Kunde mycket riktigt återskapa ”problemet” med min egen shib IdP v5 (som nästan aldrig krypterar assertions). Har lagt in stöd i vår .NET-programvara för AES-GCM och kört
live sedan igår kväll. I natt någon gång kom det äntligen ett lösenordsbyte där antagning.se använts som identifikationsmetod – och succé!
Tusen tack för knuffen i rätt riktning, Paul.
Beware, om du som jag kodar på en Mac (och koden fortfarande snurrar i .NET 7):
Cross-platform
cryptography in .NET - .NET | Microsoft Learn
Relevant Github-länk ifall någon dyker på exakt samma scenario som jag:
https://github.com/Sustainsys/Saml2/issues/1238#issuecomment-722299697
Citerar igen:
” Simply put, out of the box, your IdP is going to generate encrypted Assertions that a large percentage
of non-Shibboleth SPs are going to be unable to decrypt, resulting a wide variety of failures and error messages.”
Jag antar att, eftersom antagning.se som IdP är på väg bort, och de flesta kanske kör en native Shib SP i botten på sina applikationer, att detta inte drabbar så många
i vår värld ändå.
Ber om ursäkt för stöket, Håkan. Er IdP gör ju i praktiken inget fel får vi väl summera det hela med.
Med vänliga hälsningar,
//dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
From:
Dennis Sjögren (HDa) via Saml-admins <saml-admins@lists.sunet.se>
Date: Thursday, 26 September 2024 at 16:04
To: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>
Subject: [Saml-admins] Re: Plötsligt problem med NyA och krypterade assertions
Aaah…
”Simply put, out of the box, your IdP is going to generate encrypted Assertions that a large percentage of non-Shibboleth SPs are going to be unable to decrypt,
resulting a wide variety of failures and error messages.”
Verkar stämma in bra på mig. Jag får disable:a antagning.se som identifikationsmetod så länge, sätta upp ett testcase med min egen ShibIdPv5 och försöka få in GCM-stöd. Hittade en Github-issue för
mitt SAML-bibliotek där detta diskuteras.
Med vänliga hälsningar,
//dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
From:
Paul Scott <paul.scott@kau.se>
Date: Thursday, 26 September 2024 at 15:36
To: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>
Subject: [Saml-admins] Re: Plötsligt problem med NyA och krypterade assertions
Det tror jag, men Håkan kan svara på det.
Kolla på det här:
https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fshibboleth.atlassian.net%2Fwiki%2Fspaces%2FIDP5%2Fpages%2F3199501202%2FGCMEncryption&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961567803%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=64Hax7dzN%2ByHsaW8PB%2Fmz%2BEBXjpDM1dyWRbOwXMKWoE%3D&reserved=0
/Paul.
On Thu, 2024-09-26 at 13:11 +0000, Dennis Sjögren (HDa) via Saml-admins
wrote:
>
>
>
> Jo, jag blev varse IdPv5-driftsättningen nyligen. Jag och Håkan
> Pettersson har haft en liten diskussion vid sidan om.
>
> Frågor som jag funderar på: Krypterade deras IdP assertions innan
> driftsättningen av v5? Kan jag ha en halvtaskig setup i min SP som
> funkat endast med okrypterade assertions? Dock verkar allt stämma
> överens med mitt publicerade metadata i SWAMID och det jag laddar i
> appen.
>
> Med vänliga hälsningar,
> //dempa
>
> --
> Dennis Sjögren
> Systemutvecklare / Arkitekt
> Avdelningen för IT och Digital Infrastruktur
>
> Högskolan Dalarna
> http://www.du.se/ | +46 23 778000
>
>
>
>
>
>
>
>
>
>
>
> From:Paul Scott <paul.scott@kau.se>
> Date: Thursday, 26 September 2024 at 14:39
> To: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>
> Subject: [Saml-admins] Re: Plötsligt problem med NyA och krypterade
> assertions
>
>
> Vi har också haft några studenter som aktiverade sig med antagning
> igår
> förmiddag och idag, utan problem. Vår portal använder Shibboleth SP
> 3.4.1.
>
> Enligt information till SWAMID, gick UHR över till IdPv5 igår på sin
> SWAMID IdP.
>
> /Paul.
>
> On Thu, 2024-09-26 at 12:19 +0000, Simon Lundström via Saml-admins
> wrote:
> > Vi hade studenter som aktiverade sig med antagning.se mellan 15:00
> > och resten av kvällen. Det var en naturlig(?) paus 17:24 och 19:12.
> > Men vi fick inga felmeddelanden under den tiden.
> >
> > Sedan vi införde BankID är det inte så många studenter som använder
> > sig av antagning.se längre = /
> >
> > Jag ser inga ändringar i SWAMIDs metadata heller under
> > gårdagen:
> > https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fgit.swamid.se%2Fswamid-metadata.git%2Flog%2Fmetadata%2Fswam&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961589649%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=wfsMXhHWpxDu5hwFVVLMMaPnCVaDm8Ymm1dk39kvooY%3D&reserved=0
> > id-2.0/idp.antagning.se-aws-idp.xml
> >
> > MVH
> > - Simon
> >
> > > On 26 Sep 2024, at 10:29, Dennis Sjögren (HDa) via Saml-admins
> > > <saml-admins@lists.sunet.se> wrote:
> > >
> > >
> > >
> > > Hej,
> > >
> > >
> > > Igår (25/9) kl 14:57 lyckades en person verifiera sig via
> > > inloggning mot antagning.se i vår ID-portal. Vid nästa försök, kl
> > > 17:54 får vi plötsligt följande fel från SAML-biblioteket vi
> > > använder (Sustainsys):
> > >
> > >
> > > Encrypted Assertion(s) could not be decrypted using the
> > > configured
> > > Service Certificate(s)
> > >
> > >
> > > Vi har inte gjort några som helst ändringar på vår sida (certet
> > > expirerar 2032). Är det någon annan som fortfarande använder sig
> > > av antagning.se som IdP som märkt något konstigt?
> > >
> > >
> > > (För protokollet så är BankID och eduID de primära metoderna hos
> > > oss nu men det finns fortfarande några enstaka som
> > > väljer antagning.se verkar det som)
> > >
> > >
> > > Med vänliga hälsningar,
> > > //dempa
> > >
> > >
> > >
> > >
> > > --
> > >
> > > Dennis Sjögren
> > >
> > > Systemutvecklare / Arkitekt
> > >
> > > Avdelningen för IT och Digital Infrastruktur
> > >
> > >
> > >
> > > Högskolan Dalarna
> > > http://www.du.se/ | +46 23 778000
> > >
> > > _______________________________________________
> > > Saml-admins mailing list -- saml-admins@lists.sunet.se
> > > To unsubscribe send an email to saml-admins-leave@lists.sunet.se
> >
> > _______________________________________________
> > Saml-admins mailing list -- saml-admins@lists.sunet.se
> > To unsubscribe send an email to saml-admins-leave@lists.sunet.se
> När du skickar e-post till Karlstads universitet behandlar vi dina
> personuppgifter<
> https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2F
>
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.kau.se%2F%252Fgdpr%26data%3D05%257C02%257Cdempa%2540du.se%257Cb3275734b1034c0a1d21&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961613560%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=cM7G%2BRUpQmZU9LS4Xo%2FsC7AMLFGusdNfkQFIr0ZN830%3D&reserved=0
> 08dcde2831c1%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C63862951147
> 5423433%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiL
> CJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=fgaJbCZdO%2BqDloIkbJ
> d9aokIqqN3HEq6q5NU%2B%2BeTVTk%3D&reserved=0>.
> When you send an e-mail to Karlstad University, we will process your
> personal
> data<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%25
> 2F
>
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.kau.se%2F%252Fen%252Fgdpr%26data%3D05%257C02%257Cdempa%2540du.se%257Cb3275734b1034c0&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961633294%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=I5NzhyQZ9Ky1J3dmdsEcwp9osWMoFGX8DSzJmCb0LMY%3D&reserved=0
> a1d2108dcde2831c1%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629
> 511475434361%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2lu
> MzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=GPxju2gN8RFXiDL
> vJJOD1z3ap%2BWTH8oPdy%2BwUn9%2FIME%3D&reserved=0>.
> _______________________________________________
> Saml-admins mailing list -- saml-admins@lists.sunet.se
> To unsubscribe send an email to saml-admins-leave@lists.sunet.se
> _______________________________________________
> Saml-admins mailing list -- saml-admins@lists.sunet.se
> To unsubscribe send an email to saml-admins-leave@lists.sunet.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.kau.se%2Fgdpr&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961643360%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=b6yYPnW1jmYgBBkuOL%2FeJqHl4G6adn%2Fkt5hB3oYtEm4%3D&reserved=0>.
When you send an e-mail to Karlstad University, we will process your personal data<https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.kau.se%2Fen%2Fgdpr&data=05%7C02%7Cdempa%40du.se%7Cbd04bab526824158a98708dcde303bf4%7C2a3210599ff44c61a0fca95be6d81ed1%7C0%7C0%7C638629545961653309%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=UBMd%2BRfA3bjywY9PTw%2FL%2Bujwpvs4B4sD6jukqQrYTIc%3D&reserved=0>.
_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se