Hej!
Kan någon hjälpa mig förstå varför jag inte lyckas släppa norEduPersonLIN ordentligt till vår nya portal?
I Shibboleths debuglog får jag
2023-03-07 12:39:22,343 - DEBUG [net.shibboleth.idp.saml.profile.impl.BaseAddAttributeStatementToAssertion:321] - Profile Action AddAttributeStatementToAssertion: Attribute norEduPersonLIN does not have any transcoding rules, nothing to do|0:0:0:0:0:0:0:1|
Vår attribute-resolver.xml:
<AttributeDefinition xsi:type="ScriptedAttribute" id="norEduPersonLIN" xmlns="urn:mace:shibboleth:2.0:resolver">
<InputDataConnector ref="myLDAP" attributeNames="someADattribute" />
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:norEduPersonLIN" />
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN" />
<Script>
<![CDATA[
if (typeof someADattribute != "undefined" && someADattribute.getValues().size() > 0) {
value=someADattribute.getValues().get(0);
norEduPersonLIN.getValues().add("ladok.se:studentuid:" + value).toString;
}
]]>
</Script>
</AttributeDefinition>
Vår attribute-filter.xml:
<AttributeFilterPolicy id="releaseXXXXX">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://studen" />
<Rule xsi:type="Requester" value="https://studenu.se" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="norEduPersonLIN" >
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Vad jag tycker är konstigt är att vi gör i princip samma sak för norEduPersonNIN och det fungerar till flera SP utan problem. Vad gör jag för fel?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej!
Jag vill bara höra med er då jag inte har så mycket information eller erfarenhet runt ORCID.
Har en användare som säger sig ha problem att logga in via ORCID (organisationsinloggning) och nu undrar jag om det är någon som har möjlighet att testa via er egna organisation
för att se om det fungerar?
För vad jag har förstått så ska jag inte behöva göra något speciellt på min IDP. (utöver de inställningar som finns i exemplen på swamid-wikin)
Förvirrade hälsningar,
Roger Mårtensson
System specialist / Systemspecialist
MID SWEDEN UNIVERSITY
Avdelningen för infrastruktur / Division of infrastructur
E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se>
Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<http://www.miun.se/en/personaldata>
Hej,
*Detta brev gäller alla som använder antagning.se <http://antagning.se> för
studentkontohantering!*
För ett år sedan blev identitetsutfärdaren för antagning.se godkänd med
tillitsnivåerna SWAMID AL1 och SWAMID AL2 och 5:e september i år började
den att korrekt signalera tillitsnivån SWAMID AL2 via eduPersonAssurance
för bekräftade användare. Detta betyder att det särskilda undantag som
funnits när det gäller antagning.se inte längre gäller.
Vad betyder detta för mig som använder antagning.se för att aktivera och
genomföra lösenordsåterställningar via antaging.se? I korthet betyder detta
att ni snarast behöver justera era rutiner för att säkerställa att det är
en bekräftad användare på antagning.se som loggar i er
kontohanteringsstjänst. Tidigare har det räckt med att kontrollera att ni
får personnummer via attributet norEduPersonNIN från antagning.se för att
veta att det är en bekräftad person men nu behöver ni istället kontrollera
att ni får SWAMID AL2 i attributet eduPersonAssurance (samt i vanlig
ordning i assurance-certification i metadata).
För att eventuellt UHR ska kunna ta nästa steg och börja signalera
interimspersonnummer och SWAMID AL1 för personer utan svenskt personnummer
måste ni alla genomföra denna förändring senast 31 mars. Denna förändring
medför förhoppningsvis att ni framöver kommer att kunna låta
utbytesstudenter använda antagning.se för att aktivera sina studentkonton
på lärosätet. Detta kräver dock att ni har AL1-rutiner beskrivna och
godkända i er av SWAMID godkända Identity Management Practice Statement
(IMPS).
SWAMID Operations
Pål Axelsson
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott via announce
> Sent: Thursday, March 30, 2023 5:28 PM
> To: announce(a)shibboleth.net
> Subject: Shibboleth Identity Provider V4.3.1 now available
>
> The Shibboleth Project has released V4.3.1 of the Identity Provider
software,
> primarily to address a regression in the RemoteUser login flow [1][2].
>
> A security advisory will be forthcoming about the issue., though the
risk in
> practice is not viewed as significant.
>
> The issue does not affect releases prior to V4.3.0.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499
För kännedom...
Pål
> -----Original Message-----
> From: announce <announce-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott via announce
> Sent: Thursday, March 30, 2023 5:29 PM
> To: announce(a)shibboleth.net
> Subject: Shibboleth Identity Provider Security Advisory [30 March 2023]
>
> Shibboleth Identity Provider Security Advisory [30 March 2023]
>
> Regression in RemoteUser login flow could lead to impersonation
> ===============================================================
> A regression was introduced into the RemoteUser login flow in
> the Shibboleth Identity Provider software allowing the use of
> a fixed header name to supply the REMOTE_USER value to use.
> In the absence of an actual REMOTE_USER variable or any
> configured servlet request attributes, the code would fall back
> to using a "fixed" header variable name instead of honoring the
> configured set of headers to look at.
>
> Given that this would be immediately obvious while using the
> software (since it would be unable to obtain a value to use and fail),
> it is unlikely this would escape notice, but there is the theoretical
> chance of an unguarded header being accepted as the identity.
>
> Deployments that do not make use of this login flow are unaffected
> (despite the fact that the servlet containing the regression is
> generally active by default).
>
> Affected Versions
> =================
> Version 4.3.0 only of the Identity Provider, when using the
> RemoteUser login flow, either directly, or indirectly via the MFA
> login flow feature.
>
> Recommendations
> ===============
> Upgrade to Identity Provider V4.3.1 or later.
>
> References
> ==========
> URL for this Security Advisory
> http://shibboleth.net/community/advisories/secadv_20230330.txt
>
> Credits
> =======
> Tero Marttila, Funidata Oy
Hej SAML-vänner!
Måndag 3 april med start klockan 10.30 kommer det genomföras underhåll på mds.swamid.se för att förbereda inför framtida MDQ.
Ingen planerad nertid men störningar kan förekomma.
--
jocar
SWAMID Operations
Hej,
Har du anmält dig <https://www.sunetdagarna.se> till Sunetdagarna? Den
18–20 april träffas vi på Mälardalens universitet, Campus Eskilstuna, för
några fullmatade dagar om IT-infrastruktur och digitala tjänster för högre
utbildning och forskning. Programmet finns på www.sunetdagarna.se.
Några av de ämnen som tas upp är:
- Digitalt campus
- Mänskliga reaktioner i extrema situationer
- AI för effektivt lärande
- EU:s digitala identitetsplånbok
- Projektet “Studentens digitala resa”
- Sunet datacenter för framtiden
- Öppna digitala resurser för studenters lärande
- Nätverkautomation och IT-säkerhet
- Polar Connect – robust nätanslutning via Arktis
- Badges och Microcredentials
- Vad är Sunet?
- Digital pedagogisk kompetens
Anmäl dig på www.sunetdagarna.se. Platserna är begränsade så vänta inte för
länge!
Pål
---------- Forwarded message ---------
Från: Cantor, Scott via announce <announce(a)shibboleth.net>
Date: mån 13 mars 2023 19:51
Subject: Shibboleth Service Provider for Windows V3.4.1.2 available
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Another patch/service update to the Windows installer for the Service
Provider is available, addressing a security issue in zlib, which is
packaged as part of the software. The issue was disclosed last year but was
overlooked at the time.
I am not aware of any exploits for the issue but am providing the update
out of caution.
-- Scott
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Jag undrar om ni som använder Shibboleth och har slagit på CSRF
mitigation har sett en ökning av varningar kopplat till invalid CSRF
tokens i era loggarna de senaste dagarna?
Vi kan se en fördubbling av antal "non-proceed event while processing
the request: InvalidCSRFToken" antingen för view-state
"LocalStorageRead" eller "DisplayUsernamePasswordPage" sedan i
månadsskiftet.
Vi har några studenter som har hört av sig som har haft problem med att
logga in i olika tjänster. Det är oklart just nu om eller hur dessa
problem skulle vara kopplat till ogiltiga CSRF tokens. Det är väldigt
få, men en stor procentuellt ökning under kort tid.
Undrar bara om vi är ensamma med denna ökning?
Tacksam för svar.
/Paul.
Vänliga hälsningar / Best regards
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Phone: +46 54 700 23 07
Mobile: +46 54 70 191 42 83
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.