare på lärosätena och fritidsforskare. För forskare på lärosäten
används eduGAIN och därmed SWAMID för inloggning och de har lite
speciella krav på attributrelease. Eftersom detta är en EU-tjänst som
innehåller EU-finansierade resurser finns det stor sannolikhet att ni
har forskare som vill använda de fria resurserna på EOSC EU Node. Det är
därför bra om ni som IdP-administratörer på universitet och högskolorna
läser genom nedanstående och funderar på hur ni kan genomföra korrekt
attributrelease.
Vad är EOSC EU Node?
EOSC EU Node är en plattform som främst stödjer tvärvetenskaplig och
multinationell forskning och främjar användningen av FAIR (Findable,
Accessible, Interoperable, Reusable) data och kompletterande tjänster i
Europa och utanför. Inom denna miljö kan forskare hitta lättanvända
verktyg och det mycket behövda stödet för att både individuellt och
kollektivt planera, genomföra, sprida och utvärdera sina typiska
forskningsarbetsflöden och resultat över EOSC-ekosystemet.
Dessutom är EOSC EU Node en plattform som underlättar skapandet av EOSC
Federation, enligt systemet av systemarkitekturprincipen för federerade
forskningsinfrastrukturer. Den syftar till att tillhandahålla en teknisk
och administrativ ritning och interoperabilitetsram för andra
potentiella infrastruktursnodkandidater att etableras. EOSC EU Node kan
erkännas som den första europeiska noden av EOSC Federation som främjas
av Europeiska kommissionen som en operativ plattform i produktion.
Speciella krav för attributrelease
För forskare, och fritidsforskare, i Europa med intresse för
tvärvetenskaplig och multinationell datadriven öppen vetenskap, har EOSC
EU Node skapats för att de ska kunna hitta och få tillgång till
interoperabla och återanvändbara data, publikationer, programvara och
tjänster över de federerade, nationella, regionala och tematiska kluster
och ekosystem. EOSC EU Node-plattformen ger användaren inte bara
tillgång till ett brett utbud av forskningsresultat, utan tillåter
användaren också att implementera och genomföra forskningsarbetsflöden
som kan upptäckas och publiceras om inom samma plattform.
De hanterade tjänsterna i EOSC EU Node bygger på FAIR-dataprinciperna
som gör data och tjänster sökbara, tillgängliga, interoperabla och
återanvändbara. Alla tjänster tillhandahålls i en kompatibel, oberoende
och säker molnbaserad miljö som är utformad och drivs i enlighet med
EU:s dataskyddsförordning (GDPR) för att förhindra obehörig åtkomst till
resurser och följer informationsstyrningsstandarder. Forskare har
möjlighet att implementera och genomföra sina arbetsflöden på EOSC EU
Node som kan upptäckas och publiceras om för att förbättra sökbarheten
av forskningsresultat.
Krediter är den virtuella valutan inom EOSC EU Node som användas för att
konsumera utvalda tjänster enligt användarens behörigheter och behov.
Krediter har inget monetärt värde och används för närvarande uteslutande
i EOSC EU Node för att möjliggöra rättvis, transparent och jämlik
tillgång till dess tjänster och resurser för den europeiska
forskarsamhället.
Hur får en forskare rätt mängd krediter?
Krediter tillhandahålls gratis (vid användningstillfället) av Europeiska
kommissionen första gången användaren loggar in och förnyas automatiskt
var tredje månad. Den exakta mängden krediter en användare får, samt
tillgångsnivån till olika tjänster, bestäms automatiskt baserat på den
affilieringsinformation som delas av din hemorganisation.
Hur tilldelas krediter och hur kan de användas?
500 krediter, som fylls på var tredje månad, och har tillgång till alla
EOSC EU Node-tjänster om användaren är knuten som fakultetsmedlem till
en organisation som är registrerad i EU27 eller ett Horizon
Europe-anslutet land via eduGAIN.
eduPersonScopedAffliation: faculty@domän
100 krediter, som fylls på var tredje månad, och har tillgång till ett
urval av EOSC EU Nodes applikationstjänster (File Sync & Share,
Interaktiva Anteckningsböcker för Små miljöer, Tjänst för stora
filöverföringar) om anställd vid en organisation som är registrerad i
EU27 eller ett Horizon Europe-anslutet land via eduGAIN.
eduPersonScopedAffliation: employee@domän
Inga krediter även om användaren har skrivskyddad tillgång till EOSC EU
Node-tjänsterna i alla andra fall av lyckad autentisering via eduGAIN.
Avsaknad av ovanstående värden för eduPersonScopedAffiliation.
Krav för tilldelning av faculty i eduPersonScopedAffiliation
När vi i SWAMID tillsammans med andra akademiska identitetsfederationer
har försökt tolka kraven för EOSC EU Node och hur krediter tilldelas har
vi kommit fram till att följande personer kan tilldelas värdet
faculty@domain i eduPersonScopedAffliation:
Anställda vid organisationen som har akademisk forskning i tjänsten.
Anställda vid organisationen som har doktorerat.
Övriga verksamma (personer som inte är anställda men agerar som sådana)
och som uppfyller motsvarande som ovanstående två punkter.
Det är väldigt viktigt att endast de personer som uppfyller ovanstående
krav tilldelas faculty oberoende av tjänst. För gruppen lärare bör man
gå tillbaka till definitionerna i högskolelagen och högskoleförordningen
för att se vilka grupper uppfyller kraven i ovanstående punktlista. På
wikisidan Rätt semantik för eduPersonScopedAffiliation
<https://wiki.sunet.se/pages/viewpage.action?pageId=17138034> finns
SWAMIDs rekommenderade hantering av affiliering beskriven.
Pål Axelsson
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entitet har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-02-26:
https://sp.sweclarin.se/sp/module.php/saml/sp/metadata.php/default-sp
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: Henri Mikkonen <henri.mikkonen(a)nimbleidm.com>
> Subject: OIDC OP v4.2.1 now available
> Date: 28 January 2025 at 17:42:08 CET
> To: announce(a)shibboleth.net
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released V4.2.1 of the OIDC OP plugin (see release notes at [1])
>
> This is a patch release, addressing a regression bug related to the use of frontChannelSuccess-option within logout propagation.
>
> -- Henri Mikkonen, on behalf of the team
>
> [1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/OP…
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på
datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta
till rätt instans inom er organisation.
Raderas 2025-02-17:
https://iam.cloud.cbh.kth.se/realms/cloud
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej.
Jag har för mig att någon nämnt att ni kör en BankID SAML-IdP på ert lärosäte.
Vad har ni för lösning? Är det egenutvecklad? Är det något ni är villiga att dela med er av?
Vi köper idag den funktionen från tredjepart men ser nu över om vi kan drifta en sådan lösnig själva.
/Eric
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/om-ki/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://staff.ki.se/data-protection-policy>.
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-02-10:
https://wiki.pdc.kth.se <https://wiki.pdc.kth.se/>
https://cuttlefish.pdc.kth.se
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (5.2.2) får en entitet inte inneha ett utgånget SAML-certifikat. Följande entiteter har trots påtryckning inte säkerställt ett certifikat med godkänt datum och kommer därför raderas på datum nedan. Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-02-03:
https://exitpoll.stu.lu.se/shibbolethhttps://hrm.flexhosting.se/HRM/
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen. Följande entiteter har trots påtryckning inte
bekräftats och kommer därför raderas på datum nedan. Vet ni med er att entiteten används
vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er
organisation.
Raderas 2025-01-20:
https://uraccess.net/shibboleth
--
jocar
SWAMID Operations
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (5.2.2) får en entitet inte inneha ett utgånget SAML-certifikat. Följande entiteter har trots påtryckning inte säkerställt ett certifikat med godkänt datum och kommer därför raderas på datum nedan. Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-01-27:
https://dev.nais.uhr.se/shibbolethhttps://dev.valda.uhr.se/shibboleth
--
jocar
SWAMID Operations
Hej,
Välkomna tillbaka efter en välbehövlig vila över helgerna. Som jag skrev
i slutet på förra året nya versioner med mindre ändringar av
tillitsprofilerna beslutades av SWAMID Board of Trustees.
I tillitsprofilerna har det sedan de stora uppdateringarna 2020 funnits
beskrivet att alla organisationer med identitetsutgivare (IdP) måste
årligen validera att det som är beskrivet i organisationens Identity
Management Practice Statement (IMPS). På samma sätt som vi redan har
gjort för den tekniska metadatan kommer vi under första kvartalet i år
införa krav på att markera i metadataverktyget att valideringen har
genomförts. Om inte valideringen genomförs kommer det efter påminnelser
innebära organisationens identitetsutfärdare blir tillfälligt
avregistrerad tills valideringen är genomförd.
När ni går in på er IdP på https://metadata.swamid.se/admin/ och fäller
ut IMPS-fliken så ser ni aktuell status och det är även här ni validerar
att den fortfarande är korrekt. Om ni inte hittar den senaste versionen
av er IMPS så har vi en PDF-kopia i vårt arkiv.
Om det står att er IMPS godkändes av Board of Trustees ("Accepted by
Board of Trustees") före 2021-01-01 måste ni särskilt gå igenom och
kontrollera att alla avsnitt i aktuella tillitsprofiler är beskrivna, om
inte måste ni skicka in en uppdatering och få den godkänd. Det kommer
framöver inte gå att validera att IMPSen fortfarande gäller om den inte
är godkänd efter 2020-12-31. Detta för att säkerställa att alla
ändringar som genomfördes i den större uppdateringen 2020 av
tillitsprofilerna finns beskrivet i IMPSen.
För alla er som uppdaterat er IMPS efter 2020-12-31 rekommenderar vi att
ni uppdaterar er IMPS med de mindre förändringar som beslutades i slutet
på förra året vid nästa uppdatering. Vi kommer under 2026-27 kräva
uppdatering för dessa ändringar i era IMPSer.
Pål Axelsson
Hej,
God fortsättning på det nya året!
I slutet av 2024 släppte vi en ny version av ADFS Toolkit, v2.3.0.
Några nyheter i denna version är:
* Support för f-ticks (anonymiserad statistik över inloggningar som kan skickas till SWAMID och eduGAIN - https://f-ticks.edugain.org/)
* Support för egna Access Control Policies
* ADFS Toolkit Store korrigerar automatiskt otillåtna tecken i subject-id och ersätter dem med en URL-enkodad version
* Uppdateringen av ADFS Toolkit har förenklats genom att vi skapat en cmdlet för uppdatering: Update-ADFSTk
Som vanligt kan ni hitta och följa koden på github:
https://github.com/fedtools/adfstoolkit
Vi har också uppdaterat wikin med ny dokumentation:
https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…
Ta gärna en titt på den innan ni uppgraderar.
Som vanligt, har ni några frågor – hör av er till Operations!
Med vänlig hälsning
Johan Peterson och Tommy Larsson
SWAMID Operations
[Linköpings universitet]
Digitaliseringsavdelningen
DIG1️IT
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på: www.liu.se<http://www.liu.se/>
När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet behandlar dina personuppgifter. Läs mer om hur detta går till på https://liu.se/artikel/integritetspolicy-liu
God jul på er! 🎅🏻
Måste tyvärr meddela att Discovery-tjänsten för QA-miljön gick sönder i ett haveri hos vår driftleverantör. Ny fungerade DS kommer i början av nästa år.
--
jocar
SWAMID Operations
Hej,
Igår måndagen den 16 december hölls årets sista möte med SWAMID Board of
Trustees. Protokollet finns publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-12-16. De
uppdaterade tillitsprofilerna beslutades och kommer att gälla för all
granskning från och med nu och kravet på att mjukvarubaserad TOTP (6-8
siffror som byts ut en gång per minut) får inte längre användas utan
särskilt godkännande av SWAMID Board of Trustees från och med 2026.
Pål
Hej,
Nu har en plugin som jag väntat på något år på, en WebAuthn plugin till
Shibboleth IdP. Pluginen gör att det är mäjligt att använda fido2nycklar
tillsammans med Shibboleth. Det finns flera andra lösningar men denna
kommer från konsortiet.
Om det finns ett intresse att utforska denna för flera i SWAMID föreslår
jag en gemensam arbetsgrupp som tittar på denna plugin. Svara gärna på
detta brev om ni är intresserade.
Pål
---------- Forwarded message ---------
Från: Philip Smart via announce <announce(a)shibboleth.net>
Date: tors 5 dec. 2024 20:04
Subject: WebAuthn authentication plugin v1.0.0 now available
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
The Shibboleth Project is pleased to announce the first release of the
WebAuthn authentication plugin (see the documentation at [1])
The WebAuthn login flow facilitates FIDO2 authentication within the
Identity Provider (IdP) by utilizing the Web Authentication API. This
enables strong, public-key-based authentication. The plugin can operate in
various ways: as a single-factor within a broader multi-factor
authentication, as passwordless authentication after the user enters their
username, or as usernameless authentication where the user is implicitly
identified from the authentication credential they choose.
Thank you once again to everyone who provided feedback on the beta and
release candidates.
-- Phil Smart, on behalf of the team
[1]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3395321933/We…
Jisc is a registered charity (number 1149740) and a company limited by
guarantee which is registered in England under company number. 05747339,
VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane,
Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company
limited by guarantee which is registered in England under company number
02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company
limited by shares which is registered in England under company number
09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here:
https://www.jisc.ac.uk/website/privacy-notice
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Vi har precis konfigurerat Shibboleth som en SAML proxy så att inloggningarna sker i vår ADFS, men i vårt produktionssystem får jag lite fel i loggen som jag inte ser i testsystemet och jag lyckas inte lista ut vad jag gjort fel.
Inloggningarna fungerar, men Shibboleth verkar försöka få ut credentials via X509, vilket jag inte förstår.
Exempel ur loggfilen:
2024-12-12 09:33:30,367 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.367119537Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
2024-12-12 09:33:30,518 - INFO [org.opensaml.xmlsec.keyinfo.impl.provider.InlineX509DataProvider:130] - The X509Data contained no X509Certificate elements, skipping credential extraction|
2024-12-12 09:33:30,518 - WARN [org.opensaml.xmlsec.keyinfo.impl.BasicProviderKeyInfoCredentialResolver:291] - No credentials could be extracted from KeyInfo child with QName {http://www.w3.org/2000/09/xmldsig#}X509Data by any registered provider|
2024-12-12 09:33:30,522 - INFO [net.shibboleth.idp.saml.saml2.profile.impl.ValidateSAMLAuthentication:334] - Profile Action ValidateSAMLAuthentication: SAML authentication succeeded for 'null'|
2024-12-12 09:33:30,522 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.522471008Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
2024-12-12 09:33:30,523 - INFO [net.shibboleth.idp.authn.impl.FinalizeAuthentication:201] - Profile Action FinalizeAuthentication: Principal xgalto authenticated|
2024-12-12 09:33:30,625 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.625529647Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
Någon som vet var i konfigurationen jag ska titta?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
I novembers nyhetsbrev från Sunet tackar jag alla med Shibboleth IdP för
arbetet ni har lagt ner. Jag vet att den sista organisationen går över
vilken dag som helst.
SWAMID
(https://wiki.sunet.se/display/info/Info-utskick+2024-11-27#Infoutskick20241…)
SWAMID vill tacka alla som under året har lagt ner jobb på att uppdatera
Shibboleth Identity Provider från version 4 till version 5. När detta
skrivs har alla organisationer utom en gjort uppgraderingen eller bytt
ut sin identitetsutgivare från Shibboleth Identity Provider till ADFS
med ADFS Toolkit.
Än en gång tack!
Pål
Hej
Fick precis reda på sårbarheten i Jetty 12.0.9 enligt https://gitlab.eclipse.org/security/cve-assignement/-/issues/25. Ska vara fixat i 12.0.12. Finns det några kända bekymmer som kan uppkomma i samband med den uppdateringen och hur ser SWAMID på frågan överlag?
Mvh Vyacheslav Lytvynenko
IT-Avdelningen
Högskolan i Skövde
Hej,
Välkomna till SWAMIDs webinar AL2 för personer utan svenskt
personnummer. Detta är tredje gånge ndetta webinar genomförs men
eftersom frågan är aktuell och att eduID har genomfört vissa
förändringar kommer det igen. Skicka gärna vidare til lde personer i
organisationen som jobbar med rutiner runt identifiering av personer i
ert kontohanteringssystem.
Syfte
Att digitalt bekräfta en person utan svenskt personnummer på samma sätt
som personer med svenskt personnummer är inte helt enkelt. SWAMIDs
tillitsprofil AL2 tillåter detta men ställer en del extra krav på
lärosätet ska koppla personen till rätt användarkonto på lärosätet.
eduID har stöd för att bekräfta personer via europeiska e-legitimationer
(eIDAS) och via resehandling, dvs. pass (och nationellt europeiskt
identitetskort), för de som inte kan använda eIDAS.
Detta webinar är en repris och fortsättning från webinar från föra året
och vi går igenom regelverket i SWAMID AL2 och vad detta innebär samt
hur ni kan använda eduID för att bekräfta en person utan svenskt
personnummer.
Målgrupp
Detta webinar riktar sig till er som har behov att bekräfta användare
utan svenskt personnummer på AL2 via eduID.
Datum & tid
10.00 – 11.00 torsdagen den 5 december
Plats
Zoom, https://sunet.zoom.us/j/64824323516
Mer information
SWAMID Webinar 5 december - AL2 för personer utan svenskt personnummer -
Sunet Wiki
<https://wiki.sunet.se/pages/viewpage.action?pageId=219852401>
Pål
Hej,
Hoppas ni alla har haft en trevlig semester och välkomna tillbaka.
Tänkte påminna om att ni som använder Shibboleth IdP och ännu inte
uppgraderat till version 5 måste göra detta snarast. Se nedan för mer
information.
Pål
Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg
påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity
Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är
det dags att uppgradera till en nyare huvudversion eftersom den tidigare
huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl
alltid viktigt att endast använda aktuella och underhållna versioner av
programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För
er som använder Shibboleth Identity Provider finns det två sätt att
hantera att näst senaste huvudversion blir End-of-Life, antingen genom
att uppgradera till version 5, att byta till annan programvara än
Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit
<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>,
eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare
i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut
senast under november 2024 och genomför helst arbetet i god tid. Vi
uppmanar er därför att aktivt delta på webinar och diskussionsmöten
under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än
uppgradering inom samma huvudversion och det är därför särskilt viktigt
att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er
information om hur ni både förbereder och genomför uppgraderingen på ett
bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för
användarkonton och ett administrativt gränssnitt för att koppla dessa
till organisationen.
SWAMID finns som stöd i uppdateringen
Under våren genomförde SWAMID ett webinar om hur man genomför
uppdateringen och detta finns inspelat och tillgängligt på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering….
Torsdagen den 29 augusti kör vi igång med de öppna frågestuderna igen
och nu när vi passerar datumet för end-of-life kommer de att hållas
varje vecka. Se
https://wiki.sunet.se/pages/viewpage.action?pageId=185139336 för mer
information. På wikisidan finns även en länk till kalenderhändelse som
innehåller alla tillfälle som frågestudenn kommer att hållas.
Hej.
Ikväll kommer det att genomföras ett större job med elen på vårt Datacenter i Norrland.
Detta gör att ett antal servrar kommer att stängas ned med start vid 20.00 ikväll för att spara på UPS:en.
2 av de som drabbas är release-check.swamid.se <http://release-check.swamid.se/> och release-check.qa.swamid.se <http://release-check.qa.swamid.se/> i övrigt skall det inte ha någon inverkan på SWAMID.
Så skall ni testa någon IdP gör det innan 20.00 ikväll :-)
// Björn M.
Hej,Sunetdagarna hösten 2024
På höstens digitala Sunetdagar finns ett antal inplanerade pass runt
identitetshantering. Det fulla programmet finns på Sunetdagarwebben men här
finns identitetspassen i en lista.
- eduID Connect – för säkerhet och kontohantering, Måndag 4 november
14.00–14.45
- Trust and identity for international research, Tisdag 5 november
11.00–11.45
- Nya stöd och möjligheter med eduID, Tisdag 5 november 13.00–13.45
- Vad är på gång inom SWAMID?, Torsdag 7 november 9.00–9.45
- Hur effektiviseras och förtydligas SWAMIDs tillitsprofiler?, Torsdag 7
november 10.00–10.45
- När EUs digitala identitetsplånbok kommer, Torsdag 7 november
14.00–14.45
Pål
[image: Screenshot 2024-10-31 at 09.31.15.png]
Det går inte längre att bekräfta sin identitet genom att vi gör ett uppslag
mot register över abonnent av ett visst mobiltelefonnummer. Verifieringarna
som gjorts med denna metod kommer tills vidare vara giltiga.
Vi kommer också stänga av utskick av lösenordsåterställning via SMS och
istället hänvisa att använda annan andra faktor.
Användare som har ett telefonnummer registrerat som kan användas för
lösenordsåterställning presenteras ovan vy.
--
Tjo!
Är det någon som fått ScriptedAttribute att funka med Nashorn och JDK17 på IDPv5 ännu?
2024-10-23 11:55:40,396 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:57] - Shibboleth IdP Version 5.1.3
2024-10-23 11:55:40,397 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:58] - Java version='17.0.13' vendor='Debian'
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:73] - Plugins:
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:75] - net.shibboleth.idp.plugin.metadatagen : v2.0.0
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:75] - net.shibboleth.idp.plugin.nashorn : v2.0.0
2024-10-23 11:55:40,403 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:93] - Enabled Modules:
2024-10-23 11:55:40,403 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Core IdP Functions (Required)
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Command Line Scripts
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Password Authentication
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Hello World
net.shibboleth.shared.service.ServiceException: Failed to load [file [/local/shibboleth/idp/conf/attribute-resolver.xml], class path resource [net/shibboleth/idp/conf/attribute-resolver-system.xml]]
at net.shibboleth.shared.spring.service.ReloadableSpringService.doReload(ReloadableSpringService.java:385)
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'eppnFromUid': Cannot create inner bean '(inner bean)#75c9ebca' of type [net.shibboleth.shared.spring.factory.EvaluableScriptFactoryBean] while setting bean property 'script'
[…]
Caused by: java.lang.NullPointerException: Cannot invoke "java.lang.invoke.MethodHandle.type()" because "target" is null
at java.base/java.lang.invoke.MethodHandles.insertArgumentsChecks(MethodHandles.java:5198)
får jag med deras egna exempel kopierade från wikin https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503289/Scripted…
MVH
- Simon
Hej!
Jag har problem med att införa JDBCStorageService.
I och med uppdateringen till Shibboleth version 5 så kunde vi inte längre använda JPAStorageService.
Då gick vi över till ClientStorageService.
Det hade vi gärna haft kvar men hos oss men den fungerar inte riktigt som man hade hoppats då användarna ofta uppmanas om att godkänna för terms of use trots att vi använder ClientPersistentStorageService för det.
Någon som har liknande problem?
Därför har jag nu börjat försöka få in JDBCStorageService för det, så de slipper få upp frågan så pass ofta.
Nu när jag försöker få in ändringarna så får jag detta felmeddelande:
org.eclipse.jetty.webapp.WebAppContext:542] - Failed startup of context o.e.j.w.WebAppContext@5a18cd76{Shibboleth Identity Provider,/idp,[file:///C:/Program%20Files%20(x86)/Shibboleth/IdP/jetty-base/tmp/jetty-0_0_0_0-443-idp_war-_idp-any-633304524281250836/webinf/, jar:file:///C:/Program%20Files%20(x86)/Shibboleth/IdP/war/idp.war!/],UNAVAILABLE}{../war/idp.war}
org.springframework.beans.factory.BeanCreationException: Error creating bean with name ''shibboleth.JPAStorageService' defined in file [C:\Program Files (x86)\Shibboleth\IdP\conf\global.xml]: net.shibboleth.shared.component.ComponentInitializationException: Key Column is Case Insensitive
Har följt instuktionerna här https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2989096970/JD… men den lyckas inte skapa beanen för storageservice.
Jag ser i mina war-filer att jdbc-storage-impl-2.0.0 är med samt så är pluginet net.shibboleth.plugin.storage.jdbc installerat vid kontroll.
Jag har som sagt följt instruktionen så konfigurationen för bean är som rekommenderat:
<bean id="shibboleth.JPAStorageService"
parent="shibboleth.JDBCStorageService"
p:cleanupInterval="%{idp.storage.cleanupInterval:PT10M}"
p:dataSource-ref="shibboleth.JPAStorageService.DataSource"/>
Mvh,
Victor Thorén
Enskilda Högskolan
Victor Thorén
T: 08-400 529 01 | M: 072-070 07 19
victor.thoren(a)jhsupport.se<mailto:victor.thoren@jhsupport.se> | jhsupport.se<http://jhsupport.se/>
Birger Jarlsgatan 104, 114 20 Stockholm
[Logo]<https://jhsupport.se/>
[Banner]<https://jhsupport.se/>
Kan ni ta bort dom tills dom lägger till en vettig adress eller slutar autosvara från deras ärendehanteringsystem på varje mail man skickar till listan?
MVH
- Simon
FYI
> Begin forwarded message:
>
> Subject: Shibboleth Identity Provider Plugin Security Advisory [23 October 2024]
> Date: 23 October 2024 at 13:06:15 CEST
>
> Shibboleth Identity Provider Plugin Security Advisory [23 October 2024]
>
> An updated version of the OpenID Connect OP plugin for the Shibboleth
> Identity Provider is now available which corrects a pair of race
> conditions in the authorization/authentication request processing.
>
> Both issues are of "low" severity, and neither is likely to manifest
> without significant load on the server.
>
> OpenID Connect OP plugin contains two race conditions
> ======================================================================
> A pair of race conditions have been identified in the OP plugin.
>
> The authorization endpoint that processes requests from RP clients
> contains a race condition that under load could result in requests
> containing a login_hint and/or resource -parameter value from a
> different request.
>
> A wrong login hint value may cause unexpected user experience for
> instance in the login page if the login view has been modified to
> exploit login hint. Our default login views don't include such
> feature.
>
> A wrong resource value may cause invalid target audience in the issued
> access token or unexpected user experience if the wrong audience is
> invalid for the client. Note that regardless of this bug, the resource
> values ultimately processed are validated against the actual client's
> metadata.
>
> Recommendations
> ===============
> Update to V4.2.0 or later of the OIDC OP plugin, which is now available.
> The IdP's plugin installer can perform this update process. The Release
> Notes are available at [1].
>
> Note that this plugin requires IdP V5.0 or newer, so you may need to update
> the IdP first if you are on an unsupported version.
>
>
> Credits
> =======
> This issue was discovered by the Shibboleth Project team itself.
>
> [1] https://shibboleth.atlassian.net/wiki/x/AQCCpQ
>
> URL for this Security Advisory:
> https://shibboleth.net/community/advisories/secadv_20241023.txt
Hej!
Jag har testat att göra uppgradering till Jetty 12 från Jetty 11 enligt
instruktioner i https://wiki.sunet.se/display/SWAMID/Uppgradera+Jetty
och
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3516104706/Jetty12.
I bilagan kommer de steg som jag genomfört.
Jetty verkar starta upp. Men när jag går in på en SSO-sida får jag
följande felmeddelande:
HTTP ERROR 404 Not Found
URI:
https://testidpshibboleth.irf.se/idp/profile/SAML2/Redirect/SSO?SAMLRequest…
STATUS: 404
MESSAGE: Not Found
------------------------------------------------------------------------
Powered by Jetty:// 12.0.14 <https://jetty.org/>
Vad kan orsaka detta?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email:matsl@irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key:https://www.irf.se/pgp/matsl
Digital vcard:https://www.irf.se/vcard/mats.luspa
The 9K Vape offers an incredible 9000 puffs, delivering long-lasting vaping sessions with rich, smooth flavours. With a powerful battery and a wide variety of flavours, it's perfect for vapers seeking convenience and quality in every puff.
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Service Provider V3.5.0 now available
> Date: 16 October 2024 at 19:49:01 CEST
>
> The Shibboleth Project has released a minor refresh/update of the SP software.
>
> There are a few reasons we're doing this as a minor, covered in the Release Notes [1].
>
> The source code has been tagged and uploaded, and the Windows installers are posted now. [2]
>
> There will be a delay of probably a few days for the RPM packages to allow for full testing to avoid any of the hiccups that have been coming up recently. This is the first minor in a while so a lot of packages have to get built and updated, and we want to make sure the updating works properly before we post them.
>
> This isn't a security release, so there's no particular rush on that. If possible I'll get them posted by Friday but it might drag into next week if we run into anything needing fixed.
>
> -- Scott
>
> [1] https://shibboleth.atlassian.net/wiki/x/jYUaew
> [2] https://shibboleth.net/downloads/service-provider/latest/
>
Hej,
Som vi under det senaste året berättat om vid t.ex. Sunetdagarna har vi
i SWAMID Operations jobbat med en översyn av SWAMIDs tillitsprofiler. Vi
kommer att gå gienom och presentera våra förslag under Sunetdagarna i
början på november och sedan under november ha tre diskussions- och
frågemöten. VI öppnar nu upp konsultationen för uppdateringarna för att
ni ska ha god tid på er att läsa och fundera för att sedan lyssna på
Sunetdagarna och sedan kunna ställa frågor och diskutera under resten av
november.
Målet med uppdateringarna denna gång är att inte höja nivån utan att
dels göra det tydligare vad som avses och vad vi i SWAMID Operations
redan i dag tittar på när vi gör granskningarna. Vi har även tittat på
var vi kan göra det enklare än idag och har hittat några sådana ställen.
När ni läser de aktuella förslagen som finns wikisidan
https://wiki.sunet.se/x/dBfKD så är all text som är överstruken gul
förändringsförslag och är det genomstruket så är det text vi tagit bort.
Konsultationsperiod samt zoommöten för presentation och diskussion:
Konsultation öppnar måndagen den 15 oktober
Presentation av föreslagna förändringar torsdagen den 7 november
10.00-10.45 på höstens digitala Sunetdagar, mer information finns på
Sunetdagarna hösten 2024.
Frågor och diskussion, måndagen den 11 november 10.00-11.00,
https://sunet.zoom.us/j/61289572921
Frågor och diskussion, torsdagen den 21 november 10.00-11.00,
https://sunet.zoom.us/j/64576354071
Frågor och diskussion, onsdagen den 27 november 10.00-11.00,
https://sunet.zoom.us/j/64053509657
Konsultationen stänger fredagen den 29 november
Välkomna att delta i konsultationen!
SWAMID Operations genom
Pål Axelsson
Hej
Tack för alla tips idag. Har satt upp en klonad IDP och labbat nu under dagen.
Uppdaterade till Shibb 4.3.2, Java 17 och la på Nashorn. Startade om, testade, kollade loggar och allt såg bra ut inför uppgraderingen till Jetty 10.
Fixade Jetty base och redigerade start.ini, idp.ini och idp.xml enligt instruktionerna. Flyttade över idp-userfacing.p12 till jetty-base och även jetty.service till /etc/systemd/system/.
Nu började lite trubbel dock och här är även mina frågor:
1. Under Jetty.service borde det väl vara " PIDFile=/opt/jetty-base/jetty.pid " och inte " PIDFile=/opt/jetty/jetty-base/jetty.pid "?
2. Samma under /etc/defaults/jetty där både BASE, START och RUN är konfade som "/opt/jetty/jetty-base/..." ist för "/opt/jetty-base" I exemplet på wikin.
3. Jag hittade heller inte var error.war eller tls-config.xml ska ligga och inte heller någon motsvarighet på vår skarpa server.
4. Det går heller inte att starta upp Jetty nu och problemet verkar vara java-relaterad utifrån felmeddelandet som jag får:
-------------------------------------------------------------------------
java.io.IOException: Cannot read file: etc/tweak-ssl.xml
at org.eclipse.jetty.start.StartArgs.addUniqueXmlFile(StartArgs.java:249)
at org.eclipse.jetty.start.StartArgs.resolveExtraXmls(StartArgs.java:1532)
at org.eclipse.jetty.start.Main.processCommandLine(Main.java:374)
at org.eclipse.jetty.start.Main.main(Main.java:74)
Usage: java -jar $JETTY_HOME/start.jar [options] [properties] [configs]
java -jar $JETTY_HOME/start.jar --help # for more information
java.io.IOException: Cannot read file: etc/tweak-ssl.xml
at org.eclipse.jetty.start.StartArgs.addUniqueXmlFile(StartArgs.java:249)
at org.eclipse.jetty.start.StartArgs.resolveExtraXmls(StartArgs.java:1532)
at org.eclipse.jetty.start.Main.processCommandLine(Main.java:374)
at org.eclipse.jetty.start.Main.main(Main.java:74)
Usage: java -jar $JETTY_HOME/start.jar [options] [properties] [configs]
java -jar $JETTY_HOME/start.jar --help # for more information
Stopping Jetty: ** ERROR: no pid found at /opt/jetty-base/jetty.pid
java.io.IOException: Cannot read file: etc/tweak-ssl.xml
at org.eclipse.jetty.start.StartArgs.addUniqueXmlFile(StartArgs.java:249)
at org.eclipse.jetty.start.StartArgs.resolveExtraXmls(StartArgs.java:1532)
at org.eclipse.jetty.start.Main.processCommandLine(Main.java:374)
at org.eclipse.jetty.start.Main.main(Main.java:74)
Usage: java -jar $JETTY_HOME/start.jar [options] [properties] [configs]
java -jar $JETTY_HOME/start.jar --help # for more information
Starting Jetty: start-stop-daemon: unrecognized option '--output'
-------------------------------------------------------------------------
Felsöker vidare och tar tacksamt emot alla tips.
Mvh Vyacheslav
Hej!
Nyfiken fråga. Är det någon här som har implementerat en Memcache-baserad StorageService? (för t.ex. replay-cachen och artifact?)
Tror inte det finns något officiellt stöd för redis? (eller fork)
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej!
Jag har försökt implementera MFA i shibboleth med TOTP. Jag skickar i
bilagan dokumentationen hur jag gjort.
I slutet av dokumentationen ser ni problemet jag stöter på. Jag antar
att en del av er redan implementerat MFA med lyckat resultat och kanske
kan se något uppenbart fel i konfigurationen.
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Vill bara meddela att problemet löst i kontakt med UHR.
Vänligen,
Kim Sundnér
IT-koordinator/IT-Coordinator
Malmö universitet/Malmö University
Gemensamt verksamhetsstöd
IT-avdelningen/IT-Department
+46 40 665 87 16
Kim.sundner(a)mau.se<mailto:Kim.sundner@mau.se>
[cid:f9d900ab-f109-41ca-bf12-db30a32ab231]
Hej.
Proxynamnet vet jag ej men Redirecten på Antagning.se har jag sett nu pekar på IDP.mah.se
URL:
https://www.antagning.se/se/error/response/general?now=Wed%20Oct%20%202%201…
Ser ut som att UHR har någon konfiguration hos sig med hårdpekning. IDP.MAH.SE är fortfarande live men inte genom federationen.
Vi jagar UHR nu. Tacksam om ni har andra idéer.
Vänligen,
Kim Sundnér
IT-koordinator/IT-Coordinator
Malmö universitet/Malmö University
Gemensamt verksamhetsstöd
IT-avdelningen/IT-Department
+46 40 665 87 16
Kim.sundner(a)mau.se<mailto:Kim.sundner@mau.se>
[cid:2ad2165f-918d-4fb6-b4d6-3233232c89e3]
Hej!
Sedan förändringen i måndags har det kommit in ärenden från administratörer för Antagning.se.
Vid felsökning ser det ut som att autentisering fastnar vid en proxy.
Denna proxy pekar UHR att det är sunet som har hand om.
Detta är akut då det gäller antagning av nya studenter.
Behövs det någon ytterligare konfiguration i ADFS för att autentiseringen ska gå igenom proxyn?
Finns det något hårt beroende mot Shibboleth som nu inte längre är tillgängligt i SWAMID?
Vänligen,
Kim Sundnér
IT-koordinator/IT-Coordinator
Malmö universitet/Malmö University
Gemensamt verksamhetsstöd
IT-avdelningen/IT-Department
+46 40 665 87 16
Kim.sundner(a)mau.se<mailto:Kim.sundner@mau.se>
[cid:67d73961-98c7-4eca-a396-f31ea80f3c40]
Hej.
Nu har vi infört en ny funktion i Metadata.swamid.se <http://metadata.swamid.se/> , detta gäller i första hand för er som är IdP admins.
Alla lärosäten som har en IdP i SWAMID har en Identity Management Practice Statement (IMPS) och denna skall kontrolleras minst en gång per år.
I AL profilerna står följande under 3.2 "The Member Organisation MUST annually confirm that their Identity Management
Practice Statement is still accurate.”
Vi har nu börjat kontrollera om detta är gjort och ni kan se på er IdP när den senast kontrollerades.
För att inte införa ytterligare roller har beslutat att IdP:admins får rättigheten att flagga att lärosätet:s IMPS fortfarande är korrekt och vilka IdP:er den är bunden till.
Just nu flaggas det som error / warning baserat på tiden sedan senaste kontroll. Vi kommer senare att börja maila ut påminnelser och dessa går då till Admin-kontakten för IdP:erna samt de som har redigeringsbehörighet på IdP:erna.
// Björn M.
Hej,
SWAMID BOard of Trustees har haft möte idag och protokollet finns
publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-09-27.
På dagens möte beslutades om nya godkända metoder för att identifiera
betrodd part i videoverifiering på AL2-nivå. För mer information se
https://wiki.sunet.se/pages/viewpage.action?pageId=99713193.
Vidare beslutades att de fem lärosäten som skickat in uppdateringar av
sina Identity Management Practice Statement fick dessa godkända.
Som informationspunkter fanns Shibboleth Identity Provider version 4
end-of-life, aktuell status på uppdatering av tillitsprofiler och
förändringa i eduID.
Trevlig helg
Pål
Hej!
Vårt bibliotek vill föra in en ny applikation från VLEBooks.
Ser inte i metadatat att de har konfigurerat någon entitetskategorie och på fråga så vill de att man ska använda sig av personlized.
Är det någon mer som har denna leverantör och har ni då satt upp ett eget attributfilter för dem?
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej,
Igår (25/9) kl 14:57 lyckades en person verifiera sig via inloggning mot antagning.se i vår ID-portal. Vid nästa försök, kl 17:54 får vi plötsligt följande fel från SAML-biblioteket vi använder (Sustainsys):
Encrypted Assertion(s) could not be decrypted using the configured Service Certificate(s)
Vi har inte gjort några som helst ändringar på vår sida (certet expirerar 2032). Är det någon annan som fortfarande använder sig av antagning.se som IdP som märkt något konstigt?
(För protokollet så är BankID och eduID de primära metoderna hos oss nu men det finns fortfarande några enstaka som väljer antagning.se verkar det som)
Med vänliga hälsningar,
//dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
www.du.se<http://www.du.se> | +46 23 778000
Hej!
<OFFTOPIC>
Detta är så off topic det bara går så om ni har ett svar till mig skicka det som ett svar direkt till mig och inte till listan.
För er andra ber jag så mycket om ursäkt och hoppas ni kan titta på bort en liten stund. (🙂Oh, titta därborta. En hök!)
Det är några enkla frågor jag försöker få fram lite svar åt mina chefer och jag ställer frågan till er som har arbetplats som har en virtualiseringplattform on-premise.
Vad är det för produkter ni använder er av? Vad har ni för erfarenheter av dessa?
Tack så mycket till er som svarar
</OFFTOPIC>
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Att kunna bekräfta sin identitet med digitala identiteter även för de
utanför Sverige och eIDAS-länderna har varit efterlängtat. Vi slog av den
funktionen i eduID innan sommaren på grund av att vi blev tvungna avbryta
avtalet med leverantören. Men funktionen är nu åter igång igen.
Verifiering med pass kan var en dyr historia om man ska vara säker på att
leverantören gör det på ett sätt vi kan lita på. Vi har nu ett avtal vi är
nöjda med som när de är klara med sina förberedelser täcker in alla länder
som ger ut resehandlingar med de tekniska förusättningar som krävs, vilket
innebär att vi kan få en bekräftad identitet från alla länder
överhuvudtaget teoretiskt kan hjälpa till med digital onboarding.
Vi använder oss av Freja eID. Verifieringen går, som tidigare, till genom
att man skapar upp ett konto hos leverantören med en mobiltelefon, läser in
resehandlingen med NFC (pass, eller nationellt ID-kort), en jämförelse med
informationen ur passet görs mot den person som håller i telefonen. När
kontot där är skapat så kan det användas för att inuti eduID genomföra en
bekräftelseprocess där vi får till oss information om den riktiga
identiteten.
Freja eID har följande lista över länder de kommer ha stöd för verifiering
från. De lägger till länder kontinuerligt, de som är markerade med stjärna
är ännu inte aktiverade hos Freja eID, men de planerar att alla är tillagda
under hösten.
https://frejaeid.com/en/freja-supported-countries/
*Europe*
- *All EU/EEA countries*
- Albania
- Andorra
- Belarus*
- Bosnia & Herzegovina
- Moldova
- Monaco
- Montenegro
- North Macedonia
- San Marino
- Serbia
- Switzerland
- Ukraine
- United Kingdom
*Asia*
- Armenia*
- Azerbaijan*
- Bahrain*
- Bangladesh
- China (People’s Republic)
- Georgia
- India
- Indonesia
- Iran*
- Iraq*
- Israel*
- Japan
- Kazakhstan
- Kuwait*
- Lebanon*
- Malaysia
- Maldives*
- Mongolia*
- Nepal*
- North Korea*
- Oman*
- Palestine*
- Philippines
- Qatar*
- Saudi Arabia*
- Singapore
- South Korea
- Syria*
- Tajikistan*
- Taiwan (Republic of China)
- Thailand
- Timor-Leste*
- Turkey
- Turkmenistan*
- United Arab Emirates
- Uzbekistan*
- Vietnam*
*North & South America*
- Antigua and Barbuda*
- Argentina
- Bahamas*
- Barbados*
- Belize*
- Brazil
- Canada
- Chile
- Colombia
- Costa Rica*
- Dominica*
- Ecuador*
- Jamaica*
- Mexico
- Panama
- Paraguay
- Peru
- Saint Kitts and Nevis*
- Saint Vincent and the Grenadines*
- United States
- Uruguay
*Africa*
- Algeria
- Benin*
- Botswana*
- Cameroon*
- Côte d’Ivoire*
- Gambia*
- Ghana*
- Kenya*
- Morocco
- Nigeria*
- Rwanda*
- Senegal*
- Seychelles*
- Tanzania*
- Uganda*
- Zimbabwe*
*Oceania*
- Australia
- New Zealand
*Other Territories and Dependencies*
- American Samoa*
- Antarctica*
- Aruba*
- Bermuda*
- Bouvet Island*
- Bonaire, Sint Eustatius and Saba*
- Cayman Islands*
- Cocos (Keeling) Islands*
- Christmas Island*
- Curaçao*
- Faroe Islands*
- French Guiana*
- French Polynesia*
- French Southern Territories*
- Gibraltar
- Greenland*
- Guadeloupe*
- Guam*
- Guernsey*
- Heard Island and McDonald Islands*
- Holy See*
- Hong Kong
- Isle of Man*
- Jersey*
- Macau*
- Martinique*
- New Caledonia*
- Norfolk Island*
- Northern Mariana Islands*
- Pitcairn Islands*
- Puerto Rico*
- Réunion*
- Saint Barthélemy*
- Saint Martin*
- Saint Pierre and Miquelon*
- Sint Maarten*
- South Georgia and the South Sandwich Islands*
- Svalbard and Jan Mayen*
- Tokelau*
- United States Minor Outlying Islands*
- United States Virgin Islands*
- Wallis and Futuna*
- Western Sahara*
- Åland (Autonomous Region)
Hej!
Som tidigare annonserats så ersätts SWAMID Testing med SWAMID QA [0]. Tidigare under eftermiddagen idag så raderades alla metadata-flöden tillhörande SWAMID Testing så nu är det enbart QA som gäller.
[0] https://wiki.sunet.se/pages/viewpage.action?pageId=166330502
--
jocar
SWAMID Operations
Hej alla SAML-gurus.
Vi har på Örebro universitet påbörjat arbetet med att ersätta vår gamla Shibboleth-IdP (version 4.x) med en ny 5.1.3 och allt har gått bra och vi är nästan redo att byta ut https://idp.oru.se mot https://shib-idp-1.oru.se, men vi har en detalj kvar att lösa. Återautentisering fungerar inte.
Den gamla IdP:n är en Gluu Server som består av flera paketerade komponenter, bl.a Shibboleth IdP 4.3.1?, OpenDJ (LDAP-server) och Passport.js. Passport.js används för OpenIDConnect, både som OP (mot Shibboleth-servrarna) och RP (för autentisering mot Entra och Freja eID+).
Målsättningen vi har är att sätta upp den nya IdP:n och använda oss av OIDC för autentisering mot den gamla IdP:n och inaktivera den inbyggda Shibboleth-IdP:n.
För att få OIDC att fungera har vi installerat de plugins som behövs och konfigurerat så att det fungerar som vi vill. Autentisering fungerar perfekt, men som sagt, återautentisering fungerar inte.
Det som händer vid återautentisering är att man, som förväntat, tvingas autentisera igen men när det är klart landar man på inloggningssidan igen.
Det verkar som att vår OIDC OP inte vet var man ska omdirigeras efter lyckad återautentisering men vi hittar inga fel i några loggar och på vår nya IdP händer ingenting i loggen efter att man omdirigerades till OP:n.
En skillnad mellan vår nya IdP och den gamla är att vi nu använder oss av net.shibboleth.idp.plugin.oidc.xxx för att delegera autentisering till Passport.js istället för Gluu's oxAuth saml-passport.
Vi gissar att vi är ganska ensamma om denna setup men hoppas att någon annan kanske har erfarenheter gällande Shibboleth-IdP 5.x och OIDC och kanske har stött på liknande problem.
Med vänliga hälsningar
Jonny Ehrnberg och Tomas Liljebergh
Hej,
tänkte bara informera att många problem försvann i loggen när jag uppgraderade jetty 11 (fick då rätt logging lib på 1.5.6), jetty har inga fel i loggen och shib loggen drar igång 5.1.2.
Gissar på att mitt fel var en felstavning när jag wget'ade jetty 11... Skulle säkert tanka 11.0.22 och missat en 2'a och fått ner 11.0.2, som jag sedan inte alls har reflekterat över.
Mest så ni inte får vänta på "nästa" veckas uppdateringar....
Hej,
Som ni alla vet är Shibboleth Identity Provider v4 end-off-life sedan 1
september. Det borde inte heller ungått er att SWAMIDs regelverk kräver att
man endast använder programvara som underhålls av dem som utvecklar
produkten. Därför måste alla som fortfarande använder den äldre versionen
att uppgradera, eller byta till annan programvara, snarast.
Om ni som är drabbade av detta inte har uppgraderat senast 30 november
kommer er användning av SWAMID att tillfälligt att stängas av 1 december.
Eftersom Shibboleth IdP v4 är end-off-life kan detta avstängningsdatum
tidigareläggas om säkerhetshål upptäcks innan 30 november.
Ni som behöver genomföra uppgraderingen får gärna höra av er till mig och
informera om er uppdateringsplan.
Mvh
Pål Axelsson
Hej,
För er lärosäten som kör Ladok.
Vi har infört tre förändringar i SWAMIDs metadata för Ladoks integrationstest-, test- och utbildningsmiljö för Ladok för studenter:
- Stöd för Sirtfi
- Begär numera förutom Code of Conduct även REFEDS Personalized Access entitetskategori
- Begär schacDateOfBirth i CoCo inför kommande kontokoppling
och detta för Ladok för personal i dessa miljöer:
- Stöd för Sirtfi
Låt någon anställd (affiliation=employee) hos er som har studieuppgifter i Ladok logga in i Ladok för studenter i någon av dessa miljöer:
https://student.integrationstest.ladok.se/https://student.test.ladok.se/https://student.utbildning.ladok.se/
och rapportera om problem. Vi vill säkerställa att det inte finns något uppenbart problem vid inloggning innan vi gör motsvarande för Ladoks produktionsmiljö.
/Fredrik
Fredrik Domeij
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
Hej,
Här kommer ett meddelande från Shibboleth konsortiet att Shibboleth
IdPv4 är end-of-life.
Om ni behöver ha hjälp att uppdatera kom på frågestunden på torsdag
morgon, https://wiki.sunet.se/pages/viewpage.action?pageId=185139336
Pål
------ Vidarebefordrat meddelande ------
Från "Cantor, Scott via announce" <announce(a)shibboleth.net>
Till "announce(a)shibboleth.net" <announce(a)shibboleth.net>
Datum 2024-09-03 15:30:25
Ämne Shibboleth Identity Provider V4 is now EOL
Just a reminder, as previously announced, the V4 branch of the IdP software is now end-of-life and no longer supported. This overlaps with the end of free support for Spring 5.3.
We have "archived" the wiki space, which just means it won't show up in search results, etc. but the space remains available online.
-- Scott
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej på er!
Som tidigare annonserats [0] är det dags att säga farväl till SWAMID Testing till fördel för vår nya QA-federation.
Måndag 16 september stängs feeds och kringliggande tooling för den gamla test-federationen av. Framtida behov hänvisas till QA-federationen.
[0] https://wiki.sunet.se/pages/viewpage.action?pageId=166330502
--
jocar
SWAMID Operations
Hej på er!
Vi kommer under dagen göra underhåll på release-check.swamid.se <http://release-check.swamid.se/> så störningar kan förekomma.
--
jocar
SWAMID Operations
För kännedom .
// Björn M
Sent from my iPhone
Begin forwarded message:
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Date: 31 July 2024 at 21:28:10 CEST
> To: announce(a)shibboleth.net
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Subject: Shibboleth Identity Provider V5.1.3 now available
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released [1] a patch update for the IdP software to address a handful of bugs, primarily a cookie/SameSite issue that could impact a small percentage of deployments and degrade the SSO experience.
>
> There aren't any release notes specific to this update of note.
>
> As a reminder, V4 will be reaching EOL at the end of August. Those with concerns about upgrading but a desire to do so are encouraged to consider joining the consortium [2] if they need assistance in doing so.
>
> Thanks,
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/latest/
> [2] https://www.shibboleth.net/membership/join-the-shibboleth-consortium/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Igår ändrade vi i vår metadata för aktivera-test.su.se och aktivera.su.se för att aktivera bankID.
Jag tänker mig att det kan vara <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true"> som ställer till det.
Hur kan jag göra för att inte ha AuthnRequestsSigned="true" för antagning.se och för vår engångskod?
EduID verkar fortfarande fungera och bankID.
Kan jag lägga till något som detta istället i min shibboleth xml?
<RelyingParty Name="https://bankid-idp.sunet.se/bankid/idp" signing="conditional" /> och sätta false för vår otc-idp.it.su.se och för antagning.se på något vis, eller finns det någon annan lösning?
Mvh
Tomas Björklund
IT-avdelningen
Stockholms universitet
106 91 Stockholm
www.su.se/it<http://www.su.se/it>
<http://www.su.se/it>
<https://www.su.se/om-webbplatsen-1.517562>
Hej på er alla,
Igår den 24 juni hade SWAMID Board of Trustees vårens andra och sista
möte. På mötet beslutades hur man kan använda digital representation av
svensk resehandling (pass och nationellt identitetskort) i service desk.
Vidare godkändes fyra organisationers uppdaterade Identity Management
Practice Statement (IMPS). Protokollet finns nu publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-06-24. Nästa SWAMID
Board of Trustees är planerad till slutet av september eller i början på
oktober. Detta betyder att om ni har uppdateringar som ni vill få
godkända då måste ni skicka in dem till SWAMID Operations senast i
slutet på augusti för att vi ska hinna gå igenom och granska
förändringarna.
SWAMID Operations har nu sammanställt och publicerat alla alternativa
modeller för identitetskontroll vid identitetskontroll som SWAMID Board
of Trustees har godkänt och som fortfarande är aktuella. Detta finns
tillgängligt på
https://wiki.sunet.se/display/SWAMID/SWAMID+Assurance+How-To#SWAMIDAssuranc….
Tänk på att att innan ni börjar använda dessa metoder för identifiering
av personer måste ni uppdatera er Identity Managment Practice Statement
(IMPS) och få uppdateringen godkänd av SWAMID Board of Trustees.
Trevlig sommar
Pål
Hej!
Vi fick idag ett abuse-ärende från Elsevier (EntityID https://sdauth.sciencedirect.com/ ) där de skriver
"To address future compromises the EduPersonTargetedID or it’s replacement pairwise-id id should be made available to Elsevier; so we can provide this value for identifying the compromised End User Account."
I SWAMIDs metadata verkar de inte ha någon kategori som gör att vi släpper något till dem.
Om jag lägger en egen release till deras entityID är jag lite orolig att de senare får en kategori som släpper subject-id till dem, vilket då innebär att de får bägge, vilket inte är ok.
Har någon annan gjort någon manuell release till dem och i så fall hur?
Mvh Tobias Galéus
Göteborgs universitet
Hej,
ger nu upp, är det någon annan som fått detta felet när dom uppgraderat till java17 (corretto jdk), jetty11 och idp5?
Den klagar på alla filer i idp.war filen. Har bara en installerad version av java och jag förstår inte hur jetty kan klaga på att den är kompilerad under javac 17 och sen inte kan köra den under java 17.
Suppressed: java.lang.RuntimeException: Error scanning entry org/springframework/web/util/pattern/package-info.class from jar file:///opt/jetty-base/tmp/jetty-0_0_0_0-8080-idp_war-_idp-any-11138712393958766714/webinf/WEB-INF/lib/spring-web-6.1.6.jar
at org.eclipse.jetty.annotations.AnnotationParser.lambda$parseJar$2(AnnotationParser.java:844)
at java.base/java.util.TreeMap$ValueSpliterator.forEachRemaining(TreeMap.java:3215)
at java.base/java.util.stream.ReferencePipeline$Head.forEach(ReferencePipeline.java:762)
at org.eclipse.jetty.annotations.AnnotationParser.parseJar(AnnotationParser.java:836)
at org.eclipse.jetty.annotations.AnnotationParser.parse(AnnotationParser.java:737)
at org.eclipse.jetty.annotations.AnnotationConfiguration$ParserTask.call(AnnotationConfiguration.java:172)
at org.eclipse.jetty.annotations.AnnotationConfiguration$1.run(AnnotationConfiguration.java:553)
at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:894)
at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1038)
at java.base/java.lang.Thread.run(Thread.java:840)
Caused by: java.lang.IllegalArgumentException: Unsupported class file major version 61
---------- Forwarded message ---------
Från: desislava.georgieva(a)agilent.com <desislava.georgieva(a)agilent.com>
Date: mån 17 juni 2024 13:18
Subject: Resolved: Login issues for Federated EU institutions
To:
Hello!
Happy to announce that the issue with iLab logins should now be resolved
for all affected institutions in Europe.
If you have questions or continue to face issues, please do not hesitate to
email iLab-support(a)agilent.com for help.
Thank you again for your patience and support!
Best,
Des
*Desislava Georgieva*
Customer Success Manager, EMEAI
Agilent CrossLab Group | Agilent Technologies, Inc.
www.agilent.com/crosslab
*Planned Out of Office: Friday, June 28th *
<https://www.agilent.com/cs/promotions/images/20181206-crosslab-insight-emai…>
För kännedom!
Pål
------ Vidarebefordrat meddelande ------
Från "desislava.georgieva(a)agilent.com" <desislava.georgieva(a)agilent.com>
Till
Datum 2024-06-17 10:33:58
Ämne iLab Urgent Communication: Login issues for Federated EU
institutions
Hello!
As you may be aware, there are currently issues with the iLab
SWAMID/HAKA logins for our users.
This issue is being investigated with high priority and we will keep you
updated on progress.
In the meantime, internal users can login intermittently using iLab
credentials, so their urgent work is not halted. Please feel free to
email iLab Support at iLab-support(a)agilent.com with a list of users
that need urgent access, and our team will assist with sending welcome
emails to them. You may also want to communicate this to individual
users internally as well.
Thank you for your patience as we work through this issue!
Best,
Des
Desislava Georgieva
Customer Success Manager, EMEAI
Agilent CrossLab Group | Agilent Technologies, Inc.
www.agilent.com/crosslab
<https://www.agilent.com/cs/promotions/images/20181206-crosslab-insight-emai…>
Hej
Vi har fått en fråga om inloggning till https://ieeexplore.ieee.org/Xplore Vi har någon variant av anonym inloggning idag, de vet att jag kommer från RISE men inte på individ nivå. Jag gissar via vår publika IP adress eller likande.
De har "Institutional Sign In" knapp längst upp om jag surfar från dator ej ansluten till RISE nät. Om jag klickar på "Institutional signs in" får man välja att söka efter institut men där finns vi inte. Dvs det verkar inte fungera med SWAMID. De hänvisar till https://SeamlessAccess.org<https://seamlessaccess.org/> där jag kan läsa "hosted by SUNET". Tänker att det borde vara "lätt"
Är det någon som vet hur det går till att få inloggning till IEEE??
Anders Persson
Systemarkitekt
Digital utveckling och IT
IT
Utvecklingsstöd
D: +46 10 516 5448 | V: +46 10 516 50 00
anders.persson(a)ri.se<mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se<http://www.ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter
Nedan följer information som gått ut till Lokala kontaktpersoner för Ladok vid lärosätena. Detta kan vara bra för er andra att veta också!
Sammanfattning
Ladokkonsortiet planerar för att byta användaridentifierare i Ladok. Detta innebär att vissa lärosäten behöver göra anpassningar i sin inloggningstjänst (IdP) i SWAMID. För att tidsplanen för bytet ska vara genomförbar behöver anpassningarna vara slutförda senast 2024-11-30.
Bakgrund
Ladokkonsortiet arbetar med att införa kontokoppling i Ladok för studenter. Kontokoppling innebär att studenter ska ges möjlighet att koppla andra inloggningar än inloggningen från sitt svenska lärosäte till Ladok. Detta behov finns särskilt för internationella studenter som efter sina studier inte har kvar sin lärosätesinloggning i Ladok och inte heller är svenska medborgare. Därmed kan de inte logga in via svensk e-legitimation eller skapa ett eduID-konto bekräftat med ett svenskt personnummer. Planerade inloggningsmetoder för kontokoppling är:
* eIDAS, europeisk e-legitimation
* European Student Identifier (ESI), som är tillgänglig från lärosäten inom Europa som stödjer Erasmus Without Papers (EWP)
* subject-id, vilket är en användaridentifierare hos många andra lärosäten i Europa och i övriga världen
* eduID-konton utan svenskt personnummer men bekräftade via pass/nationellt id-kort
För att möjliggöra kontokoppling behöver den användaridentifierare som används i Ladok idag, ePPN (eduPersonPrincipalName), bytas ut. ePPN har använts inom identitetsfederationen SWAMID i många år och i SWAMID finns krav på att den identifieraren aldrig någonsin får återanvändas för en annan person. Detta krav gäller dock inte internationellt för ePPN, vilket innebär att användaridentifieraren för person A tillåts återanvändas för person B vid lärosätet. Därmed får person B tillgång till person A:s uppgifter och behörigheter i system som inte är medvetna om återanvändandet. För att lösa det detta har en ny användaridentifierare skapats, subject-id<https://wiki.sunet.se/display/SWAMID/subject-id+-+SAML2+General+Purpose+Sub…>, som redan från början har detta krav. Utöver det finns en ny "entitetskategori" för att standardisera överföring av subject-id inom SWAMID och eduGAIN, REFEDS Personalized Access Entity Category<https://wiki.sunet.se/display/SWAMID/4.1+Entity+Categories+for+Service+Prov…>.
Byte till subject-id som identifierare i Ladok minimerar också risken att personal som loggar in i Ladok för personal från ett lärosäte utanför Sverige har fått en användaridentifierare som är återanvänd.
Påverkade lärosäten
Dessa lärosäten uppfyller idag inte Ladoks krav på subject-id som användaridentifierare och har ett arbete att göra för att uppfylla dessa:
*
Enskilda Högskolan Stockholm
*
Försvarshögskolan
*
Gymnastik- och idrottshögskolan
*
Kungl. Konsthögskolan
*
Kungl. Musikhögskolan i Stockholm
*
Marie Cederschiöld högskola
*
Röda Korsets högskola
*
Sophiahemmet Högskola
*
Stockholms konstnärliga högskola
*
Sveriges lantbruksuniversitet
Dessa lärosäten uppfyller idag Ladoks krav men kan behöva anpassa eventuella integrationer mot Ladok inför byte av användaridentifierare:
* Karlstads universitet
* Lunds universitet
* Malmö Universitet
Tidsplan
Förhoppningen är att kunna leverera funktionalitet för kontokoppling under december 2024, vilket skulle möjliggöra för internationella studenter som lämnar sitt svenska lärosäte efter årsskiftet att utföra kontokoppling innan de lämnar. För att kunna införa kontokopplingen i Ladok för studenter måste samtliga lärosäten ha implementerat entitetskategorin Personalized senast 2024-11-30.
För mer information om status kring Personalized för respektive lärosäte, se Byte till subject-id<https://confluence.its.umu.se/confluence/display/ITL/Byte+till+subject-id> (kräver inloggning till Ladoks dokumentation, prata med er lokala kontaktperson för Ladok).
MVH
Fredrik Domeij, Ladoksupporten
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
Hej!
Idag har vi haft vårt sista möte (för tillfället) där vi diskuterade
uppgraderingsarbetet till Shibboleth IdP v5. Vi har haft många
intressanta diskussioner under de senaste veckorna!
Under semesterperioden kan ni använda denna lista för att ställa frågor
eller dela information som ni tror att andra kan dra nytta av.
Vi kommer att återuppta mötena i augusti. Mer information om detta
kommer närmare tiden.
Vänliga hälsningar,
Paul.
SWAMID operations.
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej,
Som flera av er tidigare hört är nu tjänsten e-legitimation som tjänst
tillgänglig för alla som är anslutna till Sunet. På Sunets wiki finns
information om tjänsten,
https://wiki.sunet.se/display/eLegitimationSomTjanst.
I månadsbrevet som i slutet på maj gick ut till de officiella
kontaktpersonerna för lärosätena och andra anslutna organisationer stod
följande.
"E-legitimation som tjänst
Nu kan Sunets anslutna organisationer använda Svensk e-legitimation mot
sina tjänster genom Sunets nya tjänst E-legitimation som tjänst.
Organisationer som är anslutna till Sunet kan beställa E-legitimation
som tjänst. Man behöver också ha ett avtal med en utfärdare av
e-legitimation. För frågor om avtal och uppstart kontakta
tjänsteförvaltare zacharias(a)sunet.se. Läs mer om tjänsten under
Tjänster/Identifiering på sunet.se. Mer detaljerad information om
tjänsten finns på wiki.sunet.se.
Vi välkomnar två lärosäten som nu börjat använda BankID som IdP genom
Sunet.
Har ni frågor, kontakta Zacharias Törnblom, zacharias(a)sunet.se."
Pål
Som uppföljning på min fråga idag på Zoom där jag fick följande fel i loggen
2024-05-23 20:21:16,133 - WARN [org.ldaptive.auth.Authenticator:509] - Entry resolution failed for resolver=[org.ldaptive.auth.SearchEntryResolver@464538039::factory=null, baseDn=, userFilter=null, userFilterParameters=null, allowMultipleEntries=false, subtreeSearch=false, derefAliases=NEVER, binaryAttributes=null, entryHandlers=null]|10.244.175.89|
org.ldaptive.LdapException: Error resolving entry for xgalto(a)gu.gu.se. Unsuccessful search response: org.ldaptive.SearchResponse@-924623128::messageID=2, controls=[], resultCode=INVALID_DN_SYNTAX, matchedDN=, diagnosticMessage=0000208F: NameErr: DSID-03100231, problem 2006 (BAD_NAME), data 8350, best match of:
'xgalto(a)gu.gu.se'
^@, referralURLs=[], entries=[], references=[]
at org.ldaptive.auth.AbstractSearchEntryResolver.resolve(AbstractSearchEntryResolver.java:297)
Vi har haft följande inställning
idp.authn.LDAP.authenticator= adAuthenticator
Och om man läser på https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuth…
"Configuration that leverages the AD specific @domain.com format. No DN search is performed since AD supports binding directly with that user name."
Vilket jag tycker borde funkat då vår domän är @gu.gu.se. Men jag ändrade inställningen till
idp.authn.LDAP.authenticator= bindSearchAuthenticator
Och hade idp.authn.LDAP.bindDN och idp.authn.LDAP.bindDNCredential konfigurerade sedan tidigare med ett servicekonto och nu är varningen borta!
Tack för hjälp med felsökningen!
Mvh Tobias
Hej!
Jag har lyssnat på SWAMIDS genomgångar gällande skiftet från Shibboleth IdP
v4 till v5 och har lite frågor kring rekommendationen att uppgradera hellre
än att installera nytt. Jag hoppas att det är ok att ställa frågan såhär
direkt för jag kommer inte ha möjlighet att vara med på torsdagens pass
heller.
Min grundfråga handlar om vad det är som man riskerar att missa (eller få
för problem) om man gör en nyinstallation? Anledningen till frågan är att vi
kommer att behöva byta installationskonfiguration till att låta Shibboleth
IdP:n bli en SP-proxy mot EntraID istället för att låta inloggningarna ske
direkt mot vårt AD, och det innebär att den mesta konfigurationen som vi har
lokalt (och har byggt på oss historiskt) kommer att vara överflödig eller
utdaterad. Med anledning av det skulle det troligen vara enklare att börja
från scratch och då med v5 direkt tänker vi.
Det jag kommer på som borde vara nödvändigt för oss att få med är secret key
management, certifikat samt olika saltningar i IdP-konfigurationsfiler så
att vi behåller samma beräknade persistentId:s för användare.
Stämmer detta? Har jag missat något gällande vad vi skulle behöva få med oss
till en nyinstallation? Eller skulle rekommendationen att uppgradera väga
tungt även i vårt scenario?
Jag kan passa på att nämna att vi kör vår IdP i Windowsmiljö.
Med vänlig hälsning
/Johan
_________________________________________
Johan Hjortskull
Systemarkitekt
Linnéuniversitetet
IT-avdelningen
391 82 Kalmar / 351 95 Växjö
0772-28 80 00 Växel
0470-70 81 61 Direkt
070-256 21 79 Mobil
johan.hjortskull(a)lnu.se
Lnu.se
Vi sätter kunskap i rörelse för en hållbar samhällsutveckling.
Linnéuniversitetet ett modernt, internationellt universitet i Småland.
Vi behandlar personuppgifter enligt reglerna i Dataskyddsförordningen, se
<https://lnu.se/mot-linneuniversitetet/kontakta-och-besoka/personuppgifter/>
Lnu.se/personuppgifter.
Hej Michael (cc list)
Angående diskussioner i gårdagens Shibboleth möte....
Jag har installerat en Windows 2022 server med Coretto 17 och Visual
C++ 2015-2022.
Jag installerade en ny Shibboleth IdP 5.1.2 och sedan jetty-base
11.0.18. Jag valde att inte köra med inbyggt konto.
Den gick att installera jetty-base utan problem och Jetty startade
korrekt.
Det hjälper nog inte dig så mycket, men det är inte ett generellt fel i
alla fall.
En skillnad är att min IdP är en nyinstallation eftersom jag hade inget
tidigare. Det gjorde mig att tänka - har du en tidigare jetty-base mapp
under shibboleth-idp mappen när du kör jetty-base installern? Har du
prövat flytta bort den?
Vänliga hälsningar / Best regards
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Phone: +46 54 700 23 07
Mobile: +46 54 70 191 42 83
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej!
Kommer i bilagan. Kör Ubuntu 22.04.4 LTS (Jammy Jellyfish). Vissa grejer
är väl specifikt för vår installation.
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Jag tycker att jag följt Scotts guide ( https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1469908146/Example+4.… ) men jag har uppenbarligen missat något för jag får fortfarande varningar för auto-wired entries.
Finns det något sätt att se vilka filer den syftar på här? Eller kan man söka på de operators den klagar på? Grepa på 'exact', 'minimum', 'better' och 'maximum' gav inget.
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthenticationMethodPrincipal' and operator 'exact'||
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'better'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'better'||
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej.
Har idag lagt ut en uppdaterad metadata.swamid.se <http://metadata.swamid.se/>
Största förändringen är att den börjar flagga upp SAML1.
I Draft läget finns det även en knapp som raderar all SAM1 om det finns några error / warnings kring detta.
Varningar kommer att börja dyka upp så snart metadatan är validerad. Görs vid uppdateringar och var 14 dag för oförändrade entiteter.
// Björn M
Hej!
Jag har uppgraderat till jetty 11 + idpshibboleth 5.1.2 men får följande
felmeddelande:
org.springframework.beans.factory.CannotLoadBeanClassException: Error
loading class
[net.shibboleth.plugin.storage.jdbc.impl.JDBCStorageService] for bean
with name 'JDBCStorageService' defined in file
[/opt/shibboleth-idp/conf/global.xml]: problem with class file or
dependent class
.
.
Caused by: java.lang.NoClassDefFoundError:
org/opensaml/storage/StorageCapabilitiesEx
.
.
Med jetty 10 + idpshibboleth 4.3.3 fungerar det bra. Är det någon
jar-fil jag saknar som krävs i jetty 11 nu?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Det är alltså dessa varningar om SAML2NameID man skall ignorera?:
2024-04-18 12:17:26,894 - WARN [DEPRECATED:128] - xsi:type
'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]):
This will be removed in the next major version of this software;
replacement is (none)
/Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är det dags att uppgradera till en nyare huvudversion eftersom den tidigare huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl alltid viktigt att endast använda aktuella och underhållna versioner av programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För er som använder Shibboleth Identity Provider finns det två sätt att hantera att näst senaste huvudversion blir End-of-Life, antingen genom att uppgradera till version 5, att byta till annan programvara än Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>, eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut senast under november 2024 och genomför helst arbetet i god tid. Vi uppmanar er därför att aktivt delta på webinar och diskussionsmöten under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än uppgradering inom samma huvudversion och det är därför särskilt viktigt att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er information om hur ni både förbereder och genomför uppgraderingen på ett bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för användarkonton och ett administrativt gränssnitt för att koppla dessa till organisationen.
SWAMID finns som stöd i uppdateringen
För att underlätta arbetet med att uppdatera från äldre versioner kommer SWAMID Operations att genomföra två olika arrangemang, dels ett inledande webinar som beskriver uppdateringsprocessen och därefter öppna mötestillfällen varannan vecka under våren där vi hjälper varandra i uppdateringsprocessen. Detta betyder att vi inte kommer att ha något hackaton där alla gör jobbet på plats. Orsaken till detta är att vi alla har olika förutsättningar och är på olika plats i uppgraderingsprocessen redan nu.
Webinar om uppgradering till Shibboleth IdP v5<https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering…>
Syfte
Shibboleth Identity Provider version 4.3.1 går End-of-Life i början av september i år. För att uppgraderingsprocessen ska gå så smidigt som möjligt bjuder SWAMID Operations in till ett webinar där vi beskriver de olika stegen samt vad man behöver tänka på.
Målgrupp
Detta webinar vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgraderingen, vid SWAMIDs medlemsorganisationer.
Datum & tid
10.00 – 11.00 torsdagen den 11 april, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Talare
Paul Scott
Öppna diskussionsmöten om frågor som dyker upp på vägen<https://wiki.sunet.se/pages/viewpage.action?pageId=185139336>
Syfte
Som uppföljning till webinariet om uppgradering av Shibboleth Shibboleth Identity Provider version 4.3.1 bjuder SWAMID Operations till ett antal öppna möten där det är möjligt att få hjälp av SWAMID Operations och andra som genomför uppgraderingen.
Målgrupp
Dessa öppna möten vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgradering, vid SWAMIDs medlemsorganisationer.
Datum & tid
9.00 – 10.00 torsdagarna den 18 april, 2 maj, 16 maj, 30 maj och 13 juni, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Vad händer om vi inte uppgraderar i tid?
I SWAMID teknologiprofil för SAML2 WebSSO<https://wiki.sunet.se/display/SWAMID/SAML+WebSSO+Technology+Profile> under avsnitt 5.4 finns kraven på den federativa programvaran för identitetsutfärdare beskriven och krav 5.4.11 definierar att medlemsorganisationer ej får använda programvara som inte längre underhålls eller innehåller kända säkerhetsproblem. Detta innebär att alla som idag använder Shibboleth IdP version 4 eller tidigare måste uppdatera innan 1 september 2024. Om inte uppdatering genomförs i god ordning kommer SWAMID Operations att föreslå SWAMID Board of Trustees att fatta beslut om att organisationens identitetsutfärdare avregistreras från SWAMID 2024-12-01. Detta kommer innebära, efter beslut har fattats, att organisationens användare inte kommer att kunna logga in i tjänster anslutna till SWAMID förrän uppgraderingen är gjord. Denna process beskrivs kortfattat i SWAMIDs policy<https://wiki.sunet.se/display/SWAMID/SWAMID+Policy#SWAMIDPolicy-SWAMIDFeder…> under avsnitt 6.3.
Viktigt om uppdateringsprocessen
Om ni inte redan använder Shibboleth 4.3.1 uppdatera till denna version! Detta för att både få rätt konfiguration och rätt varningsmeddelanden i loggar. Samma metod för uppdatering ska användas som nedan. Observera att varningsmeddelandet om stödet för eduPersonTargetId är felaktigt skrivet och är i avvecklat i version 5.
Shibboleth Consortium beskriver i release-notes för IdP v5, ReleaseNotes - Identity Provider 5<https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseN…>, att befintliga konfigurationsfiler bara kan användas om uppgraderingen görs i befintlig installation. Följ anvisningarna och installera inte den nya versionen separat för att därefter försöka använda de gamla konfigurationsfilerna. IdP:n behöver istället uppgraderas "på plats" genom att använda en installationskatalog som innehåller en kopia av en tidigare fungerande konfiguration av V4.3.1.
Vidare skriver de att plugins behöver uppdateras innan själva IdP:n uppgraderas och att plugins också ska uppdateras efteråt. Detta eftersom stora interna förändringar skett mellan v4 och v5. Uppgradera och testa alla plugins innan IdP-uppgraderingen påbörjas, och uppdatera åter alla plugins efter IdP-uppgraderingen slutförts, innan IdP:n startas. Installationsprogrammet varnar om detta och rapporterar vilka plugins som behöver en uppdatering.
SWAMID Operations
Pål Axelsson och Paul Scott
FYI
--
jocar
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.1.2 and V4.3.3 now available
> Date: 15 April 2024 at 19:36:20 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released patch updates to the V5 and V4 IdP software [1] to address a re-issued Spring advisory..
>
> The original March advisory from us has been updated [2] and will be resent to the announce list shortly, and clarifies the IdP versions that address the issue (to our knowledge at least).
>
> We will be taking steps in the future to address the specific dependency on Spring in this scenario in case they continue to discover more problems with it.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/
> [2] https://shibboleth.net/community/advisories/secadv_20240320.txt
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej igen,
Shibboleth har också släppt en ny version av autentiseringsmodulen till
Shibboleth IdP som gör att det går att använda en OIDC Provider som
inloggningstjänst istället för de inbyggda möjligheterna i Shibboleth IdP.
Det gör att du t.ex. kan använda Entra ID för inloggning i er Shibboleth
IdP.
Pål
*From:* announce <announce-bounces(a)shibboleth.net> *On Behalf Of *Philip
Smart via announce
*Sent:* Thursday, April 11, 2024 3:04 PM
*To:* announce(a)shibboleth.net
*Cc:* Philip Smart <Philip.Smart(a)jisc.ac.uk>
*Subject:* OIDC Relying Party Authentication Proxy Plugin v2.1.0 Now
Available
The Shibboleth Project has released V2.1.0 of the OIDC Relying Party (RP)
authentication plugin (see the documentation at [1] and the release notes
at [2]).
In addition to internal plugin cleanup, this release adds PKCE support,
support for the ‘display’ authentication request parameter, and allows the
injection of a custom strategy for adding arbitrary claims to the request
object.
-- Phil Smart, on behalf of the team
[1]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3013804089/OI…
[2]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OI…
Jisc is a registered charity (number 1149740) and a company limited by
guarantee which is registered in England under company number. 05747339,
VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane,
Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company
limited by guarantee which is registered in England under company number
02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company
limited by shares which is registered in England under company number
09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here:
https://www.jisc.ac.uk/website/privacy-notice
Hej,
För er som använder eller är intresserade av använda OIDC plugin i
Shibboleth IdP...
Pål
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Henri
> Mikkonen
> Sent: Thursday, April 11, 2024 2:45 PM
> To: announce(a)shibboleth.net
> Subject: OIDC OP v4.1.0 now available
>
> The Shibboleth Project has released V4.1.0 of the OIDC OP plugin (see
> release notes at [1])
>
> This is a feature release that adds support for OIDC logout along with
> some general improvements and minor bug fixes.
>
> Acknowledgement to DAASI: their back-channel logout propagation plugin
> was used as a basis for the logout feature implementation.
>
> -- Henri Mikkonen, on behalf of the team
>
> [1]
>
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/O
> PReleaseNotes
> --
Hej,
På vårens Sunetdagar finns ett antal inplanerade pass runt
identitetshantering. Det fulla programmet finns på Sunetdagarwebben
<https://registration.invajo.com/2d97d036-e9cf-49be-bf6a-ba2aca5b99a5?page=8…>
men här finns identitetspassen i en lista, även publicerad på
Identitetshantering
på Sunetdagarna våren 2024 - Sunet Wiki
<https://wiki.sunet.se/pages/viewpage.action?pageId=190283916>.
- Forskningstjänsternas behov av identiteter för forskare, Tisdag, 23
april, 15:00 - 15:30
- IdP:er för digitala nationella prov (huvudmanna-IdP:er, eduID
Connect), Tisdag, 23 april, 15:40 - 16:10
- eduGAIN – SWAMID utanför Sverige, Onsdag, 24 april, 11:25 - 12:00
- Vad är på gång i SWAMID?, Onsdag, 24 april, 15:15 - 15:45
- EU Digital Identity wallet (EUDIW), Onsdag, 24 april, 15:55 - 16:25
- Sunet Drive – Multifaktorsautentisering på djupet, Torsdag, 25 april,
09:55 - 10:25
Anmälan till Sunetdagarna är stängd men listan är till för er som anmält er.
Pål
Hej,
Idag den 22 mars hade vi årets första SWAMID Board of Trustees. Protokollet
är nu publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-03-22. Denna gång blev
fyra organisationers uppdaterade Identity Management Practice Statement
godkända. SWAMID Operations rapporterade om aktuell status för årets
tillitsprofilöversyn och tre övriga frågor lyftes. Korta sammanfattningar
finns i protokollet.
Pål
FYI
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V4.3.2 now available
> Date: 21 March 2024 at 15:13:51 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released a patch release of the V4 Identity Provider branch, to address the security advisory issued yesterday [1] and a few other bug fixes and library updates.
>
> The software is now available from the usual place [2] and the release notes are updated [3].
>
> It is hoped that this will be the final V4 IdP release, pending any other security issues identified. Security maintenance and support will end Sept 1, 2024 as planned.
>
> -- Scott
>
> [1] https://shibboleth.net/community/advisories/secadv_20240320.txt
> [2] https://shibboleth.net/downloads/identity-provider/latest4/
> [3] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
Här kommer en säkerhetsbulletin från Shibboleth. Björn skickade ut förra veckan.
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Cantor, Scott via announce <announce(a)shibboleth.net>
Skickat: den 20 mars 2024 13:47
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Ämne: Shibboleth Identity Provider Security Advisory [2024-03-20]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Shibboleth Identity Provider Security Advisory [20 March 2024]
CAS service URL handling vulnerable to Server-Side Request Forgery
==================================================================
The Identity Provider's CAS support relies on a function in the
Spring Framework to parse CAS service URLs and append the ticket
parameter. Spring published an advisory regarding this function
and re-opened the advisory again after their latest release. [1]
Updates for both supported branches of the IdP are being provided
to update the Spring Framework version to address the issue.
Those not using the IdP's CAS protocol support are not impacted
by this issue, though all are encouraged to upgrade at their next
opportunity.
Affected Versions
=================
The Spring Framework bug is found in the versions outlined by
their advisory [1].
This implicates Identity Provider versions < 5.1.1 and < 4.3.2
when CAS is in use.
Recommendations
===============
Upgrade to Identity Provider V5.1.1 or later.
Upgrade to Identity Provider V4.3.2 or later (once available).
References
==========
URL for this Security Advisory
http://shibboleth.net/community/advisories/secadv_20240320.txt
[1] https://spring.io/security/cve-2024-22259
-----BEGIN PGP SIGNATURE-----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=gO7B
-----END PGP SIGNATURE-----
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
På Sunetdagarna nu i höst informerade vi om att SWAMIDs gamla
testfederation kommer att avvecklas och ersättas av SWAMIDs QA-federation.
QA-federationen finns på plats redan idag med samma uppsättnings verktyg
som i SWAMIDs produktionsfederation.
SWAMIDs testfederation kommer att stängas av vid halvårsskiftet 2024.
Nyregistreringar i SWAMIDs testfederation är inte längre tillåtna!
Adresser till verktyg i SWAMIDs QA-miljö:
- Metadataverktyget: https://metadata.qa.swamid.se/
- Metadata via MDQ (nya modellen): https://mds.swamid.se/qa/
- Metadata via aggregat (gamla modellen): https://mds.swamid.se/qa/md/
- Hänvisningstjänst: https://ds.qa.swamid.se/ds
- Release-check: https://release-check.qa.swamid.se/.
SWAMIDs alla instruktioner för både identitetsutfärdare och tjänster går
att använda men ni behöver byta aktuella URLar enligt ovan i
konfigurationsfilerna.
Pål Axelsson
Hej,
Jag tycker det är lite lång svarstid från operation@ på det senaste. Har jag hamnat i nåt spamfilter (igen) eller är jag bara bortskämd? :)
/Björn
Hej,
För er som använder Shibboleth IdP OIDC RP Plugin...
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Philip Smart via announce <announce(a)shibboleth.net>
Skickat: den 19 mars 2024 17:09
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Kopia: Philip Smart <Philip.Smart(a)jisc.ac.uk>
Ämne: OIDC Relying Party Authentication Proxy v2.0.1 now available
The Shibboleth Project is pleased to announce V2.0.1 of the OIDC Relying Party (RP) authentication plugin (see the documentation at [1] and the release notes at [2]).
This latest release addresses a problem in V2.0.0 where an internal IdP jar file was inadvertently included in the plugin's distribution. This caused potential conflicts with the IdP's classpath, making it difficult for users (who use this plugin) to upgrade to newer versions of the IdP from version 5.0.0.
Version 1.x of the RP, compatible with version 4.x of the IdP, is not affected by this issue.
-- Phil Smart, on behalf of the team
[1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3013804089/OI…
[2] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OI…
Jisc is a registered charity (number 1149740) and a company limited by guarantee which is registered in England under company number. 05747339, VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company limited by guarantee which is registered in England under company number 02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company limited by shares which is registered in England under company number 09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here: https://www.jisc.ac.uk/website/privacy-notice
För kännedom.
Viktigast är nog uppdateringen av 4.3.1 -> 4.3.2 för er som kör CAS.
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via alert" <alert(a)shibboleth.net>
> Subject: Spring bug necessitates IdP patches
> Date: 14 March 2024 at 15:04:32 CET
> To: "alert(a)shibboleth.net" <alert(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: alert(a)shibboleth.net
>
> FYI,
>
> There's a Spring bug [1] I reviewed a while ago that I mis-triaged, we have a limited exposure to it in the CAS support in the IdP.
>
> They re-opened that bug/advisory just now and patched Spring 6.1 again, which we missed by a day so unfortunately we have to issue a 5.1.1 to pick that up, but more impactfully I guess, we'll need to prepare a 4.3.2 patch to update Spring 5.3 there.
>
> It's probably good I overlooked it as it's not terribly serious and it would have required a second patch round anyway since they didn't fully fix it before.
>
> Anyway, we will get a 5.1.1 out pretty quickly and then take a bit of time to issue the 4.3.2 update so we can make that the (hopefully) final rollup of V4 that we weren't planning on doing.
>
> If you don't use the CAS support, you have no exposure to this. Even if you do it's likely not very big a deal but there is probably some risk of a redirection/SSRF attack out of the IdP.
>
> -- Scott
>
> [1] https://spring.io/security/cve-2024-22259
>
> --
> To unsubscribe from this list send an email to alert-unsubscribe(a)shibboleth.net
Hej,
Här kommer information om att Shibboleth IdP 5.1.0 har släppts idag.
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Cantor, Scott via announce <announce(a)shibboleth.net>
Skickat: den 13 mars 2024 15:17
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Kopia: Cantor, Scott <cantor.2(a)osu.edu>
Ämne: Shibboleth Identity Provider V5.1.0 now available
The Shibboleth Project is pleased to announce that V5.1.0 of the Identity Provider software, the first significant update to the 5.x branch, is now available.
The native and Windows installation packages are in the usual place [1] and the Release Notes are at [2]. The list of changes is a bit more lengthy than some updates, so we strongly advise reviewing them before proceeding and while testing.
Notably the new TLS defaults and CSP additions, some of which are active by default, may be of relevance in some unusual cases.
As is standard practice, V5.0.0 becomes unsupported with this release so any future security patches will be on the 5.1 branch.
Thanks,
-- Scott
[1] https://shibboleth.net/downloads/identity-provider/latest5/
[2] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom.
Se även
https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering…
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.1.0 now available
> Date: 13 March 2024 at 15:17:53 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project is pleased to announce that V5.1.0 of the Identity Provider software, the first significant update to the 5.x branch, is now available.
>
> The native and Windows installation packages are in the usual place [1] and the Release Notes are at [2]. The list of changes is a bit more lengthy than some updates, so we strongly advise reviewing them before proceeding and while testing.
>
> Notably the new TLS defaults and CSP additions, some of which are active by default, may be of relevance in some unusual cases.
>
> As is standard practice, V5.0.0 becomes unsupported with this release so any future security patches will be on the 5.1 branch.
>
> Thanks,
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest5/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
*All MFA are equal, but some MFA are more equal than others.*
Vi har sett ett behov av att kunna kommunicera vilken typ av
säkerhetsnyckel som vi tillåter.
Det kan vara bra att veta om man ska göra ett större inköp, eller om man
ska starta upp ett projekt/en större tjänst där man ska börja kräva
inloggning med säkerhetsnyckel.
Vi använder Fido Alliance metadata för att göra uppslag på godkända
säkerhetsnycklar och gör ett eget urval baserat på att vi vill att de ska
kräva att användaren är vid enheten när den aktiveras (för att undvika
bedrägliga inloggningar).
Utdrag från vår FAQ:
Choosing a Security Key......Further technical information:
- The key must perform an attestation and exist in the metadata,
- it must not contain any other status in the metadata than a few
variants of: "fido certified",
- it must support any of the following user verification methods:
"faceprint_internal",
"passcode_external", "passcode_internal", "handprint_internal",
"pattern_internal", "voiceprint_internal", "fingerprint_internal",
"eyeprint_internal",
- and must not support any other key protection than: "remote_handle",
"hardware", "secure_element", "tee".
*Länk till FAQ*
https://eduid.se/faq
titta under avsnittet för att öka säkerheten på ditt eduID-konto så hittar
ni förklaring till typ av nycklar vi godkänner, samt visar upp metadatat
för de nycklar vi godkänner från Fido Alliance.
-- Zacharias
Hej på er alla,
Skickar vidare denna inbjudan till vårens Sunetdagar på Uppsala universitet
den 23–25 april.
Hoppas vi ser så många som möjligt av er där.
Anmälan och program: https://sunetdagarna.se
Pål
[image: Text "Sunetdagarna 2024" på bakgrund. Orangea fiberoptiska kablar
mot svart bakgrund]
<https://evt.ungpd.com/Issues/c013f601-09e9-4569-8fc9-1545ecdfe7d5/Click?Con…>
*Välkommen till Sunetdagarna – en mötesplats för dig som arbetar med nät,
identitet, säkerhet och IT-tjänster. *
*Datum: *23–25 april 2024
*Plats:* Uppsala universitet
*Anmälan: *Konferensen är kostnadsfri men platserna är begränsade så vänta
inte för länge med din anmälan. Anmälan stänger den 5 april klockan 13.00.
Program och anmälan på sunetdagarna.se (länk).
<https://evt.ungpd.com/Issues/c013f601-09e9-4569-8fc9-1545ecdfe7d5/Click?Con…>
Vi kommer stänga av funktionen för att verifiera med hjälp av pass och
resehandling via leverantören Svipe. Detta efter att vi inte har förlängt
avtalet som går ut nu.
För de med pass eller nationellt ID-kort från EU eller UK kan de även
fortsatt verifiera sitt eduID-konto genom att hos Freja skapa ett konto med
pass och resehandling skapa ett konto som i sin tur går att använda för att
verifiera ett eduID-konto. Deras lista över godkända länders resehandlingar
växer kontinuerligt, allt eftersom de får godkännande av DIGG.
Vi arbetar för att så snart som möjligt hitta en lösning där vi kan ta emot
verifiering med pass och resehandling från även de länder som funktionen
genom Svipe tidigare har täckt in.
--
Hej på er alla,
Här kommer även en påminnelse från Shibbolethkonsortiet angående Shibboleth
IdP 4 End-of-Life.
Scott nämner IdP 5.1.0 nedan och enligt den information jag fått bör den
släppas under mars.
Pål
---------- Forwarded message ---------
Från: Cantor, Scott via announce <announce(a)shibboleth.net>
Date: fre 1 mars 2024 17:39
Subject: Reminder: Shibboleth Identity Provider V4 EOL is Sept 1, 2024
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
This is a courtesy reminder that the V4 branch of the IdP software will be
end of life 6 months from today on Sept 1, 2024.
We may produce a roll up patch for V4.3 to update dependencies and the like
and apply a few bug fixes before that point, but that hasn't been
determined as of yet, as we're focused on getting 5.1 out the door right
now.
Either way, the EOL date is definitely firm at this point, there are no
reasons why that would change.
-- Scott
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Jag kikar på möjligheterna att släppa eduPersonOrcid från vår IdP.
ORCiD ID finns i organisationen men det krävs viss utveckling för att IdPn ska få tillgång till det och jag skulle behöva motivera den insatsen/kostnaden.
Vilka (viktiga/nyttiga) tjänster använder ni som kräver/nyttjar attributet eduPersonOrcid vid en IdP-inloggning?
/Eric
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/medarbetare/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://ki.se/en/staff/data-protection-policy>.
Hej.
Jag testade vår IdP mot eduGAIN:s release-check idag och stötte på lite
oklarheter.
Främst funderar jag kring entitetskategorin REFEDS Research and Scholarship
och släppandet av eduPersonAssurance som vi ju har som tillägg i SWAMID.
När jag testar vår IdP mot eduGAIN så klagar de på att jag släpper attribut
som inte efterfrågas (eduPersonAssurance i detta fallet).
Vi har grundat vårt attributfilter på SWAMID:s exempel i SAML IdP Best
Current Practices
https://wiki.sunet.se/display/SWAMID/Example+of+a+standard+attribute+filter+
for+Shibboleth+IdP+v4+and+above? Kan jag med gott samvete konfigurera vår
IdP att bara släppa eduPersonAssurance till relying parties där SWAMID är
registration authority på liknande sätt som vi hanterar
personalIdentityNumber för CoCo. Detta eftersom eduPersonAssurance i R&S är
en utökning inom SWAMID eller missar jag något då? Eller förväntas jag
alltid släppa det för R&S i min egenskap av IdP inom SWAMID?
Är det någon annan som reflekterat kring detta?
Dessutom kan jag nämna att https://release-check.edugain.org/ tvärt emot
SWAMID:s release-check förväntar sig en grunduppsättning attribut i de fall
ingen entitetskategori specificerats för relying party:n
Med vänlig hälsning
/Johan
_________________________________________
Johan Hjortskull
Systemarkitekt
Linnéuniversitetet
IT-avdelningen
391 82 Kalmar / 351 95 Växjö
0772-28 80 00 Växel
Lnu.se
Vi sätter kunskap i rörelse för en hållbar samhällsutveckling.
Linnéuniversitetet ett modernt, internationellt universitet i Småland.
Vi behandlar personuppgifter enligt reglerna i Dataskyddsförordningen, se
<https://lnu.se/mot-linneuniversitetet/kontakta-och-besoka/personuppgifter/>
Lnu.se/personuppgifter.
Hej.
Vi har nu lagt till en liten men nyligen efterfrågad funktion.
Då all Metadata finns på mdq.swamid.se <http://mdq.swamid.se/> som enskilda filer (via MDQ) vill man kunna hämta enstaka entityID och inte behöva hämta hela feeden.
För att underlätta finns numera en länk under "Signed XML in SWAMID” på respektiver entitet i toolet.
// Björn M.
*Lightning Talks till Sunetdagarna!*
*Den 23-25 april arrangerar vi Sunetdagarna på Uppsala universitet. Nytt
för årets Sunetdagar är Lightning Talks - korta presentationer om ett
specifikt ämne på endast 5-7 minuter. Presentera en idé, ett framgångsrikt
projekt, ett problem du löst, en hobby, eller någonting helt annat! Skicka
ditt bidrag i ett mail till info(a)sunetdagarna.se
<info(a)sunetdagarna.se> senast den 16 februari med en kort text om dig
själv, din föreslagna titel och en kort beskrivning av ditt Lightning Talk.*
*Läs mer om Sunetdagarna på Sunets hemsida
- https://sunet.se/om-sunet/aktuellt/evenemang/save-the-date-sunetdagarna-var…
<https://sunet.se/om-sunet/aktuellt/evenemang/save-the-date-sunetdagarna-var…>*
För programkommittén
Pål
Hej!
Frågar er innan jag gör några djupare grävningar.
Vi har en OpenLDAP-resolver för vår IDP och undrar om någon har en bra definition på mailLocalAddress som jag kan plagiera?
mailLocalAddress är visst inte ett "attribut" i någon känd objektklass vad jag kan se.
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Hej!
Sitter och tittar på att flytta vår test-IDP från Swamid Testing till Swamid QA.
Den information jag hittade på Wikin är det under dessa sidor:
https://wiki.sunet.se/display/SWAMID/QA+for+SWAMID+SAML+WebSSO
Jag vet att det har diskuterats lite på olika träffar och möten om just QA men finns det någon information i wikin som beskriver vad som gäller för SP och IDP som läggs till QA utöver det som står på sidan jag hittade?
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Hej,
Idag höll SWAMID Board of Trustees årets tredje och sista möte. Protokollet
finns på adressen https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2023-12-19.
På detta möte godkändes uppdateringar av 6 organisationers IMPSer och några
fem informations- och diskussionspunkter togs upp.
God jul och gott nytt år på er alla!
Pål
Hej
Det har dykt upp ett fel när jag försöker logga in på https://metadata.swamid.se/admin. Får följande error " Missing member in either eduPersonScopedAffiliation or eduPersonAffiliation in SAML response".
När jag kollar releasecheck då är bägge attribut med. Någon som vet vad det kan bero på?
Vyacheslav Lytvynenko
IT-avdelningen
Högskolan i Skövde
Inloggning med Freja eID+ eller BankID
Studenter utan aktivt studentkonto kan nu logga in i en begränsad version av Ladok för studenter: Ladok för alumner. Inloggningen sker genom att besöka www.student.ladok.se<https://ladok.us13.list-manage.com/track/click?u=a1fd40c89d4197fd42c0981ab&…> och välja Ladok för alumner. Där går det sedan tidigare att logga in med Freja eID+, och från och med 6 december kan studenten även logga in med med BankID. De nya inloggningsmetoderna ger tillgång till en begränsad version av systemet där studenten bland annat kan hämta intyg och ansöka om examen. Det kommer också bli möjligt att hämta sitt examensbevis där när lärosätet väljer att börja använda den funktionaliteten. Så länge som studenten har ett aktivt studentkonto ska denne logga in med det kontot till Ladok för studenter. Inloggning med studentkonto ger tillgång till all funktionalitet som finns i Ladok för studenter, inklusive att hämta intyg och ansöka om examen.
Ingen inloggning för studenter utan svenskt personnummer eller studentkonto
För studenter utan svenskt personnummer finns för tillfället ingen möjlighet att logga in i Ladok när studentkontot inte längre är aktivt. För dessa studenter gäller att de fortfarande behöver kontakta sitt lärosäte i den här typen av ärenden. Vissa studenter har ett användarkonto på Antagning.se<https://ladok.us13.list-manage.com/track/click?u=a1fd40c89d4197fd42c0981ab&…> med sitt interimspersonnummer. Dessa kan fortsätta logga in i Ladok med konto från Antagning.se<https://ladok.us13.list-manage.com/track/click?u=a1fd40c89d4197fd42c0981ab&…> så länge det finns kvar. Gallring sker normalt 10 år efter senaste ansökan.
Steg mot ökad säkerhet i inloggningen
Ladokkonsortiet arbetar kontinuerligt med säkerhetsarbete. En viktig del i det arbetet är att säkerställa att de som loggar in i Ladok är de som de utger sig för att vara. Under 2023 infördes krav på att alla användare i Ladok för personal måste ha bekräftat sin identitet för att få tillgång till systemet, en säkerhetsnivå kallad SWAMID AL2. Under 2024 påbörjas arbetet med att införa säkerhetsnivån även i Ladok för studenter. Studenter kan vända sig till sitt lärosäte för mer information om när och hur bekräftelse av konto ska ske.
Idag loggar drygt 70% av alla studenter med svenskt personnummer in i Ladok med ett bekräftat användarkonto. 15 av 40 lärosäten har redan konfigurerat krav på AL2-nivå vid inloggning i Ladok för studenter med svenskt personnummer från 2024-01-01 eller tidigare. Dessa lärosäten har också konfigurerat ett varningsmeddelande som visas för studenter som loggar in med ett obekräftat användarkonto före startdatum för kravet på AL2-nivå.
Om ni inte kommer åt länkarna nedan, kontakta er Lokala tekniska kontaktperson för Ladok: https://ladok.se/om-oss/parter/lokal-teknisk-kontaktperson
För mer information om detta, se SWAMID AL2 i Ladok<https://ladok.us13.list-manage.com/track/click?u=a1fd40c89d4197fd42c0981ab&…>.
För mer detaljerad information om inloggning i Ladok för studenter utan svenskt personnummer, se Inloggning för studenter<https://ladok.us13.list-manage.com/track/click?u=a1fd40c89d4197fd42c0981ab&…>.
Nej.
Det jag skrev om handlar om validering av xml-filerna som du hämtar från mds.swamid.se.
Ditt problem beror på att er IdP inte skickar med member i eduPersonScopedAffiliation.
Testa på release-check.swamid.se och se vad den levererar.
// Björn M.
> On 4 Dec 2023, at 15:57, Sjöblom Alex <alex.sjoblom(a)fhs.se> wrote:
>
> Hej Björn
> Jag kan inte längre logga in mot https://metadata.swamid.se/ och får följande fel. Är det detta fel du menar?
>
> Errors:
> Missing member in either eduPersonScopedAffiliation or eduPersonAffiliation in SAML response
>
> / Alex
>
>
> -----Ursprungligt meddelande-----
> Från: Björn Mattsson <bjorn(a)sunet.se>
> Skickat: Monday, 4 December 2023 15:33
> Till: Swamid saml-admins <saml-admins(a)SWAMID.SE>
> Ämne: [Saml-admins] Ev problem med Metadatavalidering
>
> CAUTION: This email originated from outside of the organization. Do not click links or open attachments unless you recognize the sender and know the content is safe.
>
>
> Hej.
> Vi har fått in 2 förfrågningar idag ang validerings-problem med SWAMID:s metadata.
>
> I samband med att vi publicerade bank-IdP:n dök det upp några XML-taggar som inte funnits tidigare.
>
> För er som validerar metadata och inte redan har följande schemat för (urn:oasis:names:tc:SAML:metadata:algsupport) inlagt bör lägga till detta för att inte få problem.
>
> Är inget nytt schema då det har funnits sedan 2010 men har som sagt inte använts i SWAMID fram tills nu.
>
> Schemat finns att hämta på
> http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-algsupp…
>
> // Björn Mattsson
>
> _______________________________________________
> Saml-admins mailing list -- saml-admins(a)lists.sunet.se To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
Hej.
Vi har fått in 2 förfrågningar idag ang validerings-problem med SWAMID:s metadata.
I samband med att vi publicerade bank-IdP:n dök det upp några XML-taggar som inte funnits tidigare.
För er som validerar metadata och inte redan har följande schemat för (urn:oasis:names:tc:SAML:metadata:algsupport) inlagt bör lägga till detta för att inte få problem.
Är inget nytt schema då det har funnits sedan 2010 men har som sagt inte använts i SWAMID fram tills nu.
Schemat finns att hämta på
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-algsupp…
// Björn Mattsson
Hej hej hallå,
Från och med nu kan man använda BankID med eduID.
Inför lanseringen hade vi ett utskick om eduID i info-brevet från Sunet,
som såg ut ungefär så här:
*Från och med nu går det att bekräfta sitt konto med BankID. Ett konto som
bekräftas med BankID uppnår samma tillitsnivå som med Freja, det vill säga
AL2. För att uppnå AL3 behöver en säkerhetsnyckel läggas till och bekräftas
med antingen Freja eller BankID.*
Passar på att skriva mer här, för de som är intresserade.
Vi använder oss av Sunets BankID-IdP (e-legitimation som tjänst) som
backend för våra förfrågningar.
eduID har ett eget certifikat som vi beställt och som används i vår
BankID-IdP. Det är bara eduID som kan prata med just vårt BankID-certifikat
- detta utgår från en vitlistning av entities som den tilliåts prata med -
det gör att det bara är eduID som kan göra uppslag med dess certifikat (som
debiteras eduID månatligen enligt Valfrihetssystem).
BankID kan i eduID användas på samma sätt som Freja, det vill säga för att
bekräfta sitt konto (koppla ett svenskt personnummer till kontot) samt vid
lösenordsåterställning som en andra faktor.
I början av nästa år kommer vi ta bort möjligheten att bekräfta konton i
eduID med hjälp av en telefonverifiering (alltså där ett mobilnummers
abonnentuppgifter jämförs med uppgifter i eduID-kontot). Under en
övergångsperiod kommer vi låta de verifieringar som redan gjorts med
telefon ligga kvar, medan vi samtidigt berättar för användarna som berörs
att de behöver göra en ny verifiering med en metod som även fortsatt kommer
vara godkänd, för att slutligen ta bort verifierings-status från de
återstående konton som inte genomgått en ny godkänd verifiering.
Vi känner att vi kan ta bort mobilverifiering som metod då den för
användargruppen med svenskt personnummer ersätts av BankID som på samma
sätt fungerar för majoriteten av användarna att snabbt få ett bekräftat
eduID-konto.
-- Zacharias, eduID
Hej!
Har en fråga som inte rör Swamid direkt.
Vi har startat en diskussion om e-postadresser hos oss. Anledningen är att en e-postadress i dagsläget inte kan ses som unik.
Har detta diskuteras i era egna organisationer?
Vad har ni kommit fram till och har ni infört något för detta hos er?
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Hej!
Historiskt har en Shibboleth Identity Provider per automatik fått Attribute Authority konfigurerat i sin metadata. Denna inställning ändrades i IdP version 4 där "SAML2.AttributeQuery" och "SAML1.AttributeQuery" kommenterats ut vilket skapar en metadata där AttributeAuthority är utkommenderat och tjänsten är avstängd.
Har en IdP uppgraderats från v3 till v4 är det ett ganska troligt att konfigurationen för detta (conf/relying-party.xml) lämnats orörd och således är AttributeAuthority fortsatt aktiverat. Många av SWAMID registrerade IdPer har kvar AttributeAuthority i sin metadata även om det mest troligt inte används alls (eller till och med avstängt i IdPn).
AttributeAuthority-sektionen i metadatan som är uppladdad till SWAMID innehåller SAML-certifikat som behöver underhållas och hållas giltiga likt övriga certifikat i övriga sektioner. SWAMID Operations uppmanar därför alla IdP-administratörer att slå ett öga på er konfiguration kring AttributeAuthority och samtidigt er metadata. Är AttributeAuthority påslaget och inget som ni vet med er används rekommenderas ni stänga av detta samt vid tillfälle uppdatera er metadata (går enkelt att ta bort via SWAMIDs metadata-verktyg). Är AttributeAuthority avstängt men ni ändå har kvar sektionen i metadatan uppmanas vi er till att när tillfälle ges ta bort sektionen i vårt verktyg.
Shibboleths dokumentation på ämnet finns här:
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631691/SAML2Att…
Shibbolethens metadata går att komma åt via en webförfrågan på /idp/shibboleth. Exempel med curl och xmllint:
curl -ks https://idp2.test.inacademia.org/idp/shibboleth | xmllint --format -
I exemplet ovan är AttributeAuthority utkommenderat och tjänsten således avstängd.
--
jocar
SWAMID Operations
*Det går att skaffa en Freja e-legitimation med pass och använda som Svensk
e-legitimation*
Det innebär att metoden kan användas för att bekräfta sitt eduID-konto även
för de med svenskt personnummer och ett svenskt pass som inte redan har en
svensk e-legitimation, och som inte har möjlighet att besöka ett ATG-ombud.
Under genomgången igår var det fortfarande oklart om Frejas distansmetod
för att skapa en e-legitimation var godkänd av Digg. Vi fick sen klartecken
om att Freja+ som skapas med ett pass, på samma sätt som besök hos ett
ATG-ombud, är godkänd av Digg för LoA3 (tillitsnivå 3).
Osäkerheten uppstod då det är olika regelverk som Digg har ansvar för
gällande svensk e-legitimation, och nationell e-legitimation som används
inom eIDAS, vilket gjorde att vi om vartannat tidigare fått information att
Freja fått godkänt för sin pass-metod och inte än fått godkänt för den.
-- Zacharias
Hej
Repost från https://forum.sunet.se/s/swamid/
Jag har, efter gårdagens webinarium, funderingar kring vår tänkta implementation av en algoritm för att automatiskt matcha uppgifter från eduID mot Ladok (eller annat källsystem), det kan vara så att vi är på väg att göra några tankevurpor och behöver därför synpunkter/svar på några frågeställningar.
Först och främst tänker vi använda Levenshtein Distance <= 1 för att avgöra om två strängar(namn) kan anses vara samma, det ska hantera Thomas-Tomas, Andersson-Anderson etc.
Förnamn
Om vi från eduID får ANNA, ANDERSSON och vi i Ladok har en anna, anderson så är det en matchning - samma namn (i alla fall en tillräckligt liten skillnad).
Om det från eduID istället kommer ANNA BEDA, ANDERSSON så matchar fortfarande anna - det förnamn som finns i Ladok ingår bland de som finns i ID.
Samma med ANNA BEDA CLARA som matchas av anna clara - alla namn i Ladok finns i ID.
Har man exemplet ANNA BEDA och anna diana så bör det vara så att de inte matchar - olika namn även om anna är del av båda, alla namn i Ladok finns inte i ID.
Och då borde det även vara så att ANNA mot anna diana inte heller matchar - diana finns inte med i ID.
Regeln bör bli att alla namn i Ladok måste finnas i ID men att alla namn i ID inte behöver finnas i Ladok.
Tänker jag rätt här?
Finns det andra fall att ta hänsyn till?
Användande av e-post
Här blir jag mer osäker på hur man ska tänka.
Om vi har exemplet ANNA, ANDERSSON, född 19010101 med e-post aaa(a)example.org<mailto:aaa@example.org> och vi i Ladok hittar dessa personer med födelsedatum 1901-01-01
anna, andersson, pnr: 19010101-0000, e-post: aaa(a)example.com<mailto:aaa@example.com>
anna, anderson, 19010101-1111, bbb(a)example.org<mailto:bbb@example.org>
beda, bertilsson, 190101-2222, ccc(a)example.org<mailto:ccc@example.org>
Då blir det en skillnad om man applicerar jämförelse av e-post ihop med matchningen av varje tänkbar kandidat jämfört med om man först, enbart baserat på namn, plockar fram tänkbara kandidater och sedan verifierar att man endast hittat en (1) möjlig kandidat samt att den har rätt e-post.
I detta första fallet ser anna-0000 ut att vara en entydig matchning även om så kanske inte är fallet medans man i det andra fallet har två möjliga kandidater anna-0000 och anna-1111 och alltså inte kan göra en säker identifiering, eller?
Om man i det andra fallet använder e-post som "tiebreaker", använder man inte även då e-post för identifiering?
\Anders
Välkomna på SWAMID Webinar,
Att digitalt bekräfta en person utan svenskt personnummer på samma sätt som
personer med svenskt personnummer har fram till i våras varit i princip
omöjligt. SWAMIDs tillitsprofil AL2 tillåter detta men ställer en del extra
krav på lärosätet ska koppla personen till rätt användarkonto på lärosätet.
I våras fick eduID stöd för att bekräfta personer via europeiska
e-legitimationer (eIDAS) och via resehandling, dvs. pass och nationellt
europeiskt identitetskort, för de som inte kan använda eIDAS.
Detta webinar är repris och fortsättning från webinaret från i våras och vi
går igenom regelverket i SWAMID AL2 och vad detta innebär samt hur ni kan
använda eduID för att bekräfta en person utan svenskt personnummer.
*Målgrupp*
Detta webinar riktar sig till er som har behov att bekräfta användare utan
svenskt personnummer på AL2 via eduID.
*Datum & tid*
9.30 – 10.30 torsdagen den 16 november
*Plats*
Zoom,
https://sunet.zoom.us/j/61336365964?pwd=UEtYdU85dllrRXdCYmpCNkdPMWFuZz09
Meeting ID: 613 3636 5964
Passcode: 488235
Välkomna
Pål och Zacharias
Hej allihopa!
I ett försök att inte återuppfinna hjulet så tänkte vi kolla upp lite bland alla lärosäten om det finns nedtecknade rutiner för hur ni hanterar identifiering av en person.
Det finns ju en väldigt basic template på Swamid's Wiki, och lite referenser till polisen's sidor (som dock är fel länk) och bankerna (som kostar pengar). Men det känns som det borde vara gjort redan på lärosäten och det är nog ganska troligt att vi använder oss av samma typ av rutiner när vi skall identifiera personer.
Så finns det något sådant där ute och kan ni tänka er att dela med er till andra lärosäten om detta? Och detta gäller ju alltså fysiska identitetshandlingar, inte e-identiteter.
Mvh,
Henrik B, Henrik K och Per-Olof A
Högskolan i Borås
Hej,
I SWAMIDs teknologiprofil för SAML WebSSO avsnitt 3 om efterlevnad och
revision finns ett krav att alla registrerade identitetsutfärdare och
tjänster måste årligen validera att registrerad entitet fortfarande är i
drift samt att metadata är korrekt.
För att underlätta uppfyllelsen av kravet om årlig kontroll kommer SWAMID
Operations att skicka ut en påminnelse till alla identitetsutfärdare och
tjänster. Om inte en representant för identitetsutgivare eller tjänst går
in i SWAMIDs metadataverktyg inom rimlig tid och efter påminnelser och
besvarar begäran kommer aktuella entiteten att avregistreras från SWAMID
tills denna process har genomgåtts. Vi kommer att skicka ut påminnelsen
till administrativa och tekniska kontakter i metadata. Kontrollera att
dessa kontaktuppgifter för era identitetsutfärdare och tjänster stämmer via
https://metadata.swamid.se och uppdatera snarast om de inte stämmer.
Det är möjligt att redan nu gå in i https://metadata.swamid.se/admin och
genomföra den årliga kontrollen för dina registrerade entiteter genom att
leta upp respektive entitet, öppna detaljvyn och klicka på knappen "Annual
Confirmation".
This message is also available in English at Annual check of metadata for
Identity Providers and Service Providers registered in SWAMID
(wiki.sunet.se)
<https://wiki.sunet.se/pages/viewpage.action?pageId=166330425&showLanguage=e…>
.
SWAMID Operations
Pål Axelsson
FYI
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Windows Jetty packages updated to 10.0.18/11.0.18
> Date: 3 November 2023 at 14:25:02 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> We have released updated installers for Windows to upgrade Jetty to address a possible memory leak they fixed in the newest versions.
>
> The standalone installer for Jetty 11.0.18 for use with IdP V5 is at [1] and the legacy combined installer for Jetty 10.0.18 with IdP V4 (4.3.1.4) is at [2].
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/jetty-windows/
> [2] http://shibboleth.net/downloads/identity-provider/latest4/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej alla!
Vilka har distansstudenter med interimpersonnummer (T-nummer motsv.
eller annat låtsaspersonnummer) som måste upp på AL2?
Hur många distansstudenter med interimpersonnummer tror ni att ni har?
Känns som vi borde samarbeta på något sätt?
MVH
- Simon
Goddagens.
Ser på metadata.swamid.se att metadata för https://www.start.ladok.se/gui-sp ändrades idag.
Från idp-process.log:
SPSSODescriptor for entity ID 'https://www.start.ladok.se/gui-sp' indicates AuthnRequests must be signed, but inbound message was not signed
Mvh,
/dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
www.du.se<http://www.du.se> | +46 23 778000
Hej,
Vi i SWAMID Operations vill påminna om att av säkerhetsskäl, och enligt
regelverket i SWAMIDs SAML teknologiprofil, måste man alltid köra av
leverantören underhållen programvara.
Under förra veckan gjorde vi en uppföljning på vilka versioner av olika
programvaror som används och nedan ser ni resultatet. EOL står för
end-of-life vilket även betyder att de inte längre får användas inom SWAMID.
Följande versioner av Shibboelth IdP har vi identifierat under den senaste
tiden:
- 3.2.1 (EOL Nov 2016)
- 3.4.4 (EOL Sept 2019)
- 3.4.6 (EOL Jan 2021)
- 4.1.0 (EOL May 2021)
- 4.1.2 (EOL Jul 2021)
- 4.1.4 (EOL Jan 2022)
- 4.1.5 (EOL Mar 2022)
- 4.1.7 (EOL datum okänt)
- 4.2.1 (Vanligast, EOL Jan 2023)
- 4.3.0 (Mar 2023)
- 4.3.1 (senaste IdP v4)
Vi rekommenderar alla med IdP v4 att uppdatera till 4.3.1. Vänta med att
uppgradera till Shibboleth IdP v5 till SWAMIDs workshops i början på nästa
år. Om man idag kör IdP v3 behöver man särskilt planera och extra noga
testa övergången eftersom mellan huvudversioner sker många grundläggande
konfigurationsändringar.
Följande versioner av Shibboelth SP har vi identifierat under den senaste
tiden:
- 2.4.2 (EOL Jul 2011)
- 2.4.3 (EOL Nov 2012)
- 2.5.2 (EOL Dec 2013)
- 2.5.3 (EOL Mar 2015)
- 2.5.4 (EOL Jul 2015)
- 2.5.5 (EOL Feb 2016)
- 2.5.6 (EOL Jun 2016)
- 2.6.0 (EOL Nov 2017)
- 2.6.1 (EOL Jul 2018)
- 3.0.1 (EOL Aug 2018)
- 3.0.2 (EOL Dec 2018)
- 3.0.3 (EOL Mar 2019)
- 3.0.4 (EOL Apr 2020)
- 3.1.0 (EOL Dec 2020)
- 3.2.0 (EOL Mar 2020)
- 3.2.1 (EOL Apr 2021)
- 3.2.2 (EOL Jul 2021)
- 3.2.3 (EOL Dec 2021)
- 3.3.0 (EOL Nov 2022)
- 3.4.0 (EOL Jan 2023)
- 3.4.1 (senast SP v3)
Vi rekommenderar alla att köra senaste versionen av Shibboleth SP. Om man
idag kör SP v2 behöver man särskilt planera och extra noga testa övergången
eftersom mellan huvudversioner sker många grundläggande
konfigurationsändringar.
När det gäller ADFS Toolkit ser vi att det är en instans som inte
uppdaterat till version av toolkitet. Observera att det finns
konfigurationsändringar mellan tidigare versioner och den senaste.
De som inte uppdaterar sina installationer kommer framöver bli avstängda
från SWAMID men innan dess kommer vi att ta kontakt med var och en av er.
Det vore bra om ni så snart som möjligt började arbeta med uppdateringen.
Pål
Hej!
Jag har ett önskemål som jag hoppas ni på operations (eller någon annan) kan fundera lite över när det gäller exempelfilerna för shibboleth-konfigurationen.
Jag baserar min konfiguration nästan 100% på vad som står i exempelfilerna men det händer lite nu och då att dessa ändras, vilket är helt normalt.
Har också upptäckt att jag missar dessa ändringar och önskar att det var enklare för mig att upptäcka att har blivit en förändring med det jag har implementerat och vad som är i ert exempel.
Ett sätt att göra detta är att lägga till en kommentar med ett versionsnummer eller
ändringsdatum i exemplet.
Jag tror att det skulle göra det lite enklare för mig.
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
För kännedom.
Scott skrev tidigare :
It doesn't appear as though the major curl bug has any impact on the vast majority of SP deployers. The bug involves use of SOCKS5 proxying, which would require using the SP's TransportOption feature, itself rare, and everybody that proxies I have ever interacted with definitely just does standard http proxying (for metadata and the like).
Dvs ingen panik att uppgradera!
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Updated curl binaries for Shibboleth Service Provider
> Date: 11 October 2023 at 19:20:31 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> I have released updated versions of the SP Windows installers (V3.4.1.4) [1] and updated libcurl/curl RPMs for CentOS 7 and Amazon Linux 2 to update curl to 8.4.0.
>
> The RPMs should be on the mirrors now. The libcurl soname hasn't changed in many moons, so nothing else was rebuilt.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/service-provider/latest/win32/
> https://shibboleth.net/downloads/service-provider/latest/win64
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom gällande Shibboleth SP. Mer information kommer.
Pål
---------- Forwarded message ---------
Från: Cantor, Scott via announce <announce(a)shibboleth.net>
Date: ons 4 okt. 2023 17:02
Subject: Monitoring upcming curl advisory
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: Cantor, Scott
This is going to announce because it's public information, and your
security teams probably are already aware, but curl (and libcurl) are
dropping an early update next week to address what the maintainer
characterizes as "the worst curl security flaw in a long time".
The SP right now obviously depends on curl and we package it for older Red
Hat and Windows, so we are monitoring the situation and will respond when
more facts are available.
The SP's usage is somewhat specialized so lots of issues tend to glide by
it, but assuming an update is necessary I'm prepping the files for that to
minimize the time it will take to get an update out.
-- Scott
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Säkerhetsuppdatering för Shibboleth IdPv4 på Windows.
Pål
---------- Forwarded message ---------
Från: Cantor, Scott via announce <announce(a)shibboleth.net>
Date: mån 18 sep. 2023 08:42
Subject: Shibboleth IdP V4.3.1 Windows installer updated
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
The Windows installation package for the V4.3.1 IdP has been updated (to
4.3.1.2) to pick up Jetty 10.0.16, which addresses a couple of security
advisories.
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/ReleaseN…
There are no changes to our software involved.
Notably, Jetty has deprecated and is dropping its CGI support, which might
impact some deployers. The IdP is not impacted directly by this change.
-- Scott
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
FYI
--
jocar
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.0.0 (and plugins) now available
> Date: 14 September 2023 at 19:15:37 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboeth Project is pleased and exhausted to announce that V5.0.0 of the Identity Provider software is now available. [1]
>
> The release notes are in large part complete [2] but will be supplemented as usual over time as needed. The system requirements, installation, and upgrade documentation is in the new wiki space per usual and linked from there.
>
> As a major upgrade, there are substantial system requirement changes and compatibility considerations, so please read the notes and the relevant topics before proceeding to minimize problems.
>
> *All* official plugins provided by the project (that's Duo support, OIDC OP and RP, JDBC storage, and so on) require updates for this release and we have published major upgrades to all of them for this release and they are in place.
>
> The main installer, and plugin installation and upgrade tools are able to recognize and warn about compatibility issues, and should support upgrading to the supported versions after the IdP upgrade is applied (but before attempting to use it).
>
> As this is the first major upgrade since the plugin mechanism was introduced in 4.1, much of the machinery for crossing that boundary has only been tested artifically to this point, so the potential for issues exists. Notably, the Windows installation process can't put the warnings about older plugins front and center, though they are logged.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseN…
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Höstens Sunetdagar är digitala och arrangeras mellan den 16-20 oktober.
Jobbar du i en Sunetansluten organisation eller är intresserad av Sunets
verksamhet? På Sunetdagarna berättar vi om vad som pågår inom Sunet och tar
upp frågor om IT och digitalisering. Vad är på gång i branschen? Vad ser vi
för lösningar på de problem vi har? Vilka behov har vi framöver?
Datum och tid: 16–20 oktober 2023
Plats: Digitalt via Zoom
Anmälan: Ingen anmälan krävs. Sunetdagarna är kostnadsfria
Sunetdagarna är för dig som arbetar i en Sunetansluten organisation eller
är intresserad av Sunets verksamhet.
Programmet finns publicerat på Sunet Wiki: https://wiki.sunet.se/x/jIBaCQ
SWAMID har två punkter på programmet, dels den vanliga SWAMID-uppdateringen
onsdag 9-9.45 samt ett pass om mindre ej brytande uppdateringar av SWAMIDs
policyramverk torsdag 9-9.45. eduID har ett pass fredag 9-9.45. Projektet
runt europeisk digital plånbok har ett pass torsdag 15-15.45.
Välkomna
Pål
Hej,
SWAMID Operations har utökats med en ny medarbetare som bland annat kommer
att ta hand om metadataärenden. Mikael Frykholm har tidigare jobbat på Umeå
universitet men är nu anställd på Sunet.
Samtidigt tackar vi Eskil Swahn vid Lunds universitet för lång och trogen
tjänst. Eskil har varit ovärderlig i de uppdateringar av SWAMIDs regelverk
som har genomförts under de senaste åren men under de kommande kommer vi
endast göra mindre tydlighetsjusteringar i samråd med tjänster och
identitetsutfärdare.
Välkommen Mikael och tack Eskil!
Pål
Hallå,
Trevlig midsommar!
Kan du titta i din kalender och se vilka tider som passar för ett BoT-möte
under de två sista veckorna i oktober. Ska skapa en Doodle.
Pål
*From:* Hans Wohlfarth <hansw(a)kth.se>
*Sent:* Thursday, June 22, 2023 11:32 AM
*To:* Pål Axelsson <pax(a)sunet.se>; saml-admins(a)lists.sunet.se
*Subject:* RE: [Swamid-bot] SWAMID Board of Trustees 2023-06-21
Härligt!
Glad midsommar!
Hans Wohlfarth
*From:* Pål Axelsson <pax(a)sunet.se>
*Sent:* den 21 juni 2023 17:01
*To:* saml-admins(a)lists.sunet.se
*Subject:* [Swamid-bot] SWAMID Board of Trustees 2023-06-21
Hej på er alla,
Så här precis innan midsommar firas hölls årets andra möte med SWAMID Board
of Trustees. På mötet godkändes en stor mängd IMPS-uppdateringar, t.ex. 8
lärosäten som börjar använda svensk e-legitimation i
kontohanteringsprocesserna och att Sunet börjar använda den nya tjänsten
eduID Connect såsom sin identitetsutgivare. För mer information se
protokollet på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2023-06-21.
Följande 17 lärosäten är idag godkända för att använda svens e-legitimation
i sin kontohanteringsprocess:
- Karlstads universitet (2022-06-03)
- Linköpings universitet (2022-06-03)
- Lunds universitet (2022-06-03)
- Högskolan Väst (2022-11-30)
- Konstfack (2022-11-30)
- Sophiahemmet högskola (2022-11-30)
- Sveriges Lantbruksuniversitet (2022-11-30)
- Mittuniversitet (2023-04-06)
- Umeå universitet (2023-04-06)
- Högskolan i Borås (2023-06-21)
- Högskolan i Jönköping (2023-06-21)
- Karolinska Institutet (2023-06-21)
- Linnéuniversitetet (2023-06-21)
- Luleå tekniska universitet (2023-06-21)
- Malmö universitet (2023-06-21)
- Södertörns högskola (2023-06-21)
- Uppsala universitet (2023-06-21)
Följande 2 lärosäten är idag godkända för att använda eduID och riskbaserad
bedömning för AL2 för personer utan svenskt personnummer:
- Malmö universitet (2023-06-21)
- Sveriges lantbruksuniversitet (2023-06-21)
Glöm inte att uppdatera och skicka in er IMPS om och när ni gör
förändringar i era kontohanteringsprocesser framöver.
Trevlig sommar
Pål
Hej på er alla,
Så här precis innan midsommar firas hölls årets andra möte med SWAMID Board
of Trustees. På mötet godkändes en stor mängd IMPS-uppdateringar, t.ex. 8
lärosäten som börjar använda svensk e-legitimation i
kontohanteringsprocesserna och att Sunet börjar använda den nya tjänsten
eduID Connect såsom sin identitetsutgivare. För mer information se
protokollet på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2023-06-21.
Följande 17 lärosäten är idag godkända för att använda svens e-legitimation
i sin kontohanteringsprocess:
- Karlstads universitet (2022-06-03)
- Linköpings universitet (2022-06-03)
- Lunds universitet (2022-06-03)
- Högskolan Väst (2022-11-30)
- Konstfack (2022-11-30)
- Sophiahemmet högskola (2022-11-30)
- Sveriges Lantbruksuniversitet (2022-11-30)
- Mittuniversitet (2023-04-06)
- Umeå universitet (2023-04-06)
- Högskolan i Borås (2023-06-21)
- Högskolan i Jönköping (2023-06-21)
- Karolinska Institutet (2023-06-21)
- Linnéuniversitetet (2023-06-21)
- Luleå tekniska universitet (2023-06-21)
- Malmö universitet (2023-06-21)
- Södertörns högskola (2023-06-21)
- Uppsala universitet (2023-06-21)
Följande 2 lärosäten är idag godkända för att använda eduID och riskbaserad
bedömning för AL2 för personer utan svenskt personnummer:
- Malmö universitet (2023-06-21)
- Sveriges lantbruksuniversitet (2023-06-21)
Glöm inte att uppdatera och skicka in er IMPS om och när ni gör
förändringar i era kontohanteringsprocesser framöver.
Trevlig sommar
Pål
Hej,
Nu i veckan utökade BankID funktionaliteten i Mobilt BankID på så sätt att
det går att läsa in en resehandling (svenskt pass eller nationellt
identitetskort) och sedan använda detta som legitimation av de
organisationer som accepterar det som legitimation.
Inom SWAMID:s tillitsnivå 3 och 4 är det definierat att de svenska
identitetshandlingar som är godkända vid användarbekräftande i SWAMID är
samma som polisen godkänner vid ansökan och utfärdande av svensk
resehandling. Polisen har nu tydligt meddelat på sidan
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/besok-pas…
att endast fysiska id-handlingar kan användas. Detta betyder att BankID:s
nya lösning inte är en godkänd id-handling för bekräftande av användare
inom SWAMID.
Pål
Hej på er alla!
Jag fick idag reda på att IdP:n som används för kontaktivering från
Antagning.se numera skickar ut (iterims)personnummer på studenter som är
obekräftade i antagningssystemet, dvs. endast uppfyller SWAMID AL1. Det är
därför viktigt att ni (som jag skrev den 10 februari) kontrollerar
tillitsnivå för personen i attributet eduPersonAssurance i era
kontoaktiveringstjänster. Glöm inte att ni även formellt måste i metadata
kontrollera att aktuell tjänst är godkänd för respektive tillitsnivå, se
https://wiki.sunet.se/display/SWAMID/3.3+Configure+Shibboleth+SP+-+Check+fo…
för mer information.
Vad vi vet om förändringen i IdP:n för Antagning.se:
- I slutet av mars började tillitsnivå via eduPersonAssurance signaleras.
- I slutet på april byttes värdet för eduPersonPrincipalName från
(interims)personnummer(a)antaging.se till psedonym(a)antagning.se.
- I början på maj började norEduPersonNin även innehålla värden för
personer som är obekräftade (SWAMID AL1).
Trevlig sommar
Pål
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: Philip Smart via announce <announce(a)shibboleth.net>
> Subject: OIDCCommon V2.2.1 now available
> Date: 13 June 2023 at 17:35:59 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: Philip Smart <Philip.Smart(a)jisc.ac.uk>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released V2.2.1 of the OIDCCommon plugin.
>
> The new version was needed to fix two issues related to auditing in the OP and attribute transcoding in the RP. See the release notes at [1].
>
> — Phil Smart, on behalf of the team
>
> [1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3232137218/OI…
>
> Jisc is a registered charity (number 1149740) and a company limited by guarantee which is registered in England under company number. 05747339, VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Services Limited is a wholly owned Jisc subsidiary and a company limited by guarantee which is registered in England under company number 02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company limited by shares which is registered in England under company number 09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> For more details on how Jisc handles your data see our privacy notice here: https://www.jisc.ac.uk/website/privacy-notice
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom
/Paul
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Service Provider Security Advisory [12 June 2023]
Date: 2023-06-12 14:34:44
Shibboleth Service Provider Security Advisory [12 June 2023]
An updated version of the XMLTooling library that is part of the
OpenSAML and Shibboleth Service Provider software is now available
which corrects a server-side request forgery (SSRF) vulnerability.
Parsing of KeyInfo elements can cause remote resource access.
=============================================================
Including certain legal but "malicious in intent" content in the
KeyInfo element defined by the XML Signature standard will result
in attempts by the SP's shibd process to dereference untrusted
URLs.
While the content of the URL must be supplied within the message
and does not include any SP internal state or dynamic content,
there is at minimum a risk of denial of service, and the attack
could be combined with others to create more serious vulnerabilities
in the future.
This issue is *not* specific to the V3 XMLTooling software and is
believed to impact all versions prior to V3.2.4.
Recommendations
===============
Update to V3.2.4 or later of the XMLTooling library, which is
now available. Note that on Linux and similar platforms, upgrading
this component will require restarting the shibd process to correct
the bug.
The updated version of the library has been included in a V3.4.1.3
patch release of the Service Provider software on Windows.
Other Notes
===========
The xmltooling git commit containing the fix for this issue is
6080f6343f98fec085bc0fd746913ee418cc9d30 and may be in general terms
applicable to V2 of the library.
Credits
=======
Juriën de Jong, an independent security researcher in the Netherlands
URL for this Security Advisory:
https://shibboleth.net/community/advisories/secadv_20230612.txt
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Kan någon hjälpa mig förstå varför jag inte lyckas släppa norEduPersonLIN ordentligt till vår nya portal?
I Shibboleths debuglog får jag
2023-03-07 12:39:22,343 - DEBUG [net.shibboleth.idp.saml.profile.impl.BaseAddAttributeStatementToAssertion:321] - Profile Action AddAttributeStatementToAssertion: Attribute norEduPersonLIN does not have any transcoding rules, nothing to do|0:0:0:0:0:0:0:1|
Vår attribute-resolver.xml:
<AttributeDefinition xsi:type="ScriptedAttribute" id="norEduPersonLIN" xmlns="urn:mace:shibboleth:2.0:resolver">
<InputDataConnector ref="myLDAP" attributeNames="someADattribute" />
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:norEduPersonLIN" />
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN" />
<Script>
<![CDATA[
if (typeof someADattribute != "undefined" && someADattribute.getValues().size() > 0) {
value=someADattribute.getValues().get(0);
norEduPersonLIN.getValues().add("ladok.se:studentuid:" + value).toString;
}
]]>
</Script>
</AttributeDefinition>
Vår attribute-filter.xml:
<AttributeFilterPolicy id="releaseXXXXX">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://studen" />
<Rule xsi:type="Requester" value="https://studenu.se" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="norEduPersonLIN" >
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Vad jag tycker är konstigt är att vi gör i princip samma sak för norEduPersonNIN och det fungerar till flera SP utan problem. Vad gör jag för fel?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
Förutom spamfiltreringsproblemet så har vi också upptäckt att Sunets
mailfilter avslår all e-post som innehåller wordbilagor om de innehåller om
den mall som används för filen är en s.k. remote template. Detta för att
denna typ av mallar används av malware.
När ni ska skicka in bilagor till operations, t.ex. vid uppdatering av
organisationens Identity Management Practice Statement (IMPS),
rekommenderar vi att ni skickar dem i PDF-format istället för som wordfiler.
Pål
Hej,
Om ni väntar på svar från SWAMID Operations via adressen
operations(a)swamid.se och inte fått något svar ber jag er kontrollera era
spamfoldrar. Vi har fått reda på att t.ex. e-post som passerar Microsofts
molntjänst spamhanteras. Vi håller på att titta på orsaken till detta och
gör nödvändiga justeringar.
Pål
Hej på er alla,
Under maj har SWAMID genomfört två workshops om MFA med över 40 deltagare
totalt. Vi vill tacka alla som deltagit, det har varit jättekul att ha
fysiska workshops igen. Det är en helt annan dynamik med
användarinteraktion och diskussioner än med de digitala. Vi kommer framöver
blanda mellan fysiska och digitala där vi kommer att fokusera de fysiska
runt s.k. hackaton där vi tillsammans tar fram lösningar och konfigurerar
programvaror.
På SWAMIDs wiki (https://wiki.sunet.se/display/SWAMID/Events+2023) har vi
nu lagt upp presentationer och konfigurationer som vi har jobbat med.
Ett varmt tack till er som deltog
Pål och resten av operations
För kännedom!
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider Plugin Security Advisory [12 May 2023]
> Date: 15 May 2023 at 18:41:34 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> Signed PGP part
> Shibboleth Identity Provider Plugin Security Advisory [12 May 2023]
>
> An updated version of the OpenID Connect OP plugin for the Shibboleth
> Identity Provider is now available which corrects a pair of race
> conditions in the client authentication and dynamic registration
> features.
>
> Both issues are of "low" severity, and neither is likely to manifest
> without significant load on the server.
>
> OpenID Connect OP plugin contains multiple race conditions
> ======================================================================
> A pair of race conditions have been identified in the OP plugin.
>
> The client authentication feature that processes requests from
> RP clients to validate access to the OP's endpoints contains a race
> condition that under load could result in clients being successfully
> validated with a client secret associated with a different client.
>
> This is difficult to exploit due to the lack of predictability, and
> would require a client have access to a client secret associated
> with a different client being validated at the same time.
>
> A second, less critical race condition was found in the part of the
> dynamic client registration support involving metadata policy.
> Unknown claims that are intended to be ignored and dropped may be
> validated by the wrong policy and could be included in a client's
> registration if allowed by the policy applied by mistake.
>
>
> Recommendations
> ===============
> Update to V3.4.0 or later of the OIDC OP plugin, which is now available.
> The IdP's plugin installer can perform this update process.
>
> Note that this plugin requires IdP V4.3, so you may need to patch the
> IdP first if you are on an unsupported version.
>
> This minor update includes some changes that may affect a small number of
> deployments, so please review the Release Notes [1] when upgrading.
>
>
> Credits
> =======
> This issue was discovered by the Shibboleth Project team itself.
>
> [1] https://shibboleth.atlassian.net/wiki/x/AQCCpQ
>
> URL for this Security Advisory:
> https://shibboleth.net/community/advisories/secadv_20230512.txt
>
>
Halloj!
Det är inte så många som hittat till vår nya QA-miljö vilket inte är så konstigt då vi inte marknadsfört den så mycket. På sikt kommer den ersätta SWAMID-testing (mer om det vid senare tillfälle). För er som hittat till QA-miljön tidigare kan jag meddela att vi bytt signerings-cert så ni behöver uppdatera i era programvaror.
Den nya nyckelns fingerprint (sha256) är
1E:BC:8E:62:0B:C9:3C:EB:C6:E0:7F:9E:34:B8:A1:9F:EA:A9:30:A1:9E:B5:31:B9:44:8B:0F:CC:3B:D9:17:D2
och den finns att ladda hem här: https://mds.swamid.se/qa/md/
--
jocar
SWAMID Operations
Hej,
I veckan har vi haft Sunetdagarna och de har varit lika intressanta som
vanligt. Jag vill tacka alla ni som var där för alla de diskussioner vi
hade. En av de saker som kom upp i diskussionerna, särskilt efter Zacharias
presentation om eduID, var det klassiska behovet av att digitalt bekräfta
studenter utan svenskt personnummer på AL2-nivå. I och med senaste årets
utveckling av eduID så är detta nu möjligt och därför lovade jag på stört
att vi bjuder in till ett webinar om detta så snart som möjligt och här är
inbjudan. Efter webinaret kommer vi som vanligt publicera eventuella
powerpointbilder under SWAMIDs wikiutrymme
<https://wiki.sunet.se/pages/viewpage.action?pageId=147521882>.
SWAMID Webinar 11 maj - AL2 för distansstudenter utan svenskt personnummer
*Syfte*
Att digitalt bekräfta studenter utan svenskt personnummer på samma sätt som
studenter med svenskt personnummer har fram till nu varit i princip
omöjligt. SWAMIDs tillitsprofil AL2 tillåter detta men ställer en del extra
krav på lärosätet ska koppla studenten till rätt användarkonto på
lärosätet. Under de senaste månaderna har eduID fått aktiverat stöd för att
bekräfta personer via europeiska e-legitimationer via eIDAS och nu senast
via resehandling, dvs. pass, för de som inte kan använda eIDAS.
På detta webinar går vi igenom regelverket i SWAMID AL2 och vad detta
innebär samt hur ni kan använda eduID för att bekräfta en person utan
svenskt personnummer.
*Målgrupp*
Detta webinar riktar sig till er som har behov att bekräfta användare utan
svenskt personnummer på AL2 via eduID.
*Datum & tid*
10.00 – 11.00 onsdagen den 18 maj
*Talare*
Pål Axelsson och Zacharias Törnblom
*Plats*
Zoom,
https://sunet.zoom.us/j/65301786490?pwd=YkxZbEpxdHVsNjZOVllrS0Y2bEhYZz09
Välkomna
Pål
Hej på er alla,
Jag har under senaste veckan ftt information om att flera lärosäten har
förändrat sina kontohanteringsprocesser utan att uppdatera sin Identity
Management Practice Statement (IMPS) och därefter fått den godkänd av
SWAMID Board of Trustees innan ändringen genomförts i produktion. Detta
innebär enligt regelverket att man blir av med sina godkända tillitsnivåer
om SWAMID får klagomål eller kännedom om det.
Jag vill att ni alla som har identitetsutfärdare kontrollerar att er
aktuella godkända IMPS stämmer överens med era nuvarande processer och om
inte skickar in en uppdatering snarast för granskning och godkännande. Om
ni inte vet vilken er senast godkända är hör av er till operations(a)swamid.se
så kan vi skicka ut den senaste godkända till er.
De förändringar som vi hittills har hört talas om som inte har genomgått
godkännande processen är förbättrade valideringsrutiner att det är rätt
användare får sitt användarkonto, t.ex. genom svensk e-legitimation och
specifikt Mobilt BankID.
Pål
Tjo!
Blev just uppläxad av en användare att vårt attributfilter inte var
ajour eftersom att vi inte släppte mailLocalAddress i CoCo.
Märkte sedan att https://release-check.swamid.se/ inte tar hänsyn till
mailLocalAddress.
Är mailLocalAddress en gråzon som rent praktiskt behövs men teoretiskt
inte ska få finnas eller vad är grejen?
MVH
- Simon
Hej!
Jag vill bara höra med er då jag inte har så mycket information eller erfarenhet runt ORCID.
Har en användare som säger sig ha problem att logga in via ORCID (organisationsinloggning) och nu undrar jag om det är någon som har möjlighet att testa via er egna organisation
för att se om det fungerar?
För vad jag har förstått så ska jag inte behöva göra något speciellt på min IDP. (utöver de inställningar som finns i exemplen på swamid-wikin)
Förvirrade hälsningar,
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructur
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<http://www.miun.se/en/personaldata>
Hej,
*Detta brev gäller alla som använder antagning.se <http://antagning.se> för
studentkontohantering!*
För ett år sedan blev identitetsutfärdaren för antagning.se godkänd med
tillitsnivåerna SWAMID AL1 och SWAMID AL2 och 5:e september i år började
den att korrekt signalera tillitsnivån SWAMID AL2 via eduPersonAssurance
för bekräftade användare. Detta betyder att det särskilda undantag som
funnits när det gäller antagning.se inte längre gäller.
Vad betyder detta för mig som använder antagning.se för att aktivera och
genomföra lösenordsåterställningar via antaging.se? I korthet betyder detta
att ni snarast behöver justera era rutiner för att säkerställa att det är
en bekräftad användare på antagning.se som loggar i er
kontohanteringsstjänst. Tidigare har det räckt med att kontrollera att ni
får personnummer via attributet norEduPersonNIN från antagning.se för att
veta att det är en bekräftad person men nu behöver ni istället kontrollera
att ni får SWAMID AL2 i attributet eduPersonAssurance (samt i vanlig
ordning i assurance-certification i metadata).
För att eventuellt UHR ska kunna ta nästa steg och börja signalera
interimspersonnummer och SWAMID AL1 för personer utan svenskt personnummer
måste ni alla genomföra denna förändring senast 31 mars. Denna förändring
medför förhoppningsvis att ni framöver kommer att kunna låta
utbytesstudenter använda antagning.se för att aktivera sina studentkonton
på lärosätet. Detta kräver dock att ni har AL1-rutiner beskrivna och
godkända i er av SWAMID godkända Identity Management Practice Statement
(IMPS).
SWAMID Operations
Pål Axelsson
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider for Windows service update, V4.3.1.1
> Date: 19 April 2023 at 21:03:58 CEST
>
>
> The Shibboleth Project has released a service update (V4.3.1.1) to the IdP on Windows installer to update Jetty to 10.0.15 in response to a pair of advisories announced yesterday. [1] Neither is all that critical but one of them involves a cookie parsing issue and was concerning enough to be cautious with.
>
> The updated installer is in the usual place [2].
>
> Of course, anybody operating Jetty themselves should consider updating but should be subscribed to their announce list for awareness anyway.
>
> -- Scott
>
> [1] https://www.eclipse.org//lists/jetty-announce/msg00176.html
> [2] http://shibboleth.net/downloads/identity-provider/latest/
>
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
Nu börjar vi närma oss hackatonet och jag har idag öppnat anmälningssidan
för workshoppen
<https://sv-se.invajo.com/event/swamid/swamidhackaton2324majattishibbolethid…>
.
Välkomna
Pål
SWAMID Hackaton 23-24 maj - Att i Shibboleth IdP hantera
multifaktorinloggning som uppfyller SWAMIDs krav
*Syfte*
Fler och fler tjänster börjar ställa krav på att användarna inte bara en
definierad tillitsnivå utan att inloggningen även sker med hjälp av en sk.
multifaktorinloggning. På detta Hackaton kommer vi att gå igenom och hjälpa
till med att installera stöd i Shibboleth IdP. Den MFA-modell vi primärt
kommer att ta upp under hackatonet är MFA via eduID. Modellen fungerar
förutom med eduID även med Freja eID Plus genom Svensk e-legitimation
valfrihetssystem 2017.
Hackatonet avslutas kl 12:00 på onsdagen men SWAMID finns kvar för frågor
fram till 15:00.
*Målgrupp*
Detta hackaton riktar sig till er som har en Shibboleth identitetutgivare
(IdP) registrerade i SWAMID.
*Datum & tid*
13.00 tisdagen den 23 maj – 15.00 onsdagen den 24 maj
*Anmälan*
https://sv-se.invajo.com/event/swamid/swamidhackaton2324majattishibbolethid…
*Plats*
Sunets lokaler på Tulegatan i Stockholm
Perfekt, tack!
/Björn
________________________________________
Från: Björn Mattsson
Skickat: Måndag, 17 april 2023 11:47
Till: Björn Sandell
Kopia: Pål Axelsson; saml-admins(a)lists.sunet.se
Ämne: Re: [Saml-admins] SWAMID Hackaton 3-4 maj - Att i ADFS hantera multifaktorinloggning som uppfyller SWAMIDs krav
Hackatonet håller på till 12:00 sedan är du fri att gå :-) Men SWAMID kommer att finnas kvar för att svara på frågor (primärt kring ADFS-toolkitet) fram till 15:00 då vi stänger igen.
// Björn M
> On 17 Apr 2023, at 10:57, Björn Sandell <biorn(a)chalmers.se> wrote:
>
> Hej,
>
> Håller det på till 12 eller 15 på torsdagen?
>
> /Björn, osäker...
>
> ________________________________________
> Från: Pål Axelsson <pax(a)sunet.se>
> Skickat: den 14 april 2023 14:58
> Till: saml-admins(a)lists.sunet.se
> Ämne: [Saml-admins] SWAMID Hackaton 3-4 maj - Att i ADFS hantera multifaktorinloggning som uppfyller SWAMIDs krav
>
> Hej,
>
> Nu börjar vi närma oss hackatonet och jag har idag öppnat anmälningssidan för workshoppen<https://sv-se.invajo.com/event/swamid/swamidhackaton34majattiadfshanteramul…>.
>
> Välkomna
> Pål
>
>
> Syfte
>
> Fler och fler tjänster börjar ställa krav på att användarna inte bara en definierad tillitsnivå utan att inloggningen även sker med hjälp av en sk. multifaktorinloggning. På detta Hackaton kommer vi att gå igenom och hjälpa till med att installera stöd för MFA i ADFS. De MFA-modeller vi primärt kommer att ta upp under hackatonet är MFA via Azure och Freja eID samt att använda eduID som MFA.
> Målgrupp
> Detta hackaton riktar sig till er som har en ADFS identitetutgivare (IdP) registrerade i SWAMID.
> Datum & tid
> 13.00 onsdagen den 3 maj – 15.00 torsdagen den 4 maj
> Anmälan
> https://sv-se.invajo.com/event/swamid/swamidhackaton34majattiadfshanteramul…
> Plats
> Sunets lokaler på Tulegatan i Stockholm
>
>
> Pål
> _______________________________________________
> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
Hej,
Nu börjar vi närma oss hackatonet och jag har idag öppnat anmälningssidan
för workshoppen
<https://sv-se.invajo.com/event/swamid/swamidhackaton34majattiadfshanteramul…>
.
Välkomna
Pål
*Syfte*
Fler och fler tjänster börjar ställa krav på att användarna inte bara en
definierad tillitsnivå utan att inloggningen även sker med hjälp av en sk.
multifaktorinloggning. På detta Hackaton kommer vi att gå igenom och hjälpa
till med att installera stöd för MFA i ADFS. De MFA-modeller vi primärt
kommer att ta upp under hackatonet är MFA via Azure och Freja eID samt att
använda eduID som MFA.
*Målgrupp*
Detta hackaton riktar sig till er som har en ADFS identitetutgivare (IdP)
registrerade i SWAMID.
*Datum & tid*
13.00 onsdagen den 3 maj – 15.00 torsdagen den 4 maj
*Anmälan*
https://sv-se.invajo.com/event/swamid/swamidhackaton34majattiadfshanteramul…
*Plats*
Sunets lokaler på Tulegatan i Stockholm
Pål
Scheduled maintenance reminder from Sunet Status
Title: Maintaince on metadata servers
Details: Maintenance will be carried out on mds.swamid.se to prepare for future MDQ.
No planned downtime, but disruptions may occur.
Affected Infrastructure:
Components: SWAMID
Locations: Metadata Freshness - IdP transitive, Metadata Freshness - SP transitive, Metadata Freshness - SWAMID 2.0, Metadata Freshness - eduGAIN export
Planned Start: April 3, 2023 10:30 CEST
Expected End: April 3, 2023 15:00 CEST
Status Page: https://status.sunet.se
--
Manage subscription: https://status.sunet.se/pages/subscriber/manage/5f4784a4bc7fae04c8359fc5/63…
Scheduled maintenance reminder from Sunet Status
Title: Maintaince on metadata servers
Details: Maintenance will be carried out on mds.swamid.se to prepare for future MDQ.
No planned downtime, but disruptions may occur.
Affected Infrastructure:
Components: SWAMID
Locations: Metadata Freshness - IdP transitive, Metadata Freshness - SP transitive, Metadata Freshness - SWAMID 2.0, Metadata Freshness - eduGAIN export
Planned Start: April 3, 2023 10:30 CEST
Expected End: April 3, 2023 15:00 CEST
Status Page: https://status.sunet.se
--
Manage subscription: https://status.sunet.se/pages/subscriber/manage/5f4784a4bc7fae04c8359fc5/63…
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott via announce
> Sent: Thursday, March 30, 2023 5:28 PM
> To: announce(a)shibboleth.net
> Subject: Shibboleth Identity Provider V4.3.1 now available
>
> The Shibboleth Project has released V4.3.1 of the Identity Provider
software,
> primarily to address a regression in the RemoteUser login flow [1][2].
>
> A security advisory will be forthcoming about the issue., though the
risk in
> practice is not viewed as significant.
>
> The issue does not affect releases prior to V4.3.0.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499
För kännedom...
Pål
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott via announce
> Sent: Thursday, March 30, 2023 5:29 PM
> To: announce(a)shibboleth.net
> Subject: Shibboleth Identity Provider Security Advisory [30 March 2023]
>
> Shibboleth Identity Provider Security Advisory [30 March 2023]
>
> Regression in RemoteUser login flow could lead to impersonation
> ===============================================================
> A regression was introduced into the RemoteUser login flow in
> the Shibboleth Identity Provider software allowing the use of
> a fixed header name to supply the REMOTE_USER value to use.
> In the absence of an actual REMOTE_USER variable or any
> configured servlet request attributes, the code would fall back
> to using a "fixed" header variable name instead of honoring the
> configured set of headers to look at.
>
> Given that this would be immediately obvious while using the
> software (since it would be unable to obtain a value to use and fail),
> it is unlikely this would escape notice, but there is the theoretical
> chance of an unguarded header being accepted as the identity.
>
> Deployments that do not make use of this login flow are unaffected
> (despite the fact that the servlet containing the regression is
> generally active by default).
>
> Affected Versions
> =================
> Version 4.3.0 only of the Identity Provider, when using the
> RemoteUser login flow, either directly, or indirectly via the MFA
> login flow feature.
>
> Recommendations
> ===============
> Upgrade to Identity Provider V4.3.1 or later.
>
> References
> ==========
> URL for this Security Advisory
> http://shibboleth.net/community/advisories/secadv_20230330.txt
>
> Credits
> =======
> Tero Marttila, Funidata Oy
Hej SAML-vänner!
Måndag 3 april med start klockan 10.30 kommer det genomföras underhåll på mds.swamid.se för att förbereda inför framtida MDQ.
Ingen planerad nertid men störningar kan förekomma.
--
jocar
SWAMID Operations
Hej,
Har du anmält dig <https://www.sunetdagarna.se> till Sunetdagarna? Den
18–20 april träffas vi på Mälardalens universitet, Campus Eskilstuna, för
några fullmatade dagar om IT-infrastruktur och digitala tjänster för högre
utbildning och forskning. Programmet finns på www.sunetdagarna.se.
Några av de ämnen som tas upp är:
- Digitalt campus
- Mänskliga reaktioner i extrema situationer
- AI för effektivt lärande
- EU:s digitala identitetsplånbok
- Projektet “Studentens digitala resa”
- Sunet datacenter för framtiden
- Öppna digitala resurser för studenters lärande
- Nätverkautomation och IT-säkerhet
- Polar Connect – robust nätanslutning via Arktis
- Badges och Microcredentials
- Vad är Sunet?
- Digital pedagogisk kompetens
Anmäl dig på www.sunetdagarna.se. Platserna är begränsade så vänta inte för
länge!
Pål
---------- Forwarded message ---------
Från: Cantor, Scott via announce <announce(a)shibboleth.net>
Date: mån 13 mars 2023 19:51
Subject: Shibboleth Service Provider for Windows V3.4.1.2 available
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Another patch/service update to the Windows installer for the Service
Provider is available, addressing a security issue in zlib, which is
packaged as part of the software. The issue was disclosed last year but was
overlooked at the time.
I am not aware of any exploits for the issue but am providing the update
out of caution.
-- Scott
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Jag undrar om ni som använder Shibboleth och har slagit på CSRF
mitigation har sett en ökning av varningar kopplat till invalid CSRF
tokens i era loggarna de senaste dagarna?
Vi kan se en fördubbling av antal "non-proceed event while processing
the request: InvalidCSRFToken" antingen för view-state
"LocalStorageRead" eller "DisplayUsernamePasswordPage" sedan i
månadsskiftet.
Vi har några studenter som har hört av sig som har haft problem med att
logga in i olika tjänster. Det är oklart just nu om eller hur dessa
problem skulle vara kopplat till ogiltiga CSRF tokens. Det är väldigt
få, men en stor procentuellt ökning under kort tid.
Undrar bara om vi är ensamma med denna ökning?
Tacksam för svar.
/Paul.
Vänliga hälsningar / Best regards
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Phone: +46 54 700 23 07
Mobile: +46 54 70 191 42 83
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej,
Under 2022 har SWAMID arbetat med att förbättra kvalitén på publicerad
metadata för registrerade identitetsutfärdare och tjänster. Idag finns det
inga identitetsutfärdare som inte uppfyller SWAMIDs krav men det finns för
ögonblicket runt 70 tjänster som inte gör det även om vi försökt kontakta
dem alla ett flertal gånger. Inga sunettjänster finns kvar i den
kvarvarande listan!
Nu på måndag kommer vi att avregistrera alla tjänster som inte uppfyller
kraven i SWAMIDs regelverk och inom ett dygn kommer användarna få problem
att logga in i dessa. Om ni upptäcker problem ska ni hänvisa tjänsten till
operations(a)swamid.se. Vi har beredskap för att hantera frågorna samt hjälpa
till med handledning för hur man löser problemet.
De enda två undantagen vi gör är för tjänsterna ProjectPlace och Egencia.
Dessa byter entitetskategori för att få behövda attribut till REFEDS
Personalized Entity Category från SWAMIDs gamla entitetskategori SWAMID
Research and Education. Orsaken till undantaget är att ni som har
identitetsutgivare ska hinna få in stöd för den nya entitetskategorin.
Undantaget gäller fram till 28 februari!
Pål Axelsson
Hej!
Såg att det dök upp lite frågor om MFA så jag slänger ut min fråga i hopp om att någon har lite tips.
Vår IDP är konfad att använda vår ADFS via SAML Proxy. Fungerar finfint och plockar bort en del jobba onödiga inloggningar. Uppskattas av både personal och studenter.
Jag har försökt att sätta upp MFA-flödet för detta men får det inte riktigt att fungera mot vår M365 MFA-integrerade ADFS. Finns bra dokumentation om detta för Azure man kan inspireras av på Shibboleth wikin.
Problemet ligger i att det SAML-svar vi får som säger att nu har du loggat in med MFA kommer i ett eget attribut. Dvs "på fel sätt".
Enligt shibboleth-listan så ska det vara möjligt att skriva om svaret så att shibboleth stoppar in värdet på rätt ställe i SAML-svaret så att REFEDS-konfigurationen kan mappa om ADFS-svaret på ett korrekt sätt.
Så, är det någon som har några tips på vad man kan titta på för att komma vidare?
Förvirrad,
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructur
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<http://www.miun.se/en/personaldata>
Hej,
Här kommer goda nyheter för er som kör SimpleSAMLphp i era system.
[image: :mega:] Great news! SimpleSAMLphp 2.0
<https://simplesamlphp.org/download/> has been released after many years of
preparation and it might be among the best versions of SimpleSAMLphp
released to date. Since many things have been cleaned up, it's essential to
read the upgrade notes
<https://simplesamlphp.org/docs/stable/simplesamlphp-upgrade-notes-2.0.html>
.
Pål
Hej
Med hänsyn till AL2 så kommer vi att utveckla en portal där våra användare kan logga in i för att höja sin AL-nivå.
Vi har pratat om att det kan ske via BankID, Freja eID och/eller federering mot AL2-konto hos eduID eller annat svenskt lärosäte i SWAMID.
Är det någon här som har gått igenom samma process och kan ge några tips?
Om ni har något att dela med er så får ni gärna kontakta mig: eric.johansson(a)ki.se<mailto:eric.johansson@ki.se>
Vi kommer utveckla vår lösning i .NET, så har ni erfarenhet eller t.o.m. kod så är vi intresserade av samarbete.
Hälsningar,
Eric Johansson | Drifttekniker
IT-avdelningen | Karolinska Institutet
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/medarbetare/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://ki.se/en/staff/data-protection-policy>.
En ganska enkel lösning är att bygga ett API som returnerar information om vilken MFA metod en användare har valt och konfigurerat.
Man kan anropa API:t från skriptet i mfa-authn-config.xml för att bestämma vad nextFlow ska vara. T.ex
var authCtx = input.getSubcontext("net.shibboleth.idp.authn.context.AuthenticationContext");
var mfaCtx = authCtx.getSubcontext("net.shibboleth.idp.authn.context.MultiFactorAuthenticationContext");
var requestContext = input.getSubcontext("net.shibboleth.idp.profile.context.SpringRequestContext").getRequestContext();
usernameLookupStrategyClass = Java.type("net.shibboleth.idp.session.context.navigate.CanonicalUsernameLookupStrategy");
usernameLookupStrategy = new usernameLookupStrategyClass();
var userName = usernameLookupStrategy.apply(input);
if (mfaCtx.isAcceptable()) {
nextFlow=null
} else {
// Call to API to ascertain user's chosen MFA method
<insert code here to call external API and return method-info for userName>
if (hasMethod1) {
nextFlow="authn/method1";
} else if (hasMethod2) {
nextFlow="authn/method2";
} else {
// A flow to show a message about how to configure MFA
nextFlow="authn/none";
}
nextFlow; // pass control to second factor or end with the first
}
/Paul.
On 2022-02-15 10:15, Björn Wiberg wrote:
Hej allihopa!
Har någon av er implementerat logik i MFA-flödet i Shibboleth IdP som kollar vilken/vilka sorts MFA-varianter som tjänsten begärt?
Vid MFA så brukar man ju sätta idp.authn.flows=MFA i conf/authn/authn.properties och sedan implementera logiken i conf/authn/mfa-authn-config.xml för att kräva först användarnamn och lösenord och sedan vid behov en andra faktor.
Men hur gör man om den andra faktorn skall kunna variera?
T ex om man i Apache-konfigurationen för mod_shib (Shibboleth SP) angett:
ShibRequestSetting authnContextClassRef https://refeds.org/profile/mfa<https://refeds.org/profile/mfa%20%20för%20U2>
(för U2F)
...eller:
ShibRequestSetting authnContextClassRef saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:TimeSyncToken
(för TOPTP)
…och vill kunna stödja vilken som av dessa i Shibboleth IdP?
Man kan ju även ange flera "acceptabla" värden efter varandra och då får väl IdP:n välja bland dessa beroende på vad den stödjer och den ordning som den önskar tillämpa på de metoder den stödjer, och den ordningen får man väl förmodligen definiera själv på något sätt gissar jag…
Om man vill snappa upp det i checkSecondFactor() i conf/authn/mfa-authn-config.xml, hur gör man då?
Så här ser det ut i dagsläget:
<entry key="">
<bean parent="shibboleth.authn.MFA.Transition" p:nextFlow="authn/Password" />
</entry>
<entry key="authn/Password">
<bean parent="shibboleth.authn.MFA.Transition" p:nextFlowStrategy-ref="checkSecondFactor" />
</entry>
<bean id="checkSecondFactor" parent="shibboleth.ContextFunctions.Scripted" factory-method="inlineScript">
<constructor-arg>
<value>
<![CDATA[
nextFlow = "authn/U2f";
authCtx = input.getSubcontext("net.shibboleth.idp.authn.context.AuthenticationContext");
mfaCtx = authCtx.getSubcontext("net.shibboleth.idp.authn.context.MultiFactorAuthenticationContext");
if (mfaCtx.isAcceptable()) {
nextFlow=null;
}
nextFlow; // pass control to second factor or end with the first
]]>
</value>
</constructor-arg>
</bean>
Här skulle jag alltså vilja läsa av mängden av begärda MFA-metoder och välja någon slags ordning för dessa (t ex i första hand TOTP och i andra hand U2F).
Hittar inget om detta i Shibboleth IdP-dokumentationen, även om jag börjat snegla på getPreferredPrincipals() (http://shibboleth.net/sites/release/java-identity-provider/4.1.5/apidocs/ne…)
Tacksam för alla tips! 😊
Med vänliga hälsningar / Best regards
Björn Wiberg
Uppsala universitet / Uppsala University
Avdelningen för universitetsgemensam IT / University IT Services
Infrastruktur och drift / Infrastructure and Operations
System Unix/Linux
---------------------------------------------------------------
saml-admins-at-swamid.se mailing list
Medlemskap/Arkiv etc finns p�:
http://segate.sunet.se/cgi-bin/wa?A0=saml-admins
---------------------------------------------------------------
--
Paul Scott <paul.scott(a)kau.se><mailto:paul.scott@kau.se>
Systemutvecklare, IT-avdelningen, Karlstads universitet
Tel: +46 (0)54-700 23 07
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
För kännedom.
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Service Provider Windows Service Release
> Date: 8 February 2023 at 15:03:47 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> A service patch to the SP Windows installer (V3.4.1.1) is now available. This patch includes an updated version of OpenSSL to address a set of security vulnerabilities disclosed yesterday. While the SP is likely not greatly (if at all) at risk, at least one of them was quite nasty so I updated it as a precaution.
>
> The patch release is available from the usual location. [1]
>
> The Release Notes [2] also highlight the fact that it's a strong suggestion at this point for any SP deployments to make sure the PKIX TrustEngine support is disabled, as it is essentially unused at this point but was left enabled implicitly for compatibility. Including it adds a lot of unnecessary attack surface and turning it off is a simple matter.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/service-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335693/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej alla.
Vi håller på och byter ut vår Shibboleth-IdP och går från version 3.4.4 till 4.1.4 och allting ser ut att fungera bra förutom re-authentication vid attestering i Ladok.
Man möts av följande felmeddelande när man klickar på OK för att komma till vår IdP för en andra inloggning:
[cid:d358e3be-c146-4e98-b47d-48bf08b3dc80]
Utdrag ur idp-process.log:
2023-02-08 09:57:39,364 - 176.71.252.232 - INFO [net.shibboleth.idp.authn.impl.FilterFlowsByForcedAuthn:86] - Profile Action FilterFlowsByForcedAuthn: No potential authentication flows remain after filtering
2023-02-08 09:57:39,365 - 176.71.252.232 - INFO [net.shibboleth.idp.authn.impl.SelectAuthenticationFlow:455] - Profile Action SelectAuthenticationFlow: None of the potential authentication flows can satisfy the request
2023-02-08 09:57:39,366 - 176.71.252.232 - WARN [org.opensaml.profile.action.impl.LogEvent:101] - A non-proceed event occurred while processing the request: RequestUnsupported
2023-02-08 09:57:39,385 - 176.71.252.232 - INFO [Shibboleth-Audit.SSO:283] - 176.71.252.232|2023-02-08T09:57:39.341515Z|2023-02-08T09:57:39.385863Z||https://www.test.ladok.se/gui-sp||||||||false||Redirect|POST||Requester|urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext||Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:108.0) Gecko/20100101 Firefox/108.0
Är det någon som har stött på någonting liknande i version 4.1+ av Shibboleth-IdP eller har idéer om hur man skulle kunna lösa problemet?
Vi signalerar inte att vi supportar MFA, varken i den nya eller den gamla IdP:n.
Med vänliga hälsningar
Jonny Ehrnberg
IT-arkitekt
Avdelningen för digitalisering och IT
Örebro universitet
Hej,
Under maj kommer vi att genomföra fysiska hackatons på Tulegatan i
Stockholm för att stödja processen att börja använda multifaktorinloggning
i sin IdP enligt SWAMIDs krav.
- SWAMID Hackaton 3-4 maj - Att i ADFS hantera multifaktorinloggning som
uppfyller SWAMIDs krav
<https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+3-4+maj+-+Att+i+ADFS+h…>
- SWAMID Hackaton 23-24 maj - Att i Shibboleth IdP hantera
multifaktorinloggning som uppfyller SWAMIDs krav
<https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+23-24+maj+-+Att+i+Shib…>
Mer information kommer senare men boka redan nu in detta i era kalendrar
och se till så att ni kommer till Stockholm på det hackaton som gäller er
programvara. Målet med hackatonet är att när ni gått därifrån så ska ni ha
fått verktygen för att implementera tekniskt stöd i er identitetsutfärdare.
Vi kommer även ge tips och rekommendationer om processerna om utfärdande av
multifaktormöjligheter till användare och hur ni skriver detta er i er
Identity Management Practice Statement (IMPS).
Pål
Hej
På dagens möte tog jag upp ett problem med inloggning till SDN som jag efter dagens session fick tillräckligt med info om för att kunna felsöka.
Det visade sig att jag hade <eduPersonPrincipalNameRessignable>true</eduPersonPrincipalNameRessignable> i config.SWAMID.xml vilket i vårt fall är fel då vi inte återanvänder samAccountName som vi använder för att bygga ePPN. När jag ändrat till <eduPersonPrincipalNameRessignable>false</eduPersonPrincipalNameRessignable> och importerat på nytt med
Import-AdfsTkMetadata -EntityId https://sp.snd.gu.se/module.php/saml/sp/metadata.php/default-sp -ConfigFile C:\ADFSToolkit\config\institution\config.swamid.xml -ForceUpdate
Så fungerar det som det skall. Vår ADFS släpper nameid-format:transient som den skall. (måste dock erkänna att jag inte riktigt förstår sambandet 😉 )
Mvh
Anders Persson
Systemarkitekt
Ekonomi och verksamhetsstöd - EoV
IT
D: +46 10 516 56 48 | V: +46 10 516 50 00
anders.persson(a)ri.se<mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se<http://ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
Hej,
Ni som använder Shibboleth, antingen som IdP, SP eller bägge, får gärna
svara på denna enkät. Det är ett sätt för Shibboleth konsortiet att få
reda på mer om hur de ska jobba vidare med produkterna.
Pål
> -----Original Message-----
> From: members <members-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott
> Sent: Wednesday, January 11, 2023 6:12 PM
> To: Shibboleth Consortium Members <members(a)shibboleth.net>
> Subject: Shibboleth Consortium Survey
>
> Hi,
>
> The Consortium Board asked me to circulate this to the membership, and
I'll
> be sending this to users afterward to cast a wider net.
>
> The Consortium has put together a survey to gather feedback about
current
> and future state of the project and the consortium, and we're hoping to
get
> as much feedback as we can, so your help is appreciated.
>
> In the case of NRENs, circulating this to your own membership would be
> welcome and appreciated.
>
> https://online1.snapsurveys.com/shibboleth
>
> Thanks.
> -- Scott
>
>
> _______________________________________________
> members mailing list
> members(a)shibboleth.net
> https://shibboleth.net/mailman/listinfo/members
FYI
Happy upgrading!
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V4.3.0 now available
> Date: 18 January 2023 at 17:48:34 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project is pleased to announce that the latest upgrade to the IdP is now available [1]. Please review the Release Notes for any pertinent information. [2]
>
> This is a minor release that is fully compatible with previous V4 releases, but does include some additional deprecation warnings in advance of the release of V5, which will be removing a number of features and APIs.
>
> One particular change can result in a number of warnings, particularly when using older versions of some plugins, so those plugins have been adjusted to report themselves incompatible with V4.3, and we have altered the documentation to suggest that people upgrade any plugins first, prior to applying this upgrade, to limit the noise encountered.
>
> We expect this to be the final release of the V4 branch, barring security issues, with all further work shifting to V5.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
För kännedom för er som har tjänster med användare från Ryssland kommer de
två ryska identitetsfederationerna uteslutas från eduGAIN nu på fredag.
Ryska användare som har loggat in via dessa ska inte heller kunna logga in
via SWAMID. Hänvisa inte dessa användare till eduID för att komma runt
sanktionskraven.
"Today the eduGAIN Secretariat informed RUNNET AAI and FEDURUS of a
decision made by the eduGAIN Executive Committee[1].
Due the requirements set out in Article 5l1 of COUNCIL REGULATION (EU)
2022/576 [2], the Committee has decided to remove RUNNET AAI and FEDURUS
memberships from eduGAIN as this is deemed to be direct support of
organisations within Russia to whom sanctions apply. The metadata of both
federations will be removed from the eduGAIN aggregation at 17:00
CET on Friday 20th January 2023.
The representatives of both federations have already been removed from the
edugain-sg mailing list.
[1] As eduGAIN is currently funded by the GÉANT project, the eduGAIN
Executive Committee is the GÉANT Board.
[2]
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R0576&fr…
"
Pål
SWAMID Hackaton 26 januari - Konfigurera de nya entitetskategorierna i ADFS
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+26+januari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i ADFS för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName. Senaste versionen av ADFS
Toolkit behövs för att de nya entitetskategorierna och attributen ska
fungera. Vid behov ingår också uppgraderingsstöd under hackatonet.
*Målgrupp*
Detta hackaton riktar sig till er som har en ADFS identitetutgivare (IdP)
registrerade i SWAMID.
*Datum & tid*
Torsdagen den 26 januari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/65070997766?pwd=WDhUOEdZL1A5YnJIKzFxZW5ZQ2xxUT09
*Handledare*
Johan Peterson och Tommy Larsson
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
SWAMID Hackaton 1 februari - Konfigurera de nya entitetskategorierna i
Shibboleth IdP
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+1+februari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i Shibboleth IdP för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName.
*Målgrupp*
Detta hackaton riktar sig till er som har en Shibboleth identitetutgivare
(IdP) registrerade i SWAMID.
*Datum & tid*
Onsdagen den 1 februari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/66959995672?pwd=SEhDVUtHNnBzTEhJYXlRNnBtU3JkUT09
*Handledare*
Paul Scott, Björn Mattsson och Johan Wassberg
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
God fortsättning!
För kännedom, se nedan.
--
jocar
> A patch release of the Service Provider, V3.4.1, is now available [1][2]. This release fixes a couple of small bugs and adds a warning requested by one of our member organizations in the absence of the redirectLimit setting, which leads to SPs being abused as open redirectors.
>
> Notably, this release includes an update to the xmltooling library that hardens the code base against the sorts of attacks reported against the IdP in the recent advisory. The SP is, as far as can be determined, not impacted directly by that vulnerability, but this is a precautionary change.
>
> The Windows update also includes a change to restrict the ACLs on the /opt/shibboleth-sp directory when the default installation path is used, to limit some privilege escalation attacks due to overly permissive ACLs.
>
> The documentation has been updated to reflect this change [3], but we continue to observe that ultimately the responsibility for securing the file system lies with the deployer. We also urge caution and testing for those using IIS since the changes to the ACLs could prevent unusual IIS configurations from functioning without adjusting those ACLs.
>
> Packages have been pushed to at least a couple of the mirrors, but as has been typical, I'm not able to update all of them due to firewall changes, which I will follow up on.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/service-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335693
> [3] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335545
Hej,
Kan lägga till svar från KTH här: även vi får in ärenden från slutanvändare som har problem med inloggning med ORCID via institutional-login. Vi har också själva kontaktat ORCID, men de verkar inte ta tag i problemet. Vore bra om SUNET kan kontakta dem igen och stöta på lite så att de förstår att det orsakar problematik för många användare.
/Rosa
