Hej,
På Sunetdagarna nu i höst informerade vi om att SWAMIDs gamla
testfederation kommer att avvecklas och ersättas av SWAMIDs QA-federation.
QA-federationen finns på plats redan idag med samma uppsättnings verktyg
som i SWAMIDs produktionsfederation.
SWAMIDs testfederation kommer att stängas av vid halvårsskiftet 2024.
Nyregistreringar i SWAMIDs testfederation är inte längre tillåtna!
Adresser till verktyg i SWAMIDs QA-miljö:
- Metadataverktyget: https://metadata.qa.swamid.se/
- Metadata via MDQ (nya modellen): https://mds.swamid.se/qa/
- Metadata via aggregat (gamla modellen): https://mds.swamid.se/qa/md/
- Hänvisningstjänst: https://ds.qa.swamid.se/ds
- Release-check: https://release-check.qa.swamid.se/.
SWAMIDs alla instruktioner för både identitetsutfärdare och tjänster går
att använda men ni behöver byta aktuella URLar enligt ovan i
konfigurationsfilerna.
Pål Axelsson
Hej!
Har en fråga som inte rör Swamid direkt.
Vi har startat en diskussion om e-postadresser hos oss. Anledningen är att en e-postadress i dagsläget inte kan ses som unik.
Har detta diskuteras i era egna organisationer?
Vad har ni kommit fram till och har ni infört något för detta hos er?
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructure
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Hej!
Historiskt har en Shibboleth Identity Provider per automatik fått Attribute Authority konfigurerat i sin metadata. Denna inställning ändrades i IdP version 4 där "SAML2.AttributeQuery" och "SAML1.AttributeQuery" kommenterats ut vilket skapar en metadata där AttributeAuthority är utkommenderat och tjänsten är avstängd.
Har en IdP uppgraderats från v3 till v4 är det ett ganska troligt att konfigurationen för detta (conf/relying-party.xml) lämnats orörd och således är AttributeAuthority fortsatt aktiverat. Många av SWAMID registrerade IdPer har kvar AttributeAuthority i sin metadata även om det mest troligt inte används alls (eller till och med avstängt i IdPn).
AttributeAuthority-sektionen i metadatan som är uppladdad till SWAMID innehåller SAML-certifikat som behöver underhållas och hållas giltiga likt övriga certifikat i övriga sektioner. SWAMID Operations uppmanar därför alla IdP-administratörer att slå ett öga på er konfiguration kring AttributeAuthority och samtidigt er metadata. Är AttributeAuthority påslaget och inget som ni vet med er används rekommenderas ni stänga av detta samt vid tillfälle uppdatera er metadata (går enkelt att ta bort via SWAMIDs metadata-verktyg). Är AttributeAuthority avstängt men ni ändå har kvar sektionen i metadatan uppmanas vi er till att när tillfälle ges ta bort sektionen i vårt verktyg.
Shibboleths dokumentation på ämnet finns här:
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631691/SAML2Att…
Shibbolethens metadata går att komma åt via en webförfrågan på /idp/shibboleth. Exempel med curl och xmllint:
curl -ks https://idp2.test.inacademia.org/idp/shibboleth | xmllint --format -
I exemplet ovan är AttributeAuthority utkommenderat och tjänsten således avstängd.
--
jocar
SWAMID Operations
*Det går att skaffa en Freja e-legitimation med pass och använda som Svensk
e-legitimation*
Det innebär att metoden kan användas för att bekräfta sitt eduID-konto även
för de med svenskt personnummer och ett svenskt pass som inte redan har en
svensk e-legitimation, och som inte har möjlighet att besöka ett ATG-ombud.
Under genomgången igår var det fortfarande oklart om Frejas distansmetod
för att skapa en e-legitimation var godkänd av Digg. Vi fick sen klartecken
om att Freja+ som skapas med ett pass, på samma sätt som besök hos ett
ATG-ombud, är godkänd av Digg för LoA3 (tillitsnivå 3).
Osäkerheten uppstod då det är olika regelverk som Digg har ansvar för
gällande svensk e-legitimation, och nationell e-legitimation som används
inom eIDAS, vilket gjorde att vi om vartannat tidigare fått information att
Freja fått godkänt för sin pass-metod och inte än fått godkänt för den.
-- Zacharias
Hej
Repost från https://forum.sunet.se/s/swamid/
Jag har, efter gårdagens webinarium, funderingar kring vår tänkta implementation av en algoritm för att automatiskt matcha uppgifter från eduID mot Ladok (eller annat källsystem), det kan vara så att vi är på väg att göra några tankevurpor och behöver därför synpunkter/svar på några frågeställningar.
Först och främst tänker vi använda Levenshtein Distance <= 1 för att avgöra om två strängar(namn) kan anses vara samma, det ska hantera Thomas-Tomas, Andersson-Anderson etc.
Förnamn
Om vi från eduID får ANNA, ANDERSSON och vi i Ladok har en anna, anderson så är det en matchning - samma namn (i alla fall en tillräckligt liten skillnad).
Om det från eduID istället kommer ANNA BEDA, ANDERSSON så matchar fortfarande anna - det förnamn som finns i Ladok ingår bland de som finns i ID.
Samma med ANNA BEDA CLARA som matchas av anna clara - alla namn i Ladok finns i ID.
Har man exemplet ANNA BEDA och anna diana så bör det vara så att de inte matchar - olika namn även om anna är del av båda, alla namn i Ladok finns inte i ID.
Och då borde det även vara så att ANNA mot anna diana inte heller matchar - diana finns inte med i ID.
Regeln bör bli att alla namn i Ladok måste finnas i ID men att alla namn i ID inte behöver finnas i Ladok.
Tänker jag rätt här?
Finns det andra fall att ta hänsyn till?
Användande av e-post
Här blir jag mer osäker på hur man ska tänka.
Om vi har exemplet ANNA, ANDERSSON, född 19010101 med e-post aaa(a)example.org<mailto:aaa@example.org> och vi i Ladok hittar dessa personer med födelsedatum 1901-01-01
anna, andersson, pnr: 19010101-0000, e-post: aaa(a)example.com<mailto:aaa@example.com>
anna, anderson, 19010101-1111, bbb(a)example.org<mailto:bbb@example.org>
beda, bertilsson, 190101-2222, ccc(a)example.org<mailto:ccc@example.org>
Då blir det en skillnad om man applicerar jämförelse av e-post ihop med matchningen av varje tänkbar kandidat jämfört med om man först, enbart baserat på namn, plockar fram tänkbara kandidater och sedan verifierar att man endast hittat en (1) möjlig kandidat samt att den har rätt e-post.
I detta första fallet ser anna-0000 ut att vara en entydig matchning även om så kanske inte är fallet medans man i det andra fallet har två möjliga kandidater anna-0000 och anna-1111 och alltså inte kan göra en säker identifiering, eller?
Om man i det andra fallet använder e-post som "tiebreaker", använder man inte även då e-post för identifiering?
\Anders
Välkomna på SWAMID Webinar,
Att digitalt bekräfta en person utan svenskt personnummer på samma sätt som
personer med svenskt personnummer har fram till i våras varit i princip
omöjligt. SWAMIDs tillitsprofil AL2 tillåter detta men ställer en del extra
krav på lärosätet ska koppla personen till rätt användarkonto på lärosätet.
I våras fick eduID stöd för att bekräfta personer via europeiska
e-legitimationer (eIDAS) och via resehandling, dvs. pass och nationellt
europeiskt identitetskort, för de som inte kan använda eIDAS.
Detta webinar är repris och fortsättning från webinaret från i våras och vi
går igenom regelverket i SWAMID AL2 och vad detta innebär samt hur ni kan
använda eduID för att bekräfta en person utan svenskt personnummer.
*Målgrupp*
Detta webinar riktar sig till er som har behov att bekräfta användare utan
svenskt personnummer på AL2 via eduID.
*Datum & tid*
9.30 – 10.30 torsdagen den 16 november
*Plats*
Zoom,
https://sunet.zoom.us/j/61336365964?pwd=UEtYdU85dllrRXdCYmpCNkdPMWFuZz09
Meeting ID: 613 3636 5964
Passcode: 488235
Välkomna
Pål och Zacharias
Hej allihopa!
I ett försök att inte återuppfinna hjulet så tänkte vi kolla upp lite bland alla lärosäten om det finns nedtecknade rutiner för hur ni hanterar identifiering av en person.
Det finns ju en väldigt basic template på Swamid's Wiki, och lite referenser till polisen's sidor (som dock är fel länk) och bankerna (som kostar pengar). Men det känns som det borde vara gjort redan på lärosäten och det är nog ganska troligt att vi använder oss av samma typ av rutiner när vi skall identifiera personer.
Så finns det något sådant där ute och kan ni tänka er att dela med er till andra lärosäten om detta? Och detta gäller ju alltså fysiska identitetshandlingar, inte e-identiteter.
Mvh,
Henrik B, Henrik K och Per-Olof A
Högskolan i Borås
Hej,
I SWAMIDs teknologiprofil för SAML WebSSO avsnitt 3 om efterlevnad och
revision finns ett krav att alla registrerade identitetsutfärdare och
tjänster måste årligen validera att registrerad entitet fortfarande är i
drift samt att metadata är korrekt.
För att underlätta uppfyllelsen av kravet om årlig kontroll kommer SWAMID
Operations att skicka ut en påminnelse till alla identitetsutfärdare och
tjänster. Om inte en representant för identitetsutgivare eller tjänst går
in i SWAMIDs metadataverktyg inom rimlig tid och efter påminnelser och
besvarar begäran kommer aktuella entiteten att avregistreras från SWAMID
tills denna process har genomgåtts. Vi kommer att skicka ut påminnelsen
till administrativa och tekniska kontakter i metadata. Kontrollera att
dessa kontaktuppgifter för era identitetsutfärdare och tjänster stämmer via
https://metadata.swamid.se och uppdatera snarast om de inte stämmer.
Det är möjligt att redan nu gå in i https://metadata.swamid.se/admin och
genomföra den årliga kontrollen för dina registrerade entiteter genom att
leta upp respektive entitet, öppna detaljvyn och klicka på knappen "Annual
Confirmation".
This message is also available in English at Annual check of metadata for
Identity Providers and Service Providers registered in SWAMID
(wiki.sunet.se)
<https://wiki.sunet.se/pages/viewpage.action?pageId=166330425&showLanguage=e…>
.
SWAMID Operations
Pål Axelsson
FYI
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Windows Jetty packages updated to 10.0.18/11.0.18
> Date: 3 November 2023 at 14:25:02 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> We have released updated installers for Windows to upgrade Jetty to address a possible memory leak they fixed in the newest versions.
>
> The standalone installer for Jetty 11.0.18 for use with IdP V5 is at [1] and the legacy combined installer for Jetty 10.0.18 with IdP V4 (4.3.1.4) is at [2].
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/jetty-windows/
> [2] http://shibboleth.net/downloads/identity-provider/latest4/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net