Hej Eric,

 

Det här är ett intressant problem som vi behöver titta närmare på. Inom tjänsten eduID Connect med integration mot Entra har vi det fungerande Authentication Context Class men vi har nog inte testat just detta specialfall.

 

Det vi gör i eduID Connect är att vi skriver om Authentication Connext Class Request till något som fungerar i Entra och samtidigt uppfyller kraven i tillitsprofilerna. På vägen tillbaka gör vi motsvarande översättning. Vi har ju än så länge inte testat full passwordless men borde kunna hantera det också.

 

Pål

 

 

From: Eric Johansson via Saml-admins <saml-admins@lists.sunet.se>
Sent: Thursday, April 23, 2026 8:21 PM
To: Eric Johansson <eric.johansson@ki.se>
Cc: saml-admins@lists.sunet.se
Subject: [Saml-admins] Re: Problem med Azure framför Shibboleth

 

Hej igen.

 

Vi kunde inte hitta en lösning på problemen och fick rulla tillbaka ändringen.

 

Som jag nämnde tidigare så var problemet att vissa tjänster ibland kräver att inloggning ska ske med lösenord men vi har användare som kör passwordless-inloggning (via Windows Hello) och de får aldrig valet att logga in med lösenord vilket gjorde att vår HelpDesk blev nedringda.

Alla föreslagna inställningar som påstods lösa detta (och tvinga fram lösenordsinloggning till användaren) har misslyckats.

 

Jag är fortfarande nyfiken på vad ni andra som kör Azure framför Shibboleth har för erfarenheter.

Hör gärna av er till mig om ni har några tips. Vi vill samla så mycket info vi kan innan vi gör ett nytt försök.

 

/Eric



On 17 Apr 2026, at 18:49, Eric Johansson via Saml-admins <saml-admins@lists.sunet.se> wrote:

 

Hej

 

Vi försöker köra Azure som proxy framför Shibboleth men har stött på några problem.

 

Vi har användare som kör Windows Hello (passwordless) och det finns tjänster som kräver att inloggning ska ske med lösenord (bl.a. signering i eduSign).

När dessa användare loggar in så frågar inte Azure om lösenord, sedan får man felmeddelande från Azure att inloggningen inte skett med lösenord. *facepalm*

 

De föreslagna lösningarna är:

- Kräv inte lösenord - Vi kan dock inte kontrollera vad alla tjänster kräver, och att skriva om tjänsternas krav i Shibboleth känns inte rätt.

- Sätt forceAuthn=“true” - Det ska tydligen påtvinga lösenordsinloggning. Jag har inte testa det ännu, men det känns inte som en snygg lösning.

 

Jag vet att andra kör Azure framför Shibboleth, hur har ni hanterat detta?

 

 

P.S. Vi fick även problem med Zoom som har ett entityId som inte är en URI. Det fick vi lösa genom att inte skicka vidare RequesterID till Azure (då det var Azure som klagade på det). Återigen, inte en snygg lösning, men jag såg inget sätt att ändra entiyId på Zoom, så det får vi nog leva med.



Eric Johansson | Linux Drifttekniker

IT-avdelningen | GVS | Karolinska Institutet
171 77 Stockholm | Nobels väg 5, plan 4
eric.johansson@ki.se | ki.se

Karolinska Institutet – ett medicinskt universitet

 

 

 

När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter. 

 

Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here. 

_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se