Har du några bra war-stories Paul på SP:er som inte stödjer AES-GCM så vi vet vad vi ska titta efter? v5 borde väl stödja/respektera EncryptionMethod i metadatan? MVH - Simon

Hej, Det finns en bra beskrivning av användningen av GCM på adressen https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501202/GCMEncry…. Om man läser mellan raderna så är det i princip väldigt få SP-implementationer som stödjer GCM och om de gör det konfigurerat det. Pål > -----Original Message----- > From: Paul Scott &lt;paul.scott(a)kau.se&gt; > Sent: Wednesday, May 15, 2024 1:41 PM > To: saml-admins(a)lists.sunet.se > Subject: [Saml-admins] Re: Shibboleth IdP v5 - uppgradering vs. > nyinstallation > > > Jag har inga war-stories att delge. > > Jag har inte bytt från AES-CBC i min "snart produktions IdP". > > /Paul. > > On Wed, 2024-05-15 at 11:22 +0000, Simon Lundström wrote: > > Har du några bra war-stories Paul på SP:er som inte stödjer AES-GCM > > så vi vet vad vi ska titta efter? > > > > v5 borde väl stödja/respektera EncryptionMethod i metadatan? > > > > MVH > > - Simon > > > > > On 15 May 2024, at 09:19, Paul Scott &lt;paul.scott(a)kau.se&gt; wrote: > > > > > > En nyinstallation kan vara enklare i ert fall men läs noggrant > > > > > > > https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508797/SecurityC > onfiguration > > > > > > > https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501202/GCMEncr > yption > > > Du kan få en konfiguration som inte är kompatibel med nuvarande > > > certifikaten. > > > > > > mvh, > > > Paul. > > > > > > On Tue, 2024-05-14 at 09:26 +0000, Johan Hjortskull wrote: > > > > Hej! > > > > > > > > Jag har lyssnat på SWAMIDS genomgångar gällande skiftet från > > > > Shibboleth IdP v4 till v5 och har lite frågor kring > > > > rekommendationen > > > > att uppgradera hellre än att installera nytt. Jag hoppas att det > > > > är > > > > ok att ställa frågan såhär direkt för jag kommer inte ha > > > > möjlighet > > > > att vara med på torsdagens pass heller. > > > > > > > > Min grundfråga handlar om vad det är som man riskerar att missa > > > > (eller få för problem) om man gör en nyinstallation? Anledningen > > > > till > > > > frågan är att vi kommer att behöva byta > > > > installationskonfiguration > > > > till att låta Shibboleth IdP:n bli en SP-proxy mot EntraID > > > > istället > > > > för att låta inloggningarna ske direkt mot vårt AD, och det > > > > innebär > > > > att den mesta konfigurationen som vi har lokalt (och har byggt på > > > > oss > > > > historiskt) kommer att vara överflödig eller utdaterad. Med > > > > anledning > > > > av det skulle det troligen vara ”enklare” att börja från scratch > > > > och > > > > då med v5 direkt tänker vi. > > > > > > > > Det jag kommer på som borde vara nödvändigt för oss att få med är > > > > secret key management, certifikat samt olika saltningar i IdP- > > > > konfigurationsfiler så att vi behåller samma beräknade > > > > persistentId:s > > > > för användare. > > > > > > > > Stämmer detta? Har jag missat något gällande vad vi skulle behöva > > > > få > > > > med oss till en nyinstallation? Eller skulle rekommendationen att > > > > uppgradera väga tungt även i vårt scenario? > > > > > > > > Jag kan passa på att nämna att vi kör vår IdP i Windowsmiljö. > > > > > > > > Med vänlig hälsning > > > > /Johan > > > > > > > > _________________________________________ > > > > Johan Hjortskull > > > > Systemarkitekt > > > > Linnéuniversitetet > > > > IT-avdelningen > > > > 391 82 Kalmar / 351 95 Växjö > > > > 0772-28 80 00 Växel > > > > 0470-70 81 61 Direkt > > > > 070-256 21 79 Mobil > > > > johan.hjortskull(a)lnu.se > > > > Lnu.se > > > > Vi sätter kunskap i rörelse för en hållbar samhällsutveckling. > > > > Linnéuniversitetet – ett modernt, internationellt universitet i > > > > Småland. > > > > Vi behandlar personuppgifter enligt reglerna i > > > > Dataskyddsförordningen, se Lnu.se/personuppgifter. > > > > > > > När du skickar e-post till Karlstads universitet behandlar vi dina > > > personuppgifter<https://www.kau.se/gdpr>. > > > When you send an e-mail to Karlstad University, we will process > > > your personal data<https://www.kau.se/en/gdpr>. > > > _______________________________________________ > > > Saml-admins mailing list -- saml-admins(a)lists.sunet.se > > > To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se > > > När du skickar e-post till Karlstads universitet behandlar vi dina > personuppgifter<https://www.kau.se/gdpr>. > When you send an e-mail to Karlstad University, we will process your > personal > data<https://www.kau.se/en/gdpr>. > _______________________________________________ > Saml-admins mailing list -- saml-admins(a)lists.sunet.se > To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se

Tusen tack för all respons och er input. Med vänlig hälsning /Johan -----Original Message----- From: Simon Lundström via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; Sent: den 15 maj 2024 17:35 To: Pål Axelsson &lt;pax(a)SUNET.SE&gt; Cc: Paul Scott &lt;paul.scott(a)kau.se&gt;; saml-admins(a)lists.sunet.se; Tomas Björklund &lt;tomas.bjorklund(a)su.se&gt; Subject: [Saml-admins] Re: Shibboleth IdP v5 - uppgradering vs. nyinstallation Jag kollade lite snabbt i vårt (egna) metadata och alla våra “nyare” SP:er (2.6 och nyare och OpenSSL 1.1.0 och nyare) säger att dom stödjer GCM i metadatan. Men ja, jag gissar att det är bara en eller två SP-implementationer som stödjer det. Får väl sätta Tomas igen på att skriva en XPath-snurra och gå igenom vår metadata och leta ut alla icke-Shibboleth SP:er och så får vi manuellt kolla dessa innan prod… ; ) MVH - Simon _______________________________________________ Saml-admins mailing list -- saml-admins(a)lists.sunet.se To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se