Hej.
Det har i dag släppts information om 2 säkerhetshål i SAML.
HTTP-POST-SimpleSign i Shibboleth och HTTP-Redirect i SimpleSAMLphp.
Kort så bör ni som kör Shibboleth antingen plocka ner och kompilera upp senaste OpenSAML (3.3.1) och Shibboleth 3.5 eller uppdatera en fil på burken.
Många Linuxdistibutioner kör kvar på Shibboleth 3.4 och OpenSAML 3.2.x!
Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten i SP:n.
Gå in i protocols.xml och radera raden
<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"
path="/SAML2/POST-SimpleSign" />
För er som kör SimpleSAMLphp gäller att uppdatera till senaste versionen 2.3.7 eller 2.2.5
För mer info se https://wiki.sunet.se/pages/viewpage.action?pageId=241119211
// Björn Mattsson
Idag kom en ny version av SeamlessAccess till allmän beskådan.
Initialt så kommer det för vissa visas en vit ruta utan sökresultat som
beror på problem med cachning mellan versioner, det ser ut så här och lösas
genom en hård refresh / tömning av cache.
[image: Screenshot 2025-02-27 at 15.13.16.png]
Med den nya versionen kommer också en varningsruta, som visas om tjänsten
saknar korrekt returnurl i sitt metadata. En kort guide för hur man
åtgärdar det är på gång, men det handlar alltså om att adressen som skickas
med till anvisningstjänsten ska stämma överens med det man angivit i
metadatat.
[image: image.png]
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2023-03-19:
https://test-kmh.hr.evry.se/shibbolethhttps://test-ki.hr.evry.se/shibbolethhttps://test-du.hr.evry.se/shibboleth
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Begränsad delning
Hej!
Efter 10 långa år är det dags att göra en key-rollover på vårt metadatacertifikat för vår Sunet Play SP.
Gissar att flera av er har gjort detta och tänkte höra hur er process har varit?
Är det så enkelt som jag beskriver nedan?
*
generera ett nytt certifikat med t.ex. openssl (hitta info hos kaltura)
*
lägg publika certifikatet i metadata på metadata.swamid.se
*
vänta
*
ändra i kaltura
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>
Hej.
Vi håller just nu på att bygga om en del bakom kulisserna på metadata.swamid.se <http://metadata.swamid.se/>.
Inga stora förändringar som ni märker men koden skall bli lite mer modulär för att underlätta samarbete med andra federationer.
Nu på morgonen släppte jag en större förändring. SKALL inte påverka men om ni märker något får ni gärna höra av er :-)
// Björn M.
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen.
Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på
datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta
till rätt instans inom er organisation.
Raderas 2025-02-26:
https://sp.sweclarin.se/sp/module.php/saml/sp/metadata.php/default-sp
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
Hej,
Detta mail finns även som blogginlägg på SWAMIDs wikiutrymme,
https://wiki.sunet.se/x/pYqyDQ.
I slutet av hösten 2024 öppnade en viktig tjänst avsedd för både
forskare på lärosätena och fritidsforskare. För forskare på lärosäten
används eduGAIN och därmed SWAMID för inloggning och de har lite
speciella krav på attributrelease. Eftersom detta är en EU-tjänst som
innehåller EU-finansierade resurser finns det stor sannolikhet att ni
har forskare som vill använda de fria resurserna på EOSC EU Node. Det är
därför bra om ni som IdP-administratörer på universitet och högskolorna
läser genom nedanstående och funderar på hur ni kan genomföra korrekt
attributrelease.
Vad är EOSC EU Node?
EOSC EU Node är en plattform som främst stödjer tvärvetenskaplig och
multinationell forskning och främjar användningen av FAIR (Findable,
Accessible, Interoperable, Reusable) data och kompletterande tjänster i
Europa och utanför. Inom denna miljö kan forskare hitta lättanvända
verktyg och det mycket behövda stödet för att både individuellt och
kollektivt planera, genomföra, sprida och utvärdera sina typiska
forskningsarbetsflöden och resultat över EOSC-ekosystemet.
Dessutom är EOSC EU Node en plattform som underlättar skapandet av EOSC
Federation, enligt systemet av systemarkitekturprincipen för federerade
forskningsinfrastrukturer. Den syftar till att tillhandahålla en teknisk
och administrativ ritning och interoperabilitetsram för andra
potentiella infrastruktursnodkandidater att etableras. EOSC EU Node kan
erkännas som den första europeiska noden av EOSC Federation som främjas
av Europeiska kommissionen som en operativ plattform i produktion.
Speciella krav för attributrelease
För forskare, och fritidsforskare, i Europa med intresse för
tvärvetenskaplig och multinationell datadriven öppen vetenskap, har EOSC
EU Node skapats för att de ska kunna hitta och få tillgång till
interoperabla och återanvändbara data, publikationer, programvara och
tjänster över de federerade, nationella, regionala och tematiska kluster
och ekosystem. EOSC EU Node-plattformen ger användaren inte bara
tillgång till ett brett utbud av forskningsresultat, utan tillåter
användaren också att implementera och genomföra forskningsarbetsflöden
som kan upptäckas och publiceras om inom samma plattform.
De hanterade tjänsterna i EOSC EU Node bygger på FAIR-dataprinciperna
som gör data och tjänster sökbara, tillgängliga, interoperabla och
återanvändbara. Alla tjänster tillhandahålls i en kompatibel, oberoende
och säker molnbaserad miljö som är utformad och drivs i enlighet med
EU:s dataskyddsförordning (GDPR) för att förhindra obehörig åtkomst till
resurser och följer informationsstyrningsstandarder. Forskare har
möjlighet att implementera och genomföra sina arbetsflöden på EOSC EU
Node som kan upptäckas och publiceras om för att förbättra sökbarheten
av forskningsresultat.
Krediter är den virtuella valutan inom EOSC EU Node som användas för att
konsumera utvalda tjänster enligt användarens behörigheter och behov.
Krediter har inget monetärt värde och används för närvarande uteslutande
i EOSC EU Node för att möjliggöra rättvis, transparent och jämlik
tillgång till dess tjänster och resurser för den europeiska
forskarsamhället.
Hur får en forskare rätt mängd krediter?
Krediter tillhandahålls gratis (vid användningstillfället) av Europeiska
kommissionen första gången användaren loggar in och förnyas automatiskt
var tredje månad. Den exakta mängden krediter en användare får, samt
tillgångsnivån till olika tjänster, bestäms automatiskt baserat på den
affilieringsinformation som delas av din hemorganisation.
Hur tilldelas krediter och hur kan de användas?
500 krediter, som fylls på var tredje månad, och har tillgång till alla
EOSC EU Node-tjänster om användaren är knuten som fakultetsmedlem till
en organisation som är registrerad i EU27 eller ett Horizon
Europe-anslutet land via eduGAIN.
eduPersonScopedAffliation: faculty@domän
100 krediter, som fylls på var tredje månad, och har tillgång till ett
urval av EOSC EU Nodes applikationstjänster (File Sync & Share,
Interaktiva Anteckningsböcker för Små miljöer, Tjänst för stora
filöverföringar) om anställd vid en organisation som är registrerad i
EU27 eller ett Horizon Europe-anslutet land via eduGAIN.
eduPersonScopedAffliation: employee@domän
Inga krediter även om användaren har skrivskyddad tillgång till EOSC EU
Node-tjänsterna i alla andra fall av lyckad autentisering via eduGAIN.
Avsaknad av ovanstående värden för eduPersonScopedAffiliation.
Krav för tilldelning av faculty i eduPersonScopedAffiliation
När vi i SWAMID tillsammans med andra akademiska identitetsfederationer
har försökt tolka kraven för EOSC EU Node och hur krediter tilldelas har
vi kommit fram till att följande personer kan tilldelas värdet
faculty@domain i eduPersonScopedAffliation:
Anställda vid organisationen som har akademisk forskning i tjänsten.
Anställda vid organisationen som har doktorerat.
Övriga verksamma (personer som inte är anställda men agerar som sådana)
och som uppfyller motsvarande som ovanstående två punkter.
Det är väldigt viktigt att endast de personer som uppfyller ovanstående
krav tilldelas faculty oberoende av tjänst. För gruppen lärare bör man
gå tillbaka till definitionerna i högskolelagen och högskoleförordningen
för att se vilka grupper uppfyller kraven i ovanstående punktlista. På
wikisidan Rätt semantik för eduPersonScopedAffiliation
<https://wiki.sunet.se/pages/viewpage.action?pageId=17138034> finns
SWAMIDs rekommenderade hantering av affiliering beskriven.
Pål Axelsson
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen.
Följande entitet har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan.
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation.
Raderas 2025-02-26:
https://sp.sweclarin.se/sp/module.php/saml/sp/metadata.php/default-sp
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
SWAMID Operations
För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: Henri Mikkonen <henri.mikkonen(a)nimbleidm.com>
> Subject: OIDC OP v4.2.1 now available
> Date: 28 January 2025 at 17:42:08 CET
> To: announce(a)shibboleth.net
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released V4.2.1 of the OIDC OP plugin (see release notes at [1])
>
> This is a patch release, addressing a regression bug related to the use of frontChannelSuccess-option within logout propagation.
>
> -- Henri Mikkonen, on behalf of the team
>
> [1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/OP…
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
