12:30 p.m.
Hej alla.
Vi håller på och byter ut vår Shibboleth-IdP och går från version 3.4.4 till 4.1.4 och
allting ser ut att fungera bra förutom re-authentication vid attestering i Ladok.
Man möts av följande felmeddelande när man klickar på OK för att komma till vår IdP för en
andra inloggning:
[cid:d358e3be-c146-4e98-b47d-48bf08b3dc80]
Utdrag ur idp-process.log:
2023-02-08 09:57:39,364 - 176.71.252.232 - INFO
[net.shibboleth.idp.authn.impl.FilterFlowsByForcedAuthn:86] - Profile Action
FilterFlowsByForcedAuthn: No potential authentication flows remain after filtering
2023-02-08 09:57:39,365 - 176.71.252.232 - INFO
[net.shibboleth.idp.authn.impl.SelectAuthenticationFlow:455] - Profile Action
SelectAuthenticationFlow: None of the potential authentication flows can satisfy the
request
2023-02-08 09:57:39,366 - 176.71.252.232 - WARN
[org.opensaml.profile.action.impl.LogEvent:101] - A non-proceed event occurred while
processing the request: RequestUnsupported
2023-02-08 09:57:39,385 - 176.71.252.232 - INFO [Shibboleth-Audit.SSO:283] -
176.71.252.232|2023-02-08T09:57:39.341515Z|2023-02-08T09:57:39.385863Z||https://www.test.ladok.se/gui-sp||||||||false||Redirect|POST||Requester|urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext||Mozilla/5.0
(X11; Ubuntu; Linux x86_64; rv:108.0) Gecko/20100101 Firefox/108.0
Är det någon som har stött på någonting liknande i version 4.1+ av Shibboleth-IdP eller
har idéer om hur man skulle kunna lösa problemet?
Vi signalerar inte att vi supportar MFA, varken i den nya eller den gamla IdP:n.
Med vänliga hälsningar
Jonny Ehrnberg
IT-arkitekt
Avdelningen för digitalisering och IT
Örebro universitet
2:26 p.m.
Här är en sida där det är lättare att trigga SAML-flaggan forceAuthn vid inloggning än att
gå via attesteringen i Ladok:
https://www.test.ladok.se/forceauthn-test/
Den första länken efter inloggning gör en "återautentisering" utan krav på MFA.
Nån typ av konfiguration i IdP:n är det. Jag vet dock inte vad.
/Fredrik
Fredrik Domeij
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
________________________________
Från: Jonny Ehrnberg <Jonny.Ehrnberg(a)oru.se>
Skickat: den 8 februari 2023 11:30
Till: saml-admins(a)swamid.se <saml-admins(a)swamid.se>
Ämne: [Saml-admins] Problem med re-authentication efter byte av IdP
Hej alla.
Vi håller på och byter ut vår Shibboleth-IdP och går från version 3.4.4 till 4.1.4 och
allting ser ut att fungera bra förutom re-authentication vid attestering i Ladok.
Man möts av följande felmeddelande när man klickar på OK för att komma till vår IdP för en
andra inloggning:
[cid:d358e3be-c146-4e98-b47d-48bf08b3dc80]
Utdrag ur idp-process.log:
2023-02-08 09:57:39,364 - 176.71.252.232 - INFO
[net.shibboleth.idp.authn.impl.FilterFlowsByForcedAuthn:86] - Profile Action
FilterFlowsByForcedAuthn: No potential authentication flows remain after filtering
2023-02-08 09:57:39,365 - 176.71.252.232 - INFO
[net.shibboleth.idp.authn.impl.SelectAuthenticationFlow:455] - Profile Action
SelectAuthenticationFlow: None of the potential authentication flows can satisfy the
request
2023-02-08 09:57:39,366 - 176.71.252.232 - WARN
[org.opensaml.profile.action.impl.LogEvent:101] - A non-proceed event occurred while
processing the request: RequestUnsupported
2023-02-08 09:57:39,385 - 176.71.252.232 - INFO [Shibboleth-Audit.SSO:283] -
176.71.252.232|2023-02-08T09:57:39.341515Z|2023-02-08T09:57:39.385863Z||https://www.test.ladok.se/gui-sp||||||||false||Redirect|POST||Requester|urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext||Mozilla/5.0
(X11; Ubuntu; Linux x86_64; rv:108.0) Gecko/20100101 Firefox/108.0
Är det någon som har stött på någonting liknande i version 4.1+ av Shibboleth-IdP eller
har idéer om hur man skulle kunna lösa problemet?
Vi signalerar inte att vi supportar MFA, varken i den nya eller den gamla IdP:n.
Med vänliga hälsningar
Jonny Ehrnberg
IT-arkitekt
Avdelningen för digitalisering och IT
Örebro universitet
682
days inactive
682
days old
1 comments
2 participants
participants (2)
-
Fredrik Domeij -
Jonny Ehrnberg