Hej,
Swamids tillitsprofiler refererar NIST Special Publication 800-63 Digital Identity Guidelines<https://www.nist.gov/identity-access-management/projects/nist-special-publi…> gällande inloggningsmodeller. I augusti 2025 uppdaterades dessa riktlinjer där NIST har bytt namn på de olika inloggningsmodellerna. Baserat på detta måste även Swamids tillitsprofiler uppdateras med de nya namnen på inloggningsmodellerna i punkt 5.1.1. Detta är den primära ändringen i aktuella uppdateringar.
I samband med denna tvingande förändring har vi även valt att tydligare lyfta in de befintliga kraven på lösenordskvalité för att göra tillitsprofilerna tydligare och enklare att läsa. Vi har även lagt in en ny "guidance" om vad som avses med nätfiskeresistent multifaktorinloggning. Till sist har vi delat på punkt 4.4.1 i två så att loggningskrav och hur dessa loggar ska hanteras finns i två olika punkter. Inga av dessa ändringar är kravförändring.
Avsikten med översynen är alltså inte att ställa andra krav än de som redan gäller i aktuella versioner av tillitsprofilerna!
Välkomna att läsa igenom uppdateringarna och ställa frågor om ni har några funderingar. Förändringarna kommer att tas upp till beslut på nästa Swamid Board of Trustees i december 2025.
Förslaget till de uppdaterade tillitsprofilerna finns på https://wiki.sunet.se/x/n4H0E.
Pål Axelsson
Hej!
Jag får inte ordning på vår ADFS Toolkit 2.3.0 och REFEDS MFA. Jag uppgraderade nyligen till 2.3.0, men vet inte om det fungerade innan uppgraderingen.
MFA Adaptern är installerad:
Install-ADFSTkMFAAdapter -RefedsMFA
2025-10-17 11:59:28: WARNING: RefedsMFA Adapter already installed! Please uninstall first to continue (Uninstall-ADFSTkMFAAdapter -RefedsMFA).
Kör jag release-checkern ( https://release-check.qa.swamid.se/result/?tab=mfa ) så failar första testet (Jag är redan inloggad på IDPn). På ndra testet (forceAuthn) får jag logga in igen, men lösenordsrutan ser ut att vara den vanliga. Jag har för mig att man vid RefedsMFA i Toolkitet ska få en lösenordsruta med en fyrkant runt, men den ser jag inte här.
Vet inte om det påverkar något, men nederst i vår get-ADFSTkLocalManualSpSettings.ps1 har jag följande:
$ManualSPSettings = @{
ApplyMFAConfiguration = @{
CustomMFAConfiguration = @{
FrejaeID = "http://freja.com/mfa"
BankID = "http://bankid.se/mfa"
}
}
}
$IssuanceTransformRuleManualSP["urn:adfstk:allsps"] = $ManualSPSettings
Tips på hur jag felsöker?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
Idag var det årets andra Swamid Board of Trustees. Vi vill hälsa Johannelunds teologiska högskola välkomna till Swamid. De använder eduID Connect som identitetsutgivare. Vidare godkändes fyra uppdaterade IMPSer inkl. SLU som blev godkända för SWAMID AL3.
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2025-09-26
Pål
Hej alla,
Så här är det. Jag har för mycket bollar i luften. Jag har ju så klart haft Diggs nya auktorisationssystem på radarn ett tag men skulle någon vänlig själ kunna lugna mina nerver lite vore jag tacksam. Detta är ju så klart också en lista för SAML admins – så inte klockrent rätt forum men jag tänker att det finns många kunniga och insatta personer här…
Fråg digg.se:
Valfrihetssystemen 2017 och 2018 upphör den 1 januari 2026. Om offentliga aktörer ska fortsätta erbjuda elektronisk identifiering via Diggs avtal måste nytt avtal inom auktorisationssystemet tecknas.
Vi använder idag BankID för två tjänster, varav en är kontohanteringsportalen, via Valfrihetssystem 2018. 1 januari 2026 skulle jag bli väldigt nedstämd om jag inte längre kunde erbjuda BankID där… om man säger så.
Som jag förstår det öppnar ansökningarna för det nya auktorisationssystemet i september 2025 – både för leverantörer av e-leglösningar och för oss andra som vill använda oss av dessa. Därav finns det väl egentligen inget som säger med 100% säkerhet att jag kommer att kunna använda mig av BankID efter 1 jan 2026 (via detta nya system alltså)?
Säg att BankID finns med som leverantör – kan det vara så enkelt som att när vårt avtal är påskrivet så kan vi bara rulla på med samma tekniska lösning mot BankID som förut?
Vad är era tankar runt detta?
Med vänliga hälsningar,
Dennis – Imposter Syndrom Level 3000
PS. Finns så klart även mycket annat att fundera på inom detta område, Sweden Connect o annat men en sak i taget…
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
www.du.se<https://www.du.se/> | +46 23 778000<tel:+46%2023%20778000>
Hej,
För kännedom.
/Paul.
SWAMID operations.
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Identity Provider Security Advisory [26 August
2025]
Date: 26/08/25 14:19:55
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Shibboleth Identity Provider Security Advisory [26 August 2025]
An updated version of the Shibboleth Identity Provider is available
to address a cross-site scripting vulnerability in the CAS protocol
support when using certain request options that result in a particular
response format.
XSS vulnerability in one CAS response format
=================================================================
An XSS issue was identified in the IdP's handling of CAS responses
in certain situations. If exploited, exfiltration of cookies is
unlikely due to the default mitigations for that, but cross-site
request forgery attacks are very possible against CAS clients that
are not themselves hardened against certain kinds of malicious URLs.
Recommendations
===============
Update to V5.1.6 (or later) of the Identity Provider software. [1]
If unable to upgrade, another mitigation requires use of the CAS
Service Registry to control use of CAS (rather than the SAML metadata
extension specific to our software that many rely on) and the
expressions used to validate CAS service URLs would need to be fairly
strict and in particular avoid the use of tail-matching regular
expression wildcards that would permit essentially any decoration
of a URL to be accepted.
The SAML metadata alternative exclusively does this sort of open-
ended prefix matching and is not designed to prevent further URL
content from appearing at the end of a service URL, so its use
cannot mitigate against this issue.
Credits
=======
Discloze, Inc. <https://www.discloze.com/>
Dan Malone, California Polytechnic State University
[1] https://shibboleth.net/downloads/identity-provider/
URL for this Security Advisory:
https://shibboleth.net/community/advisories/secadv_20250826.txt
-----BEGIN PGP SIGNATURE-----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=3Tgc
-----END PGP SIGNATURE-----
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
En ny version av Shibboleth identity provider finns tillgänglig.
/Paul.
SWAMID operations.
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Identity Provider V5.1.6 now available
Date: 26/08/25 14:18:32
A new patch release of the IdP software is now available [1] to
address a couple of security issues, one internal (advisory forthcoming
momentarily), and one in Spring Framework.
The Release Notes mention both issues. [2]
-- Scott
[1] https://shibboleth.net/downloads/identity-provider/
[2] https://shibboleth.atlassian.net/wiki/x/T4C0vg
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Ny version av Shibboleth Identity Provider.
Tillägg: "MSI installer will be available by next week at the latest,
possibly sooner."
/Paul
SWAMID operations
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Identity Provider V5.1.5 now available
Date: 13/08/25 16:40:46
The Shibboleth Project has released V5.1.4 of the IdP software to
migrate to Spring Framework V6.2 on an interim basis per the schedule
we published earlier this week [1].
It is now available from our download site [2]. The Release Notes are
updated accordingly. [3]
Our other artifacts such as OpenSAML are available in our Maven
repository.
-- Scott
[1] https://shibboleth.atlassian.net/wiki/x/AwBqEAE
[2] http://shibboleth.net/downloads/identity-provider/latest5/
[3] https://shibboleth.atlassian.net/wiki/x/T4C0vg
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
