FYI
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via users" <users(a)shibboleth.net>
> Subject: IdP advisory forthcoming
> Date: 14 December 2022 at 02:13:07 CET
> To: "users(a)shibboleth.net" <users(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: Shib Users <users(a)shibboleth.net>
>
> An IdP advisory will be coming soon, possibly by the end of this week. It's a bit unusual and isn't accompanying a patch. It involves risks to non-current IdP versions (i.e. not 4.2) primarily when Java isn't patched.
>
> The immediate risk is (extremely) critical, but is much lower if Java isn't out of date.
>
> -- Scott
>
>
> --
> For Consortium Member technical support, see https://shibboleth.atlassian.net/wiki/x/ZYEpPw
> To unsubscribe from this list send an email to users-unsubscribe(a)shibboleth.net
Hej
Jag har problem efter uppdatering till ADFS toolkit 2.2.1. Den kan ju släppa det nya attributet ”pairwise-id” men det nyttjar ett AD attribut norEduPersonLIN som vi inte har enligt nedan
<attribute type="urn:oasis:names:tc:SAML:attribute:pairwise-id" name="norEduPersonLIN" store="Active Directory"><file:///C:/ADFSToolkit/config/institution/config.SWAMID.xml><transformvalue adfstkstorefunction="pairwiseid"/></attribute>
Vi borde kunna använda något annat unikt som tex objectGUID eller?
Jag har också problem på en av två servrar att den klagar på att ADFSTkStore inte är registrerad. Jag får tre event i ADFS eventlog enligt följande:
EventID 111
-------------
The Federation Service encountered an error while processing the WS-Trust request.
Request type: http://schemas.microsoft.com/idfx/requesttype/issue
Additional Data
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)
EventID 303
The Federation Service encountered an error while processing the SAML authentication request.
Additional Data
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
EventID 365
-------------
Encountered error during federation passive request.
Additional Data
Protocol Name:
Saml
Relying Party:
https://service.projectplace.com/saml/metadata.xml
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
Ovan har jag enbart set på den sekundära server. Allt verkar ok, dll finns i c:\windows\adfs och
PS C:\Windows\system32> Get-ADFSTkStore
ADFSTkStore IS installed!
Installed Dll version is: 1.0.0.0
Dll version included in ADFSToolkit is: 1.0.0.0
PS C:\Windows\system32>
Mvh
Anders Persson
Systemarkitekt
Ekonomi och verksamhetsstöd - EoV
IT
D: +46 10 516 56 48 | V: +46 10 516 50 00
anders.persson(a)ri.se<mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se<http://ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
Hej,
För er som är inblandade i Ladok (som IdP för ett lärosäte som använder Ladok eller i annan form), här kommer status för införande av krav på SWAMID AL2 vid inloggning och arbete i Ladok. Denna information har också skickats ut till alla lokala objektägare, lokala kontaktpersoner och lokala tekniska kontaktpersoner för Ladok vid lärosätena.
Sedan SWAMID Board of Trustees<https://wiki.sunet.se/display/SWAMID/SWAMID+Board+of+Trustees> möte den 30/11 2022 så är 39 av 40 lärosäten i Ladok godkända för minst tillitsprofilen SWAMID AL2<https://wiki.sunet.se/display/SWAMID/Identity+Assurance+Level+2+Profile>. Bra jobbat, en eloge till er på IT-avdelningarna för respektive lärosäte!
I och med att lärosätet är godkänt för tillitsprofilen SWAMID AL2, så finns möjlighet att aktivera krav för denna nivå vid inloggning i Ladok för personal. Följande lärosäten har redan aktiverat detta krav, detta utskick är inte avsett för er:
* Chalmers tekniska högskola
* Enskilda Högskolan Stockholm
* Försvarshögskolan
* Göteborgs universitet
* Högskolan Dalarna
* Högskolan i Jönköping
* Högskolan i Skövde
* Johannelunds teologiska högskola
* Lunds universitet
* Newmaninstitutet
* Örebro teologiska högskola
För övriga lärosäten kommer krav på SWAMID AL2-nivå vid inloggning i Ladok för personal att gälla från och med 2023-07-01, se bifogad SWAMID AL2 i Ladok.pdf. Observera att för de användare som har tillgång till funktionen Nationell översikt kommer krav på SWAMID AL2-nivå att gälla för den funktionen redan från och med 2023-01-01.
Att SWAMID Board of Trustees godkänt er som lärosäte för tillitsprofilen SWAMID AL2 innebär att de granskat era processer för utdelning och hantering av användarkonton samt kringliggande infrastruktur och konstaterat att ni uppfyller kraven i SWAMID AL2-profilen. Förutom detta så behöver tre åtgärder genomföras innan Ladok får signalering om att en användare är bekräftad på SWAMID AL2-nivå i samband med inloggning:
* Det som lärosätet har blivit godkänd för måste också implementeras, både organisatoriskt och i systemen för identitetshantering
* Användaren behöver ha bekräftat sitt användarkonto, exempelvis genom en legitimationskontoll i er servicedesk
* Er inloggningstjänst (IdP) behöver signalera SWAMID AL2-nivå för användaren i samband med inloggning
Det är lämpligt att samtliga användare som har tillgång till funktionen Nationell översikt kontrollerar sin tillitsnivå och i förekommande fall bekräftar sitt användarkonto innan 2023-01-01. Kontroll kan göras längst ner på sidan i Ladok för personal vid "Autentiseringstyp":
* Om det står SWAMID AL2 har användaren rätt tillitsnivå för Nationell översikt
* Om det står SWAMID AL1 så behöver användaren bekräfta sitt konto
* Om det står SWAMID AL-nivå saknas så innebär detta att ingen tillitsnivå följer med i samband med inloggning och därmed behöver IT kontaktas så att de kan säkerställa att tillitsnivå signaleras vid inloggning
Kontroll kan också göras på https://ladok3.its.umu.se/kontrollera-al2/ där informationen är tydlig och användaren länkas vidare till lärosätets egna SWAMID AL2-hjälpsidor om SWAMID AL2-nivå saknas.
Säkerställ att ert eget konto uppfyller SWAMID AL2-nivå innan ni uppmanar era användare att testa ovanstående.
MVH
Fredrik Domeij, Ladok Operations
Fredrik Domeij
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
Hej,
Är det någon som har nån bra idé om varför idp-proxy-social.sunet.se säger
<ns0:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
<ns0:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:AuthnFailed" /></ns0:StatusCode>
<ns0:StatusMessage>Authentication failed. Error id [urn:uuid:13d25555-2ba8-48df-86e1-9c55c9142f8b]</ns0:StatusMessage>
</ns0:Status>
när jag försöker logga in på social.sunets.se? Jag är rätt säker på att vi skickar rätt grejer, https://personalized.release-check.swamid.se/ är i alla fall nöjd :)
/Björn
Hej,
Igår var det dags för årets sista SWAMID Board of Trustees. Förutom ett
antal godkännanden av SWAMID AL2 för lärosäten tackade vi av Valter som
ordförande för BoT. Protokollet finns publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2022-11-30.
Pål
Hallå!
Idag mellan ca 12.00 - 13.30 har vi haft problem metadatan för SPs i SWAMID som var registrerade för export till eduGAIN. Dessa SPs försvann från SWAMID (men fanns kvar i eduGAIN).
Problemet är åtgärdad i metadatan sedan runt 13.30 finns alla SPs tillbaka i SWAMIDs metadata.
--
jocar
SWAMID Operations
Hallå!
SWAMID Operations har av ett lärosäte informerats om att TimeEdit har kontakt med dem för att informera om att de måste göra en beställning på förändring av metadata för att uppfylla SWAMIDs nya teknikprofil. Arbetet efter denna beställning kommer att faktureras utanför det som ingår som standard i avtalet med lärosätet. Beräknad tid sannolik tid för förändringen är två timmar.
För de lärosäten som har fel i metadata för sina TimeEdit-instanser och som inte innefattar certifikatsbyte kan eventuellt göra denna uppdatering själva. Den svårast informationen som behöver uppdateras är vanligtvis en länk till information om tjänsten till slutanvändarna samt information om behandling av personuppgifter. Sidan till informationslänken borde ni redan idag ha för att informera era användare om tjänsten. Ni borde även kunna använda lärosätets generella information om hur lärosätet hanterar personuppgifter men läs igenom och verifiera.
--
jocar
SWAMID Operations
Hallihallå!
SWAMID Operations har fått till sig att både Egencia och Projectplace kommer snarast möjligt försöka gå över på REFEDS Personalized för attribut-release.
Vi uppmanar därför alla IdP-administratörer på lärosäten som är kund av någon av dessa företag snarast möjligt se till att er IdP stödjer de nya kategorierna.
Är du inte rätt mottagare på lärosätet för denna information så sprid den gärna vidare till någon som sysslar med IdPn eller är ansvarig för tjänsterna ovan.
För mer information om kategorierna se vår wiki:
https://wiki.sunet.se/display/SWAMID/Entity+Category+attribute+release+in+S…
--
jocar
SWAMID Operations
Hej,
För knappt en månad sedan den 20 oktober presenterade SWAMID på
Sunetdagarna att vi inför fyra nya GDPR-vänliga entitetskategorier. En av
dessa nya entitetskategorier ersätter SWAMIDs gamla entitetskategori SWAMID
Research and Education för alla tjänster som idag har den. Eftersom de
gamla entitetskategorin kommer att fullständigt avvecklas vid årsskiftet
rekommenderar vi alla identitetsutfärdare att införa stöd så fort som
möjligt för de nya entitetskategorierna.
*Följande är de nya entitetskategorierna:*
- *REFEDS Anonymous Access Entity Category* - Kategorin avser tjänster
som erbjuder en servicenivå baserad endast på bevis på framgångsrik
autentisering samt vissa organisationsattribut, möjliggör ingen
personifiering baserat på en användaridentifierare.
- *REFEDS Pseudonymous Access Entity Category* - Kategorin avser
tjänster som erbjuder en servicenivå baserad på bevis på framgångsrik
autentisering samt möjliggör personifiering baserat på en pseudonym
användaridentifierare.
- *REFEDS Personalized Access Entity Category* - Kategorin avser
tjänster som erbjuder en servicenivå baserad på bevis på framgångsrik
autentisering samt möjliggör personifiering baserat på en organisationsunik
användaridentifierare, namn och e-postadress, ersätter SWAMID Research and
Education.
- *REFEDS Data Protection Code of Conduct Entity Category (CoCov2)* -
Kategorin avser tjänster som antingen inte uppfyller kraven för övriga
kategorier eller har behov andra attribut, t.ex. personnummer, än de som
erbjuds i övriga kategorier, ersätter på lång sikt CoCov1 men bägge behöver
stödjas parallellt.
*Följande är de gamla entitetskategorierna som behålls:*
- *REFEDS Research and Scholarship Entity Category (R&S)* - Kategorin
avser tjänster som direkt stödjer forskning och utbildning baserad på bevis
på framgångsrik autentisering samt möjliggör personifiering baserat på en
organisationsunik användaridentifierare, namn och e-postadress.
- *Géant Data Protection Code of Conduct Entity Category (CoCov1)* -
Kategorin avser tjänster som antingen inte uppfyller kraven för övriga
kategorier eller har behov andra attribut, t.ex. personnummer, än de som
erbjuds i övriga kategorier, ersätts på lång sikt CoCov2 så bägge behöver
stödjas parallellt.
- *European Student Identifier Entity Category (ESI)* – Kategorin avser
tjänster som har behov av European Student Identifier, t.ex. tjänster runt
Erasmus+.
*Följande är de gamla entitetskategorierna som slutligen avvecklas:*
- *SWAMID Research and Education* - Ersätts av både Personalized Access
och R&S beroende på vilken typ av tjänst det är. Även CoCov2 och CoCov1
används som ersättare i vissa fall.
- *SWAMID SFS 1993:1153* - Ersätts av CoCov2 och CoCov1.
Som ni ser så hör REFEDS tre nya entitetskategorier Anonymous Access,
Pseudonymous Access och Personalized Access ihop i en hierarki. De tjänster
som endast behöver veta att en användare tillhör en viss organisation
använder Anonymous Access, de tjänster som vill kunna ge användaren en mer
personifierad åtkomst men utan behov av namn och e-postuppgifter använder
Pseudonymous Access och till sist de tjänster som behöver full
personalisering använder Personalized Access. Denna hierarki gör att
tjänster inte behöver begära mer information än de behöver för att leverera
tjänsten till användarna, s.k. dataminimalisering runt personuppgifter.
SWAMIDs standardmallar för både Shibboleth och ADFS tar hänsyn till
minimeringen på så sätt att om en tjänst begär mer än en av dessa tre får
tjänsten attribut baserat på den som är mest dataminimerande, dvs. begärs
både Anonymous Access och Pseudonymous Access används den förstnämnda.
För er som använder ADFS Toolkit finns nu en ny version 2.2.0 som har stöd
för både de nya entitetskategorierna samt de nya identitetsattributen som
krävs. Ni hämtar senaste versionen på adressen
https://www.powershellgallery.com/packages/ADFSToolkit/. Praktisk
information finns i sunetdagarpresentationen 11-11.45 den 20 oktober.
För er som använder Shibboleth IdP finns detaljer om hur ni kommer i gång
med de nya entitetskategorierna även de i sunetdagarpresentationen 11-11.45
den 20 oktober. Självklart innehåller även standardmallarna för Shibboleth
på SWAMIDs wikisidor denna konfiguration.
*Att signalera tillit*
Som alla lärosäten vet börjar Ladok kräva att de personer som har tillgång
till modulen nationell översikt uppfyller kraven för SWAMID AL2 från och
med kommande årsskifte. Förutom att alla aktuella användarnas måste
valideras för SWAMDI AL2 enligt de metoder som ni är godkända för måste
identitetsutfärdaren även signalera godkända tillitsnivåer till Ladok och
andra tjänster. Ladok kommer att från och med sommaren kräva SWAMID AL2 för
alla anställda som loggar in i Ladok från och med halvårsskiftet 2023. Om
ni inte är godkända för SWAMID AL2 eller om ni inte signalerar SWAMID AL2
för de användare som uppfyller kraven kommer de inte kunna logga in i
Ladok. Aktuell status för vilka som är godkända för SWAMID AL2 finns i
medlemslistan på SWAMIDs wiki,
https://wiki.sunet.se/display/SWAMID/SWAMID+Members. De lärosäten som ännu
inte är godkända för SWAMID AL2 arbetar för fullt med att bli det.
Från och med i januari kommer även EuroHPC-datorn Lumi via
identitetsinfrastrukturerna MyAccessId och Puhuri börja kräva
tillitssignalering via REFEDS Assurance Framework (RAF). SWAMID
tillitsramverk uppfyller kraven i RAF och det är enkelt att signalera RAF
baserat användarens tillitsprofiler. Även detta finns stöd för i
standardmallarna för både Shibboleth och ADFS. Tänk på att de flesta
lärosätena och andra forskningsorganisationer i Sverige har minst en
användare eller forskningsgrupp som är beroende av att kunna använda Lumi
inom ramen för sin forskning.
För att få veta mer om förändringarna runt entitetskategorier och att
signalera tillitsnivåer kan ni ta del av presentationerna från den 20
oktober på Sunetdagarnas wikisida https://wiki.sunet.se/x/yJyvBg. Om ni som
identitetsutfärdare behöver mer information eller lite hjälp hör av till
SWAMID Operations, operations(a)swamid.se.
*Så i korthet behöver ni göra följande före julledigheterna:*
- *Aktivera stöd för de nya entitetskategorierna i era
identitetsutfärdare*
- *Konfigurera så att ni kan släppa både SWAMIDs tillitsprofiler och
REFEDS Assurance Framework till de tjänster som behöver det*
- *Testa attributreleasen i SWAMIDs testverktyg
https://release-check.swamid.se <https://release-check.swamid.se>*
- *När ni får grönt på attributreleasen gå in på
https://metadata.swamid.se/admin <https://metadata.swamid.se/admin> och
uppdatera vilka entitetskategorierna ni stödjer i er identitetsutfärdare*
Pål Axelsson
Hej!
Jag försöker hämta min EPPN men får fel :
https://release-check.swamid.se/
Se felet nedan:
[cid:ce19605c-440c-43b5-a2ca-cfa6cf5d7f9c]
Med vänlig hälsning
Ingimar Erlingsson
[Beskrivning: Description: Description: Description: Description: nrm_logo]
Ingimar Erlingsson
System Developer
Department of Bioinformatics and genetics
+46 (0)8 519 540 68
+46 (0)70 658 24 14
Naturhistoriska riksmuseet
Box 50007
104 05 Stockholm
Besöksadress: Frescativägen 40
www.nrm.se
<http://www.nrm.se/>
P please consider the environment before printing this e-mail
