[Saml-admins] Re: Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024

Hej, Tack alla som kom på webinaret igår. Vi har nu publicerat både en inspelning av samma innehåll som igår samt presentationsbilderna på wikisidan https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering… . Glöm inte att redan nästa torsdag kör vi första öppna diskussionsmötet för att stödja varandra i uppgraderingsarbetet, välkomna! Pål och Paul *From:* Pål Axelsson &lt;pax(a)sunet.se&gt; *Sent:* Tuesday, February 27, 2024 2:58 PM *To:* saml-admins(a)swamid.se *Subject:* Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024 Viktigt! Shibboleth IdP v4.3.x End-of-Life 1 september 2024 Denna information finns även publicerade som ett blogginlägg på https://wiki.sunet.se/display/SWAMID. Inom SWAMID är det många organisationer som använder Shibboleth Identity Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är det dags att uppgradera till en nyare huvudversion eftersom den tidigare huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl alltid viktigt att endast använda aktuella och underhållna versioner av programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För er som använder Shibboleth Identity Provider finns det två sätt att hantera att näst senaste huvudversion blir End-of-Life, antingen genom att uppgradera till version 5, att byta till annan programvara än Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit <https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+ADFS+Toolkit>, eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut senast under november 2024 och genomför helst arbetet i god tid. Vi uppmanar er därför att aktivt delta på webinar och diskussionsmöten under våren. Uppgraderingar av huvudversioner innebär alltid mer arbete än uppgradering inom samma huvudversion och det är därför särskilt viktigt att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er information om hur ni både förbereder och genomför uppgraderingen på ett bra sätt via webinar och öppna diskussionsmöten. * eduID Connect är en avgiftsbelagd tjänst som använder eduID för användarkonton och ett administrativt gränssnitt för att koppla dessa till organisationen. SWAMID finns som stöd i uppdateringen För att underlätta arbetet med att uppdatera från äldre versioner kommer SWAMID Operations att genomföra två olika arrangemang, dels ett inledande webinar som beskriver uppdateringsprocessen och därefter öppna mötestillfällen varannan vecka under våren där vi hjälper varandra i uppdateringsprocessen. Detta betyder att vi inte kommer att ha något hackaton där alla gör jobbet på plats. Orsaken till detta är att vi alla har olika förutsättningar och är på olika plats i uppgraderingsprocessen redan nu. Webinar om uppgradering till Shibboleth IdP v5 <https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering+till+Shibboleth+IdP+v5> *Syfte* Shibboleth Identity Provider version 4.3.x går End-of-Life i början av september i år. För att uppgraderingsprocessen ska gå så smidigt som möjligt bjuder SWAMID Operations in till ett webinar där vi beskriver de olika stegen samt vad man behöver tänka på. *Målgrupp* Detta webinar vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgraderingen, vid SWAMIDs medlemsorganisationer. *Datum & tid* 10.00 – 11.00 torsdagen den 11 april, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09 *Talare* Paul Scott *Material* Inspelning av webinar samt presentationsbilder finns på wikisidan https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering… Öppna diskussionsmöten om frågor som dyker upp på vägen <https://wiki.sunet.se/pages/viewpage.action?pageId=185139336> *Syfte* Som uppföljning till webinariet om uppgradering av Shibboleth Shibboleth Identity Provider version 4.3.1 bjuder SWAMID Operations till ett antal öppna möten där det är möjligt att få hjälp av SWAMID Operations och andra som genomför uppgraderingen. *Målgrupp* Dessa öppna möten vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgradering, vid SWAMIDs medlemsorganisationer. *Datum & tid* 9.00 – 10.00 torsdagarna den 18 april, 2 maj, 16 maj, 30 maj och 13 juni, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09 Vad händer om vi inte uppgraderar i tid? I SWAMID teknologiprofil för SAML2 WebSSO <https://wiki.sunet.se/display/SWAMID/SAML+WebSSO+Technology+Profile> under avsnitt 5.4 finns kraven på den federativa programvaran för identitetsutfärdare beskriven och krav 5.4.11 definierar att medlemsorganisationer ej får använda programvara som inte längre underhålls eller innehåller kända säkerhetsproblem. Detta innebär att alla som idag använder Shibboleth IdP version 4 eller tidigare måste uppdatera innan 1 september 2024. Om inte uppdatering genomförs i god ordning kommer SWAMID Operations att föreslå SWAMID Board of Trustees att fatta beslut om att organisationens identitetsutfärdare avregistreras från SWAMID 2024-12-01. Detta kommer innebära, efter beslut har fattats, att organisationens användare inte kommer att kunna logga in i tjänster anslutna till SWAMID förrän uppgraderingen är gjord. Denna process beskrivs kortfattat i SWAMIDs policy <https://wiki.sunet.se/display/SWAMID/SWAMID+Policy#SWAMIDPolicy-SWAMIDFederationPolicy> under avsnitt 6.3. Viktigt om uppdateringsprocessen Om ni inte redan använder Shibboleth 4.3.1 uppdatera till denna version! Detta för att både få rätt konfiguration och rätt varningsmeddelanden i loggar. Samma metod för uppdatering ska användas som nedan. Observera att varningsmeddelandet om stödet för eduPersonTargetId är felaktigt skrivet och är i avvecklat i version 5. Shibboleth Consortium beskriver i release-notes för IdP v5, ReleaseNotes - Identity Provider 5 <https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseNotes>, att befintliga konfigurationsfiler bara kan användas om uppgraderingen görs i befintlig installation. Följ anvisningarna och installera inte den nya versionen separat för att därefter försöka använda de gamla konfigurationsfilerna. IdP:n behöver istället uppgraderas "på plats" genom att använda en installationskatalog som innehåller en kopia av en tidigare fungerande konfiguration av V4.3.1. Vidare skriver de att plugins behöver uppdateras innan själva IdP:n uppgraderas och att plugins också ska uppdateras efteråt. Detta eftersom stora interna förändringar skett mellan v4 och v5. Uppgradera och testa alla plugins innan IdP-uppgraderingen påbörjas, och uppdatera åter alla plugins efter IdP-uppgraderingen slutförts, innan IdP:n startas. Installationsprogrammet varnar om detta och rapporterar vilka plugins som behöver en uppdatering. SWAMID Operations Pål Axelsson och Paul Scott