5:35 p.m.
Jag kollade lite snabbt i vårt (egna) metadata och alla våra “nyare” SP:er (2.6 och nyare
och OpenSSL 1.1.0 och nyare) säger att dom stödjer GCM i metadatan.
Men ja, jag gissar att det är bara en eller två SP-implementationer som stödjer det.
Får väl sätta Tomas igen på att skriva en XPath-snurra och gå igenom vår metadata och leta
ut alla icke-Shibboleth SP:er och så får vi manuellt kolla dessa innan prod… ; )
MVH
- Simon
On 15 May 2024, at 14:07, Pål Axelsson
<pax(a)SUNET.SE> wrote:
Hej,
Det finns en bra beskrivning av användningen av GCM på adressen
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501202/GCMEncry….
Om man läser mellan raderna så är det i princip väldigt få
SP-implementationer som stödjer GCM och om de gör det konfigurerat det.
Pål
-----Original Message-----
From: Paul Scott <paul.scott(a)kau.se>
Sent: Wednesday, May 15, 2024 1:41 PM
To: saml-admins(a)lists.sunet.se
Subject: [Saml-admins] Re: Shibboleth IdP v5 - uppgradering vs.
nyinstallation
Jag har inga war-stories att delge.
Jag har inte bytt från AES-CBC i min "snart produktions IdP".
/Paul.
On Wed, 2024-05-15 at 11:22 +0000, Simon Lundström wrote:
När du skickar e-post till Karlstads universitet behandlar vi dina
personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your
personal
data<https://www.kau.se/en/gdpr>.
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
Har du några bra war-stories Paul på SP:er som
inte stödjer AES-GCM
så vi vet vad vi ska titta efter?
v5 borde väl stödja/respektera EncryptionMethod i metadatan?
MVH
- Simon
> On 15 May 2024, at 09:19, Paul Scott <paul.scott(a)kau.se> wrote:
>
> En nyinstallation kan vara enklare i ert fall men läs noggrant
>
>
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508797/SecurityC
onfiguration
>
>
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501202/GCMEncr
yption
Du kan få
en konfiguration som inte är kompatibel med nuvarande
certifikaten.
mvh,
Paul.
On Tue, 2024-05-14 at 09:26 +0000, Johan Hjortskull wrote:
> Hej!
>
> Jag har lyssnat på SWAMIDS genomgångar gällande skiftet från
> Shibboleth IdP v4 till v5 och har lite frågor kring
> rekommendationen
> att uppgradera hellre än att installera nytt. Jag hoppas att det
> är
> ok att ställa frågan såhär direkt för jag kommer inte ha
> möjlighet
> att vara med på torsdagens pass heller.
>
> Min grundfråga handlar om vad det är som man riskerar att missa
> (eller få för problem) om man gör en nyinstallation? Anledningen
> till
> frågan är att vi kommer att behöva byta
> installationskonfiguration
> till att låta Shibboleth IdP:n bli en SP-proxy mot EntraID
> istället
> för att låta inloggningarna ske direkt mot vårt AD, och det
> innebär
> att den mesta konfigurationen som vi har lokalt (och har byggt på
> oss
> historiskt) kommer att vara överflödig eller utdaterad. Med
> anledning
> av det skulle det troligen vara ”enklare” att börja från scratch
> och
> då med v5 direkt tänker vi.
>
> Det jag kommer på som borde vara nödvändigt för oss att få med är
> secret key management, certifikat samt olika saltningar i IdP-
> konfigurationsfiler så att vi behåller samma beräknade
> persistentId:s
> för användare.
>
> Stämmer detta? Har jag missat något gällande vad vi skulle behöva
> få
> med oss till en nyinstallation? Eller skulle rekommendationen att
> uppgradera väga tungt även i vårt scenario?
>
> Jag kan passa på att nämna att vi kör vår IdP i Windowsmiljö.
>
> Med vänlig hälsning
> /Johan
>
> _________________________________________
> Johan Hjortskull
> Systemarkitekt
> Linnéuniversitetet
> IT-avdelningen
> 391 82 Kalmar / 351 95 Växjö
> 0772-28 80 00 Växel
> 0470-70 81 61 Direkt
> 070-256 21 79 Mobil
> johan.hjortskull(a)lnu.se
> Lnu.se
> Vi sätter kunskap i rörelse för en hållbar samhällsutveckling.
> Linnéuniversitetet – ett modernt, internationellt universitet i
> Småland.
> Vi behandlar personuppgifter enligt reglerna i
> Dataskyddsförordningen, se Lnu.se/personuppgifter.
>
När du skickar e-post till Karlstads universitet behandlar vi dina
personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process
your personal data<https://www.kau.se/en/gdpr>.
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se