10:55 a.m.
Jag fick följande via testsidan:
eduPersonTargetedID: 4/nNMbUm5P3Uqe8KzwsI1I0rgkA=
mail: paul.scott(a)kau.se
givenName: Paul
sn: Scott
groups: users, members
Jag skickade endast obligatoriska attributer och lyckades med att logga
in i certificate manager. eptid ovan är en persistent eptid för
tjänsten enligt vanlig konfiguration.
Hos mig (och enligt SWAMID rekommendationer[1]) stavas
eduPersonTargetedID med stor bokstav på P i resolver och filter.
Mats - jag ser inte att eptid följer med i attributlistan från
testsidan i ditt tidigare mail. Kolla hos IdPn att den skickas:
$IDP_HOME/bin/aacli.sh -r
https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grn…
-n matls --saml2
/Paul.
[1]
https://git.swamid.se/swamid-entity-configurations.git/tree/Shibboleth-IdP/…
On Mon, 2025-04-28 at 09:20 +0200, Mats Luspa via Saml-admins wrote:
Hej!
Tydligen skall det fungera enligt Kent (enligt ett mail då jag
ställde frågan till tcs(a)sunet.se) TCS har inte gått ut med detta
offentligt ännu dock på grund av att självbetjäningen av personliga
certifikat inte riktigt är på plats ännu.
Det kanske inte är så bråttom då men ville ändå kolla upp om fler
testat.
Hittade i alla fall detta som har koppling till Harica men vet inte
hur jag skall implementera något liknande i idp shibboleth:
https://groups.google.com/u/1/g/simplesamlphp/c/BhoEPMvrQ3k?pli=1
(skrevs i februari 2025 så det borde vara aktuellt)
Vet inte om ni kan se detta. Man måste tydligen vara inloggad med en
gmail-adress. Men så här står det i alla fall:
Hello,
turns out that the not-working IdP missed the attributeencoding
"raw" for the attribute in question, which made it be encoded in a
bogus way.
Lesson learnt: those last two items in the last example of
https://simplesamlphp.org/docs/stable/saml/nameid.html are really
important :-)
Stefan
Am 19.02.25 um 14:41 schrieb Stefan Winter:
Hello,
I am currently debugging issues with an SP that has problems parsing
eduPersonTargetedId values. Yes, the SP should fix those problems on
its own side, that's understood.
Still, I'd like to understand how two IdPs with identical
simpleSAMLphp versions (2.3.5) can produce subtly different
eduPersonTargetedId values. The difference is this:
WORKING:
<saml:AttributeValue>
<saml:NameID
SPNameQualifier="https://www.harica.gr/simplesamlphp/module.php/saml/
sp/metadata.php/pki-grnet-
sp"Format="urn:oasis:names:tc:SAML:2.0:nameid-
format:persistent">322c1cbdde24318cac944edcf0da539802e296c0</saml:Nam
eID>
</saml:AttributeValue>
NOT WORKING:
<saml:AttributeValue>
<saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
SPNameQualifier="
https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/p
ki-grnet-sp"Format="urn:oasis:names:tc:SAML:2.0:nameid-
format:persistent">5fbad5c399b4c6ce6a36861e67c2a5f9490c14ce</saml:Nam
eID>
</saml:AttributeValue>
As one can see, one of the two generates a saml:NameID that
explicitly sets its own xmlns:saml while the other one does not.
I understand that both are semantically identical XML (but one could
argue that the AttributeValue is an opaque string, and not
interpreted XML, so this would make them different).
Anyway, for some reason the parser on the SP end does wrong things
when seeing this second variant.
I would love to advise the concerned IdP operator to change their
config to produce something acceptable. But I have not the slightest
clue what and where to change.
Does any of the above ring a bell? I heat that the SSP versions are
identical, but I know nothing about the underlying PHP versions or OS
specifics.
Greetings,
Stefan Winter
Det skall tydligen användes attributeencoding "raw" men vet som sagt
inte hur detta skall göras i Shibboleth.
/Mats
On 4/28/25 8:50 AM, Tomas Liljebergh wrote:
När du skickar e-post till Karlstads universitet behandlar vi dina
personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal
data<https://www.kau.se/en/gdpr>.
Hej!
Har de öppnat för SSO?
Kent o TCS har meddelat att det tillsvidare inte fungerar men jag
kan ha missat något meddelande!
VI har testat och fått samma fel!
//Tomas
From: Mats Luspa via Saml-admins <saml-admins(a)lists.sunet.se>
Sent: Monday, April 28, 2025 8:48
To: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
Subject: [Saml-admins] SSO Login Harica (Shibboleth)
Hej!
Enligt dokumentation här
https://wiki.geant.org/pages/viewpage.action?spaceKey=TCSNT&title=TC
S+2025+FAQ#TCS2025FAQ-IsSAMLSupported?
så kräver Harica följande attribut:
givenName (oid:2.5.4.42)
surname (oid:2.5.4.4)
mail (oid:0.9.2342.19200300.100.1.3)
edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
Men jag har problem att få iväg attributet edupersonTargetedID
till Harica.
I attribute-filter har jag följande:
<AttributeFilterPolicy id="Harica">
<PolicyRequirementRule xsi:type="Requester"
value="
https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php
/pki-grnet-sp"
/>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="edupersonTargetedID">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="tcsPersonalEntitlement">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonPrimaryAffiliation">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
I attribute-resolver:
<AttributeDefinition xsi:type="SAML2NameID"
xmlns="urn:mace:shibboleth:2.0:resolver" id="edupersonTargetedID"
nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-
format:persistent">
<InputDataConnector ref="StoredId"
attributeNames="persistentId"/>
<AttributeEncoder xsi:type="SAML1XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
<AttributeEncoder xsi:type="SAML2XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10"
friendlyName="edupersonTargetedID" />
</AttributeDefinition>
När jag loggar in så skickas attributet edupersonTargetedID enligt
bilaga, men det ser ut som Harica vägrar att ta emot detta då jag
får
felmeddelande:
Cannot create your account
Your Identity Provider (IdP) does not provide HARICA with the
appropriate info (attributes) for your account.
Please contact your IdP, to fix this issue.
Testade även med https://cm.harica.gr/loginsaml/test.php och då
får jag
att dessa attibut kommer fram (trots att attributen skickas enligt
bilaga alltså):
eduPersonPrincipalName: matsl(a)irf.se
schacHomeOrganization: irf.se
sn: Luspa
eduPersonEntitlement: urn:mace:terena.org:tcs:personal-user
eduPersonPrimaryAffiliation: The Swedish Institute of Space
Physics
givenName: Mats
mail: mats.luspa(a)irf.se
groups: realm-irf.se, users, members
Är det någon i denna lista som fått SSO login till Harica att
fungera
med idp shibboleth (ver. 5.1.4)?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92
Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna