Hej,
Nu är det dags för en fysisk swamidworkshop igen. Denna gång ligger den dagen innan vårens Sunetdagar.
Nu är programmet för Sunetdagarna 2026 publicerat, eller inom någon dag, och anmälan är öppen! I år välkomnas vi av Linköpings universitet i Norrköping, där vi samlas för två heldagar med kunskapsutbyte, nya perspektiv och samtal om aktuella och kommande frågor inom digital infrastruktur och IT för utbildning, forskning och offentlig sektor.
Temamöte: Swamid
I anslutning till Sunetdagarna arrangerar vi flera temamöten för kunder till våra tjänster. Antalet platser är begränsat och anmälan krävs.
Vi håller ett temamöte för Swamid den 5 maj kl. 13.00–17.00. Det är en traditionell Swamid-workshop där vi disktuterar aktuella frågor kring Swamid. En av de största frågorna just nu rör hur vi kan validera personer utan svenskt personnummer på AL3-nivå och samtidigt säkerställa att det är samma person vid exempelvis lösenordsåterställning och kontoåteraktivering. Detta är en komplex fråga som kräver gemensam analys och diskussion för att hitta en eller flera hållbara lösningar.
Du anmäler dig via denna länk: https://registration.invajo.com/3e11b825-9838-4647-99a2-023a6406e4ea. I anmälningsflödet under ”Aktiviteter” väljer du temamötet.
Observera att detta inte är samma anmälningsflöde som på sunetdagarna.se. Temamötena finns enbart att välja till genom länken ovan. Du kan endast anmäla dig till ett temamöte, eftersom de sker parallellt.
Hör av dig om du har några frågor!
Pål och resten av operations.
Då behöver en AL3-användare alltså inte alltid köra med MFA.
Här
https://wiki.sunet.se/spaces/SWAMID/pages/17137941/SWAMID+Assurance+How-To?…
under 5.1 står
"Tänk på att SWAMID AL3 alltid kräver multifaktorautentisering."
/Mats
On 3/18/26 11:21 AM, Björn Mattsson wrote:
> Hej.
>
> Så som många har löst det så kräver man bara kräver en andra faktor om det krävs från SP:n eller om SP:n pushas till MFA via konfig i IdP:n enligt den andra tråden.
> Har inloggningen genomförts med 2 faktorer signalerar man AL3 för de som är verifierade för detta. Har enbart en faktor används signalerar man AL2 även om kontot är verifierat på AL3.
>
> Dvs för att en SP skall få AL3 måste de aktivt kräva MFA vid inloggningen.
>
> // Björn M.
>
>
>> On 18 Mar 2026, at 07:19, Mats Luspa via Saml-admins <saml-admins(a)lists.sunet.se> wrote:
>>
>> Då måste man alltså om man är en AL3-organisation alltid köra med MFA för alla SP:ar men ändå ha optionen att falla tillbaka till lösenord för de som har max AL2 (det vill säga ej har någon andra faktor). Man skall väl inte heller göra det möjligt för en AL3-användare att kunna logga in med lösenord. Om en AL3-användare tappat bort sin andra faktor så måste denne kontakta en administratör för att kunna bli degradera till AL2 eller få en ny andra faktor.
>> Är detta rätt uppfattat?
>>
>> /Mats
>>
>> On 3/17/26 6:32 PM, Björn Mattsson via Saml-admins wrote:
>>> Hej.
>>> Ja det stämmer. En användare som ni klassat upp till AL3 som enbart loggar in med lösenord, då får ni MAX släppa AL2 i eduPersonAssurance.
>>>
>>> // Björn M.
>>>
>>>> On 17 Mar 2026, at 16:27, Mats Luspa via Saml-admins <saml-admins(a)lists.sunet.se> wrote:
>>>>
>>>> Hej!
>>>>
>>>> Stämmer det att användare som är AL3 alltid måste använda sig av MFA? Det vill säga så fort en sådan användare använder endast lösenord t ex för inloggning så degraderas denne till AL2.
>>>>
>>>> /MVH Mats
>>>>
>>>> On 3/17/26 1:08 PM, Mats Luspa wrote:
>>>>> Ok, tack, det var bara en beteckning på ett flow av dokumentationsskäl. Trodde att det var ett som existerade alltså.
>>>>>
>>>>> /MVH Mats
>>>>>
>>>>> On 3/17/26 12:27 PM, Paul Scott wrote:
>>>>>> Man kan skapa en bean och lägger den i global.xml, t.ex.
>>>>>>
>>>>>> <bean p:id="authn/secondFlow" parent="shibboleth.AuthenticationFlow"
>>>>>> p:passiveAuthenticationSupported="true"
>>>>>> p:forcedAuthenticationSupported="true">
>>>>>> <property name="supportedPrincipals">
>>>>>> <list>
>>>>>> <bean
>>>>>> parent="shibboleth.SAML2AuthnContextClassRef"
>>>>>> c:classRef="https://refeds.org/profile/mfa" />
>>>>>> </list>
>>>>>> </property>
>>>>>> </bean>
>>>>>>
>>>>>> /Paul.
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: Mats Luspa via Saml-admins <saml-admins(a)lists.sunet.se>
>>>>>> Reply-To: Mats Luspa <mats.luspa(a)irf.se>
>>>>>> To: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
>>>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan
>>>>>> Date: 17/03/26 12:21:21
>>>>>>
>>>>>> Hej!
>>>>>>
>>>>>> Jag undrar var och hur man konfigurerar "authn/secondFlow". Det är ju
>>>>>> ingen standard "flow" vad jag vet.
>>>>>>
>>>>>> /MVH Mats
>>>>>>
>>>>>> On 2/13/26 9:14 AM, Paul Scott wrote:
>>>>>>> Per‑Olof från Högskolan i Borås har delat med sig av de anpassningar
>>>>>>> som de har gjort för att tvinga MFA på olika sätt i mfa-authn-config.
>>>>>>> Jag har uppdaterat wiki-sidan[1] med exempelkoden.
>>>>>>>
>>>>>>> [1]
>>>>>>> https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec…
>>>>>>>
>>>>>>> Stort tack till Högskolan i Borås för bidraget!
>>>>>>>
>>>>>>> /Paul.
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: Paul Scott <paul.scott(a)kau.se>
>>>>>>> To: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
>>>>>>> Subject: [Saml-admins] Re: Konfigurera obligatorisk MFA på IdP-sidan
>>>>>>> Date: 28/11/25 13:39:39
>>>>>>>
>>>>>>>
>>>>>>> Man kan nog göra mycket med MFA-flöden, men hittills har jag bara
>>>>>>> skrapat på ytan.
>>>>>>>
>>>>>>> Problemet med exemplet jag gav är att det endast fungerar om man vet
>>>>>>> att alla användare har möjlighet att skaffa MFA. Därför skulle det
>>>>>>> inte
>>>>>>> vara särskilt populärt för oss just nu att aktivera det på exempelvis
>>>>>>> Canvas!
>>>>>>>
>>>>>>> Jag funderar på vad nästa steg kan vara för mitt lärosäte. Kanske
>>>>>>> borde
>>>>>>> man undersöka en logik baserad på om användaren har MFA konfigurerad
>>>>>>> (via attributuppslagning) och i så fall använda det. Detta i
>>>>>>> kombination med att vissa tjänster fortsätter att kräva MFA via
>>>>>>> relying-party. Följande exempel kan man nog bygga vidare på:
>>>>>>>
>>>>>>> https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFac…
>>>>>>>
>>>>>>> Jag är dock inte säker på hur man på ett bra sätt kan använda listor
>>>>>>> i
>>>>>>> MFA-logiken – kanske går det att göra uppslag baserat på LDAP-
>>>>>>> grupper?
>>>>>>>
>>>>>>> /Paul.
>>>>>>>
>>>>>>> -----Original Message-----
>>>>>>> From: Simon Lundström <simlu(a)su.se>
>>>>>>> To: Paul Scott <paul.scott(a)kau.se>
>>>>>>> Cc: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
>>>>>>> Subject: Re: [Saml-admins] Konfigurera obligatorisk MFA på IdP-sidan
>>>>>>> Date: 27/11/25 16:08:45
>>>>>>>
>>>>>>> Tack Paul!
>>>>>>>
>>>>>>> Nu vill jag inte låta otacksam men går det inte att göra från MFA
>>>>>>> flow
>>>>>>> confen?
>>>>>>>
>>>>>>> För om man t.ex. vill lägga till:
>>>>>>> * För alla SP entityIDs i lista X
>>>>>>> OCH
>>>>>>> * användaren kommer från en IP som INTE är i lista Y
>>>>>>>
>>>>>>> så behöver MFA användas.
>>>>>>>
>>>>>>> MVH
>>>>>>> - Simon
>>>>>>>
>>>>>>> On Thu, 2025-11-27 at 15:44:11 +0100, Paul Scott wrote:
>>>>>>>> Hej!
>>>>>>>>
>>>>>>>> Jag lovade att ta fram ett exempel på hur man kan kräva REFEDS MFA
>>>>>>>> för
>>>>>>>> en SP från IdP-sidan med hjälp av relying-party.xml.
>>>>>>>>
>>>>>>>> Nu finns exemplet på Swamids wiki under SAML IdP Best Current
>>>>>>>> Practice
>>>>>>>> eller direkt via:
>>>>>>>>
>>>>>>>>
>>>>>>>> https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec…
>>>>>>>>
>>>>>>>>
>>>>>>>> /Paul.
>>>>>>>>
>>>>>>>> --
>>>>>>>> Paul Scott
>>>>>>>> Systemutvecklare | Systems developer
>>>>>>>>
>>>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>>>> SE-651 88 Karlstad Sweden
>>>>>>>> Tel: +46 54 700 23 07
>>>>>>>> www.kau.se
>>>>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina
>>>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>>>> When you send an e-mail to Karlstad University, we will process
>>>>>>>> your
>>>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>>>> _______________________________________________
>>>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>>>>> --
>>>>>>> Paul Scott
>>>>>>> Systemutvecklare | Systems developer
>>>>>>>
>>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>>> SE-651 88 Karlstad Sweden
>>>>>>> Tel: +46 54 700 23 07
>>>>>>> www.kau.se
>>>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina
>>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>>> When you send an e-mail to Karlstad University, we will process your
>>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>>> _______________________________________________
>>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>>>>>
>>>>>>> --
>>>>>>> Paul Scott
>>>>>>> Systemutvecklare | Systems developer
>>>>>>>
>>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>>> SE-651 88 Karlstad Sweden
>>>>>>> Tel: +46 54 700 23 07
>>>>>>> www.kau.se
>>>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina
>>>>>>> personuppgifter<https://www.kau.se/gdpr>.
>>>>>>> When you send an e-mail to Karlstad University, we will process your
>>>>>>> personal data<https://www.kau.se/en/gdpr>.
>>>>>>> _______________________________________________
>>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>>>> --
>>>>>> --
>>>>>> Mats Luspa
>>>>>> Phone: +46 (0)980 79 022
>>>>>> Cellular phone: +46 (0)725813330
>>>>>> Institutet för rymdfysik Fax: +46 (0)980 79 050
>>>>>> Swedish Institute of Space Physics email: matsl(a)irf.se
>>>>>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
>>>>>> Postal address: Box 812, SE-981 28 Kiruna
>>>>>> --
>>>>>> PGP Public Key: https://www.irf.se/pgp/matsl
>>>>>> Digital vcard: https://www.irf.se/vcard/mats.luspa
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Paul Scott
>>>>>> Systemutvecklare | Systems developer
>>>>>>
>>>>>> KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
>>>>>> SE-651 88 Karlstad Sweden
>>>>>> Tel: +46 54 700 23 07
>>>>>> www.kau.se
>>>>>> När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
>>>>>> When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
>>>>>> _______________________________________________
>>>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>>> --
>>>> --
>>>> Mats Luspa
>>>> Phone: +46 (0)980 79 022
>>>> Cellular phone: +46 (0)725813330
>>>> Institutet för rymdfysik Fax: +46 (0)980 79 050
>>>> Swedish Institute of Space Physics email: matsl(a)irf.se
>>>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
>>>> Postal address: Box 812, SE-981 28 Kiruna
>>>> --
>>>> PGP Public Key: https://www.irf.se/pgp/matsl
>>>> Digital vcard: https://www.irf.se/vcard/mats.luspa
>>>>
>>>> _______________________________________________
>>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>>> _______________________________________________
>>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
>> --
>> --
>> Mats Luspa
>> Phone: +46 (0)980 79 022
>> Cellular phone: +46 (0)725813330
>> Institutet för rymdfysik Fax: +46 (0)980 79 050
>> Swedish Institute of Space Physics email: matsl(a)irf.se
>> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
>> Postal address: Box 812, SE-981 28 Kiruna
>> --
>> PGP Public Key: https://www.irf.se/pgp/matsl
>> Digital vcard: https://www.irf.se/vcard/mats.luspa
>>
>> _______________________________________________
>> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
>> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Jag lovade att ta fram ett exempel på hur man kan kräva REFEDS MFA för
en SP från IdP-sidan med hjälp av relying-party.xml.
Nu finns exemplet på Swamids wiki under SAML IdP Best Current Practice
eller direkt via:
https://wiki.sunet.se/display/SWAMID/Force+the+use+of+Refeds+MFA+for+a+spec…
/Paul.
--
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Tel: +46 54 700 23 07
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej
Vi ska implementera Freja Extended (för personer utan svenskt personnummer) och vill få en förståelse för vilka utmaningar andra stött på och vilka aspekter man bör tänka på inför införandet.
Vore tacksam om vi kan få kontaktperson för ett kortare möte med någon från ett lärosäte som redan har implementerat Freja Extended.
Eric Johansson | Linux Drifttekniker
IT-avdelningen | GVS | Karolinska Institutet
171 77 Stockholm | Nobels väg 5, plan 4
eric.johansson(a)ki.se | ki.se
Karolinska Institutet – ett medicinskt universitet
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/om-ki/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://staff.ki.se/data-protection-policy>.
Hej,
Den profil vi i Swamid använder för att signalera multifaktorautentisering (MFA) inom federationen, REFEDS MFA Profile, är på väg att få en uppdatering. Uppdateringen innehåller bland annat stöd för att signalera att Phishing-resistent MFA ska användas/användes vid inloggning.
Profilen är nu under konsultation där intressenter har möjlighet att föreslå förändringar innan den beslutas av REFEDS Steering Committee. Konsultationen är öppen till den 14 april.
Se utlysandet av konsultationen nedan och ta chansen att förändra den till det bättre innan den fastställs!
MVH
Fredrik Domeij
Swamid Operations
________________________________
From: refeds-request(a)lists.refeds.org <refeds-request(a)lists.refeds.org> on behalf of Nicole Harris <refeds(a)lists.refeds.org>
Sent: Wednesday, March 11, 2026 4:37 PM
To: consultations(a)lists.refeds.org <consultations(a)lists.refeds.org>; REFEDS <refeds(a)lists.refeds.org>
Subject: Consultation: MFA Profile 2.0
Dear All
On behalf of the MFA Profile Working Group, I am happy to announce an open consultation on the proposed version 2 of the REFEDS MFA Profile. The consultation page can be found here: https://wiki.refeds.org/display/CON/Consultation:+MFA+Profile+v2.0, including a summary of the main changes in approach.
The consultation will run from 11th March 2026 to 14th April 2026, 17:00 CEST.
All comments should be made on the wiki page (editing rights are open), to the consultations list or directly to me and I will summarise them for you.
If you have any questions, please do not hesitate to reach out or ask questions on the consultations list.
Many thanks
Nicole
--
Nicole Harris
Senior Trust and Security Manager
GÉANT
T: +31 (0) 20 530 4488
M: +31 (0) 646 105395
PGP key Fingerprint: 4017 2E40 13D4 9DA7 68E1 8ADB 3F11 9CDB FC48 6216
Networks • Services • People
Learn more at www.geant.org
GÉANT Vereniging (Association) is registered with the Chamber of Commerce in Amsterdam with registration number 40535155 and operates in the UK as a branch of GÉANT Vereniging. Registered office: Hoekenrode 3, 1102BR Amsterdam, The Netherlands. UK branch address: City House, 126 -130 Hills Road, Cambridge CB2 1PQ, UK.
Hej,
Här kommer information om en säkerhetsuppdatering av Shibboleth Service Provider för Windows.
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> på uppdrag av Scott Cantor via announce <announce(a)shibboleth.net>
Skickat: onsdag, mars 11, 2026 6:01:10 PM
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Ämne: Shibboleth Service Provider for Windows updated to 3.5.2.2
There were a number of CVEs issued for libcurl this morning, and out of caution, I have published a 3.5.2.2 service patch to the Windows installer to update libcurl to 8.19.0. There are no other changes to the software.
The curl version has been lagging there for a while due to radical build changes to curl on Windows, so getting past that was desirable in case something critical does come along.
-- Scott
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej!
Enligt SWAMID SAML WebSSO Technology Profile (3.2, 3.3 och 6.6.2) ska en entitet årligen bekräfta
att den uppfyller teknologi-profilen samt ha tidsmässigt giltigt certifikat.
Följande entiteter har trots påtryckning inte bekräftats eller har ett certifikat som gått ut och kommer därför raderas 2026-03-11 ur federationen.
* https://konto.gih.se/Saml2 <https://metadata.swamid.se/admin/?showEntity=891>
* https://confluence-ro.its.umu.se/shibboleth
Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta
till rätt instans inom er organisation.
Det går att följa status på dessa entiteter via vår felsida:
https://metadata.swamid.se/admin/?action=ErrorList
Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last
Confirmed/Validated uppdateras dock löpande.
--
jocar
Swamid Operations
FYI
Happy upgrading!
--
jocar
> Begin forwarded message:
>
> From: Scott Cantor via announce <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.2.1 now available
> Date: 17 February 2026 at 23:24:41 CET
> To: announce(a)shibboleth.net
> Cc: Scott Cantor <scott(a)restingparrotsoftware.com>
> Reply-To: users(a)shibboleth.net
>
> A patch release of the Identity Provider is available to correct a couple of regressions identified since the 5.2.0 release, the primary one impacting those using old configurations dating to 4.0 and earlier.
>
> The standard distributions are in the usual place [1]. The Windows installer should be available later tomorrow.
>
> While this patch should restore compatibility, it is a good idea to devote some time to modernizing pre-4.1 configurations to migrate to the more property-centric design of the newer versions.
>
> Thanks to early adopters, taking the arrows is appreciated.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest5/
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom...
-------- Forwarded Message --------
From: Scott Cantor via users <users(a)shibboleth.net>
Reply-To: Shib Users <users(a)shibboleth.net>
To: Shib Users <users(a)shibboleth.net>
Cc: Scott Cantor <scott(a)restingparrotsoftware.com>
Subject: IdP 5.2.1 forthcoming
Date: 12/02/26 20:53:52
Just to save anybody's time that might be working on an upgrade, we'll
have a first 5.2 patch coming shortly, so you'd probably want to hold
off for that to avoid having to apply another.
Not unexpected, but anyway...
-- Scott
--
For Consortium Member technical support, see
https://shibboleth.atlassian.net/wiki/x/ZYEpPw
To unsubscribe from this list send an email to
users-unsubscribe(a)shibboleth.net
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
