Hej alla SAML-gurus.
Vi har på Örebro universitet påbörjat arbetet med att ersätta vår gamla Shibboleth-IdP (version 4.x) med en ny 5.1.3 och allt har gått bra och vi är nästan redo att byta ut https://idp.oru.se mot https://shib-idp-1.oru.se, men vi har en detalj kvar att lösa. Återautentisering fungerar inte.
Den gamla IdP:n är en Gluu Server som består av flera paketerade komponenter, bl.a Shibboleth IdP 4.3.1?, OpenDJ (LDAP-server) och Passport.js. Passport.js används för OpenIDConnect, både som OP (mot Shibboleth-servrarna) och RP (för autentisering mot Entra och Freja eID+).
Målsättningen vi har är att sätta upp den nya IdP:n och använda oss av OIDC för autentisering mot den gamla IdP:n och inaktivera den inbyggda Shibboleth-IdP:n.
För att få OIDC att fungera har vi installerat de plugins som behövs och konfigurerat så att det fungerar som vi vill. Autentisering fungerar perfekt, men som sagt, återautentisering fungerar inte.
Det som händer vid återautentisering är att man, som förväntat, tvingas autentisera igen men när det är klart landar man på inloggningssidan igen.
Det verkar som att vår OIDC OP inte vet var man ska omdirigeras efter lyckad återautentisering men vi hittar inga fel i några loggar och på vår nya IdP händer ingenting i loggen efter att man omdirigerades till OP:n.
En skillnad mellan vår nya IdP och den gamla är att vi nu använder oss av net.shibboleth.idp.plugin.oidc.xxx för att delegera autentisering till Passport.js istället för Gluu's oxAuth saml-passport.
Vi gissar att vi är ganska ensamma om denna setup men hoppas att någon annan kanske har erfarenheter gällande Shibboleth-IdP 5.x och OIDC och kanske har stött på liknande problem.
Med vänliga hälsningar
Jonny Ehrnberg och Tomas Liljebergh
Hej,
tänkte bara informera att många problem försvann i loggen när jag uppgraderade jetty 11 (fick då rätt logging lib på 1.5.6), jetty har inga fel i loggen och shib loggen drar igång 5.1.2.
Gissar på att mitt fel var en felstavning när jag wget'ade jetty 11... Skulle säkert tanka 11.0.22 och missat en 2'a och fått ner 11.0.2, som jag sedan inte alls har reflekterat över.
Mest så ni inte får vänta på "nästa" veckas uppdateringar....
Hej,
Som ni alla vet är Shibboleth Identity Provider v4 end-off-life sedan 1
september. Det borde inte heller ungått er att SWAMIDs regelverk kräver att
man endast använder programvara som underhålls av dem som utvecklar
produkten. Därför måste alla som fortfarande använder den äldre versionen
att uppgradera, eller byta till annan programvara, snarast.
Om ni som är drabbade av detta inte har uppgraderat senast 30 november
kommer er användning av SWAMID att tillfälligt att stängas av 1 december.
Eftersom Shibboleth IdP v4 är end-off-life kan detta avstängningsdatum
tidigareläggas om säkerhetshål upptäcks innan 30 november.
Ni som behöver genomföra uppgraderingen får gärna höra av er till mig och
informera om er uppdateringsplan.
Mvh
Pål Axelsson
Hej,
För er lärosäten som kör Ladok.
Vi har infört tre förändringar i SWAMIDs metadata för Ladoks integrationstest-, test- och utbildningsmiljö för Ladok för studenter:
- Stöd för Sirtfi
- Begär numera förutom Code of Conduct även REFEDS Personalized Access entitetskategori
- Begär schacDateOfBirth i CoCo inför kommande kontokoppling
och detta för Ladok för personal i dessa miljöer:
- Stöd för Sirtfi
Låt någon anställd (affiliation=employee) hos er som har studieuppgifter i Ladok logga in i Ladok för studenter i någon av dessa miljöer:
https://student.integrationstest.ladok.se/https://student.test.ladok.se/https://student.utbildning.ladok.se/
och rapportera om problem. Vi vill säkerställa att det inte finns något uppenbart problem vid inloggning innan vi gör motsvarande för Ladoks produktionsmiljö.
/Fredrik
Fredrik Domeij
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
Hej,
Här kommer ett meddelande från Shibboleth konsortiet att Shibboleth
IdPv4 är end-of-life.
Om ni behöver ha hjälp att uppdatera kom på frågestunden på torsdag
morgon, https://wiki.sunet.se/pages/viewpage.action?pageId=185139336
Pål
------ Vidarebefordrat meddelande ------
Från "Cantor, Scott via announce" <announce(a)shibboleth.net>
Till "announce(a)shibboleth.net" <announce(a)shibboleth.net>
Datum 2024-09-03 15:30:25
Ämne Shibboleth Identity Provider V4 is now EOL
Just a reminder, as previously announced, the V4 branch of the IdP software is now end-of-life and no longer supported. This overlaps with the end of free support for Spring 5.3.
We have "archived" the wiki space, which just means it won't show up in search results, etc. but the space remains available online.
-- Scott
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej på er!
Som tidigare annonserats [0] är det dags att säga farväl till SWAMID Testing till fördel för vår nya QA-federation.
Måndag 16 september stängs feeds och kringliggande tooling för den gamla test-federationen av. Framtida behov hänvisas till QA-federationen.
[0] https://wiki.sunet.se/pages/viewpage.action?pageId=166330502
--
jocar
SWAMID Operations
Hej på er!
Vi kommer under dagen göra underhåll på release-check.swamid.se <http://release-check.swamid.se/> så störningar kan förekomma.
--
jocar
SWAMID Operations
För kännedom .
// Björn M
Sent from my iPhone
Begin forwarded message:
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Date: 31 July 2024 at 21:28:10 CEST
> To: announce(a)shibboleth.net
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Subject: Shibboleth Identity Provider V5.1.3 now available
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released [1] a patch update for the IdP software to address a handful of bugs, primarily a cookie/SameSite issue that could impact a small percentage of deployments and degrade the SSO experience.
>
> There aren't any release notes specific to this update of note.
>
> As a reminder, V4 will be reaching EOL at the end of August. Those with concerns about upgrading but a desire to do so are encouraged to consider joining the consortium [2] if they need assistance in doing so.
>
> Thanks,
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/latest/
> [2] https://www.shibboleth.net/membership/join-the-shibboleth-consortium/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Igår ändrade vi i vår metadata för aktivera-test.su.se och aktivera.su.se för att aktivera bankID.
Jag tänker mig att det kan vara <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true"> som ställer till det.
Hur kan jag göra för att inte ha AuthnRequestsSigned="true" för antagning.se och för vår engångskod?
EduID verkar fortfarande fungera och bankID.
Kan jag lägga till något som detta istället i min shibboleth xml?
<RelyingParty Name="https://bankid-idp.sunet.se/bankid/idp" signing="conditional" /> och sätta false för vår otc-idp.it.su.se och för antagning.se på något vis, eller finns det någon annan lösning?
Mvh
Tomas Björklund
IT-avdelningen
Stockholms universitet
106 91 Stockholm
www.su.se/it<http://www.su.se/it>
<http://www.su.se/it>
<https://www.su.se/om-webbplatsen-1.517562>
