Hej,
För knappt en månad sedan den 20 oktober presenterade SWAMID på
Sunetdagarna att vi inför fyra nya GDPR-vänliga entitetskategorier. En av
dessa nya entitetskategorier ersätter SWAMIDs gamla entitetskategori SWAMID
Research and Education för alla tjänster som idag har den. Eftersom de
gamla entitetskategorin kommer att fullständigt avvecklas vid årsskiftet
rekommenderar vi alla identitetsutfärdare att införa stöd så fort som
möjligt för de nya entitetskategorierna.
*Följande är de nya entitetskategorierna:*
- *REFEDS Anonymous Access Entity Category* - Kategorin avser tjänster
som erbjuder en servicenivå baserad endast på bevis på framgångsrik
autentisering samt vissa organisationsattribut, möjliggör ingen
personifiering baserat på en användaridentifierare.
- *REFEDS Pseudonymous Access Entity Category* - Kategorin avser
tjänster som erbjuder en servicenivå baserad på bevis på framgångsrik
autentisering samt möjliggör personifiering baserat på en pseudonym
användaridentifierare.
- *REFEDS Personalized Access Entity Category* - Kategorin avser
tjänster som erbjuder en servicenivå baserad på bevis på framgångsrik
autentisering samt möjliggör personifiering baserat på en organisationsunik
användaridentifierare, namn och e-postadress, ersätter SWAMID Research and
Education.
- *REFEDS Data Protection Code of Conduct Entity Category (CoCov2)* -
Kategorin avser tjänster som antingen inte uppfyller kraven för övriga
kategorier eller har behov andra attribut, t.ex. personnummer, än de som
erbjuds i övriga kategorier, ersätter på lång sikt CoCov1 men bägge behöver
stödjas parallellt.
*Följande är de gamla entitetskategorierna som behålls:*
- *REFEDS Research and Scholarship Entity Category (R&S)* - Kategorin
avser tjänster som direkt stödjer forskning och utbildning baserad på bevis
på framgångsrik autentisering samt möjliggör personifiering baserat på en
organisationsunik användaridentifierare, namn och e-postadress.
- *Géant Data Protection Code of Conduct Entity Category (CoCov1)* -
Kategorin avser tjänster som antingen inte uppfyller kraven för övriga
kategorier eller har behov andra attribut, t.ex. personnummer, än de som
erbjuds i övriga kategorier, ersätts på lång sikt CoCov2 så bägge behöver
stödjas parallellt.
- *European Student Identifier Entity Category (ESI)* – Kategorin avser
tjänster som har behov av European Student Identifier, t.ex. tjänster runt
Erasmus+.
*Följande är de gamla entitetskategorierna som slutligen avvecklas:*
- *SWAMID Research and Education* - Ersätts av både Personalized Access
och R&S beroende på vilken typ av tjänst det är. Även CoCov2 och CoCov1
används som ersättare i vissa fall.
- *SWAMID SFS 1993:1153* - Ersätts av CoCov2 och CoCov1.
Som ni ser så hör REFEDS tre nya entitetskategorier Anonymous Access,
Pseudonymous Access och Personalized Access ihop i en hierarki. De tjänster
som endast behöver veta att en användare tillhör en viss organisation
använder Anonymous Access, de tjänster som vill kunna ge användaren en mer
personifierad åtkomst men utan behov av namn och e-postuppgifter använder
Pseudonymous Access och till sist de tjänster som behöver full
personalisering använder Personalized Access. Denna hierarki gör att
tjänster inte behöver begära mer information än de behöver för att leverera
tjänsten till användarna, s.k. dataminimalisering runt personuppgifter.
SWAMIDs standardmallar för både Shibboleth och ADFS tar hänsyn till
minimeringen på så sätt att om en tjänst begär mer än en av dessa tre får
tjänsten attribut baserat på den som är mest dataminimerande, dvs. begärs
både Anonymous Access och Pseudonymous Access används den förstnämnda.
För er som använder ADFS Toolkit finns nu en ny version 2.2.0 som har stöd
för både de nya entitetskategorierna samt de nya identitetsattributen som
krävs. Ni hämtar senaste versionen på adressen
https://www.powershellgallery.com/packages/ADFSToolkit/. Praktisk
information finns i sunetdagarpresentationen 11-11.45 den 20 oktober.
För er som använder Shibboleth IdP finns detaljer om hur ni kommer i gång
med de nya entitetskategorierna även de i sunetdagarpresentationen 11-11.45
den 20 oktober. Självklart innehåller även standardmallarna för Shibboleth
på SWAMIDs wikisidor denna konfiguration.
*Att signalera tillit*
Som alla lärosäten vet börjar Ladok kräva att de personer som har tillgång
till modulen nationell översikt uppfyller kraven för SWAMID AL2 från och
med kommande årsskifte. Förutom att alla aktuella användarnas måste
valideras för SWAMDI AL2 enligt de metoder som ni är godkända för måste
identitetsutfärdaren även signalera godkända tillitsnivåer till Ladok och
andra tjänster. Ladok kommer att från och med sommaren kräva SWAMID AL2 för
alla anställda som loggar in i Ladok från och med halvårsskiftet 2023. Om
ni inte är godkända för SWAMID AL2 eller om ni inte signalerar SWAMID AL2
för de användare som uppfyller kraven kommer de inte kunna logga in i
Ladok. Aktuell status för vilka som är godkända för SWAMID AL2 finns i
medlemslistan på SWAMIDs wiki,
https://wiki.sunet.se/display/SWAMID/SWAMID+Members. De lärosäten som ännu
inte är godkända för SWAMID AL2 arbetar för fullt med att bli det.
Från och med i januari kommer även EuroHPC-datorn Lumi via
identitetsinfrastrukturerna MyAccessId och Puhuri börja kräva
tillitssignalering via REFEDS Assurance Framework (RAF). SWAMID
tillitsramverk uppfyller kraven i RAF och det är enkelt att signalera RAF
baserat användarens tillitsprofiler. Även detta finns stöd för i
standardmallarna för både Shibboleth och ADFS. Tänk på att de flesta
lärosätena och andra forskningsorganisationer i Sverige har minst en
användare eller forskningsgrupp som är beroende av att kunna använda Lumi
inom ramen för sin forskning.
För att få veta mer om förändringarna runt entitetskategorier och att
signalera tillitsnivåer kan ni ta del av presentationerna från den 20
oktober på Sunetdagarnas wikisida https://wiki.sunet.se/x/yJyvBg. Om ni som
identitetsutfärdare behöver mer information eller lite hjälp hör av till
SWAMID Operations, operations(a)swamid.se.
*Så i korthet behöver ni göra följande före julledigheterna:*
- *Aktivera stöd för de nya entitetskategorierna i era
identitetsutfärdare*
- *Konfigurera så att ni kan släppa både SWAMIDs tillitsprofiler och
REFEDS Assurance Framework till de tjänster som behöver det*
- *Testa attributreleasen i SWAMIDs testverktyg
https://release-check.swamid.se <https://release-check.swamid.se>*
- *När ni får grönt på attributreleasen gå in på
https://metadata.swamid.se/admin <https://metadata.swamid.se/admin> och
uppdatera vilka entitetskategorierna ni stödjer i er identitetsutfärdare*
Pål Axelsson
Hej!
Jag försöker hämta min EPPN men får fel :
https://release-check.swamid.se/
Se felet nedan:
[cid:ce19605c-440c-43b5-a2ca-cfa6cf5d7f9c]
Med vänlig hälsning
Ingimar Erlingsson
[Beskrivning: Description: Description: Description: Description: nrm_logo]
Ingimar Erlingsson
System Developer
Department of Bioinformatics and genetics
+46 (0)8 519 540 68
+46 (0)70 658 24 14
Naturhistoriska riksmuseet
Box 50007
104 05 Stockholm
Besöksadress: Frescativägen 40
www.nrm.se
<http://www.nrm.se/>
P please consider the environment before printing this e-mail
För Node.js finns det ett SAML-bibliotek kallat node-saml.
De har nu funnit ett säkerhetshål i detta bibliotek som gör att man kan bypass inloggningen i vissa fall.
Om ni kör med detta bibliotek kan det vara dags att uppdatera.
Mer info på https://github.com/node-saml/passport-saml/security/advisories/GHSA-m974-64…
Björn Mattsson
bjorn(a)sunet.se
Hej,
Alla entitetskategorier som rekommenderas inom SWAMID har något som heter
”entity support category”. Detta innebär att ni som har identitetsutgivare
registrerade i SWAMDI kan och bör i ert metadata registrera vilka
entitetskategorier ni har stöd för. Detta stöd har funnits länge men vi har
lagt till möjligheten för att lägga till det för de nya GDPR-vänliga
entitetskategorierna som presenterades på Sunetdagarna. Vi har också saknat
möjligheten att markera att IdP:n stödjer entitetskategorin för European
Student Identifier (ESI), detta är nu fixat.
VI skulle uppskatta om ni kunde gå in och verifiera att era IdP:er har
markering för stödda entitetskategorier.
Till sist så har vi även skapat en statistiksida under fliken ”ECS
statistics” när man är inloggad på https://metadata.swamid.se/admin.
Tack på förhand
Pål
Hej,
Ni som har identitetsutgivare (IdP) registrerad i SWAMID är hjärtligt
välkommen på nedanstående webinarium. Om ni inte är klara med ESI-arbetet
så är det viktigt att ni kommer. Informationen kommer i princip vara samma
som i våras men ni kan ställa frågor.
Pål
*From:* Eplushögre <eplushogre(a)uhr.se>
*Sent:* Monday, October 10, 2022 11:05 AM
*To:* DL_Erasmus_ansvariga <Erasmus_ansvariga(a)uhr.se>
*Subject:* Webbinarium - implementering av ESI, 7 november
*Till Erasmusansvariga*
*Vänligen skicka vidare denna inbjudan till berörd personal vid ert
lärosäte, tillsammans med det PM som bifogas. *
Hej,
UHR erbjuder tillsammans med SUNET ett webbinarium för teknisk personal för
att informera om implementeringen av ESI. ESI ska implementeras under
2022, alltså snarast möjligt*. *
*Användandet av ESI är en nödvändighet för fortsatt deltagande i Erasmus+
efter 2022.*
Som del av *European Student Card Initiative* är den europeiska
studentidentifieraren (ESI) en förutsättning för deltagande i Erasmus+ och
det är lärosätet som ansvarar för att utfärda ESI. Mer information om ESI
finns i bifogat PM som ni kan använda som underlag i intern kommunikation.
*Webbinarium – ESI *
*Måndag 7 november*
*Kl. 14.00-15.00*
*Zoom:*
https://uhr-se.zoom.us/j/69795594385?pwd=WEtUaVBzR3QvNFJsYUYrVzB3bVdNdz09
Meeting ID: 697 9559 4385
Passcode: 565349
Med vänliga hälsningar,
_____________________
*Frida Garvill*
Handläggare, Erasmus+ högre utbildning
Avdelningen för internationellt samarbete
frida.garvill(a)uhr.se
Telefon: 010-470 04 94
Växel: 010-470 03 00
Universitets- och högskolerådet
Box 4030
171 04 Solna
www.uhr.sewww.utbyten.se
När du skickar e-post till Universitets- och högskolerådet behandlar vi
dina uppgifter i enlighet med gällande lagstiftning.
Så behandlar Universitets- och högskolerådet personuppgifter (uhr.se)
<https://www.uhr.se/om-uhr/sa-har-behandlar-uhr-personuppgifter/>
Hej,
För kännedom...
Trevlig helg
Pål
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott via announce
> Sent: Thursday, November 3, 2022 2:01 PM
> To: announce(a)shibboleth.net
> Subject: Shibboleth Service Provider V3.4.0 now available
>
> The Shibboleth Project has released a small update to the Service Provider
> software. This is essentially a small patch but contains a new
> configuration
> setting so is a minor update to V3.4.0.
>
> Various libraries have been updated for this release, and the Windows
> package
> contains the latest security updates for OpenSSL and libcurl. At this
> time, it is not
> believed that any of those vulnerabilities impacts the SP but the OpenSSL
> patch is
> advisable out of caution.
>
> Source and windows packages are available [1] and the RPM packages will be
> pushed to the mirrors this morning.
>
> Release notes are at [2].
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/service-provider/3.4.0/
> [2] https://wiki.shibboleth.net/confluence/display/SP3/ReleaseNotes
Hej,
Nu är det dags för höstens Sunetdagar. De kommer även i höst pågå virtuellt
under tre veckor (11-27 oktober) och det fullständiga programmet finns på
adressen https://wiki.sunet.se/x/yJyvBg.
För SWAMID så finns följande programpunkter:
-
*Torsdag 13 oktober 09.00-09.45: Metadata i SWAMID *Ett trekvarts år med
SWAMIDs nya metadataverktyg, vilka är erfarenheterna och vad har förändrats.
Vid årsskiftet måste alla identitetsutgivare och tjänster som är
registrerade i SWAMID uppfylla SWAMIDs beslutade teknologiprofil för SAML
WebSSO. Hur kan metadataverktyget hjälpa till med detta?
-
*Torsdag 20 oktober 10.00-10.45: Rekommenderad attributrelease i SWAMID -
Vad är på gång och varför? *SWAMID är en infrastruktur för att
möjliggöra att användare kan använda inloggningen i sin egen organisation
för att logga in i webbaserade tjänster i sin egen och i andra
organisationer. För att detta ska fungera måste organisationens
identitetsutgivare skicka attribut, dvs. information om användaren, till
tjänsten. Inom SWAMID har vi länge använt en metod som kallas
entitetskategorier och nu kommer det nya GDPR-vänliga kategorier.
-
*Torsdag 20 oktober 11.00-11.45: Rekommenderad attributrelease i SWAMID -
Hur gör vi? *Del 2 om attributrelease beskriver hur vi tekniskt
implementerar och testar de nya entitetskategorierna för både Shibboleth
och ADFS.
-
*Torsdag 27 oktober 10.00-10.45: Vad är på gång i SWAMID? *Under de senaste
åren har mycket fokus lagts på att uppdatera SWAMID policyramverk men nu
skiftar fokus till tekniska förbättringar i SWAMIDs tekniska infrastruktur.
Vi kommer bland annat att presentera vårt arbete med nytt och
kompletterande sätt att hämta metadata samt planerna på en helt ny QA-miljö
som ersätter SWAMIDs testmiljö.
Välkomna
Pål
Hej,
Det går framåt med uppdateringen för alla entiteter när det gäller de
uppdaterade metadatakraven. Just nu är det 2 identitetsutfärdare som inte
är ok, en var men sedan gick giltighetstiden för certen ut. När det gäller
tjänsterna så är siffrorna lite annorlunda, just nu är det 285 som inte är
ok. Komihåg att alla måste vara ok för årsskiftet för att inte
avregistreras från SWAMID.
Så här ser status för tjänsterna ut just nu:
Vi har också försökt analysera vem som använder de olika tjänsterna och då
kommit fram till nedanstående graf och tabell.
*Organisationer med två eller färre fel*
- Blekinge Tekniska Högskola
- Enskilda Högskolan Stockholm
- Gymnastik- och idrottshögskolan
- Högskolan Dalarna
- Högskolan Kristianstad
- Högskolan Väst
- Högskolan i Gävle
- Högskolan i Halmstad
- Institutet för rymdfysik
- Jönköping University
- Kungliga Musikhögskolan
- Kungliga biblioteket
- Mittuniversitetet
- Röda Korsets Högskola
- Sophiahemmet Högskola
För de flesta som har 1-3 tjänster som inte är klara handlar oftast
tjänster som ni köper, t.ex. Egencia, Primula och TimeEdit. Det är bra om
ni ser till så att de leverantörerna fixar sina metadata, SWAMID Operations
har tjatat på dem men det behövs även från er.
Pål
Tjo!
Vårt bibliotek har börjat arbete med att använda verktyget Dynamica
från https://scifree.se för OpenAccess-publicering.
Jag ser att det är många av oss (Paul, Tommy m.fl.) som använder sig av
deras Journal Search Tool[1].
Är det någon som har någon kontakt med dom angående SSO eller liknande?
Jag inser att vi verkar vara i ett pilotprojekt för Dynamica-tjänsten
och ingen annan verkar använda den ännu. Men mitt mål är ju att den ska
bli en tjänsteleverantör i SWAMID och det verkar rimligt att dom hamnar
i <http://refeds.org/category/research-and-scholarship>.
MVH
- Simon
1,
<https://scifree.se/scifree-jst#page-section-5fa9103544651c5602044401>
