Hej,
Hoppas ni alla har haft en trevlig semester och välkomna tillbaka.
Tänkte påminna om att ni som använder Shibboleth IdP och ännu inte
uppgraderat till version 5 måste göra detta snarast. Se nedan för mer
information.
Pål
Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg
påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity
Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är
det dags att uppgradera till en nyare huvudversion eftersom den tidigare
huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl
alltid viktigt att endast använda aktuella och underhållna versioner av
programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För
er som använder Shibboleth Identity Provider finns det två sätt att
hantera att näst senaste huvudversion blir End-of-Life, antingen genom
att uppgradera till version 5, att byta till annan programvara än
Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit
<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>,
eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare
i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut
senast under november 2024 och genomför helst arbetet i god tid. Vi
uppmanar er därför att aktivt delta på webinar och diskussionsmöten
under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än
uppgradering inom samma huvudversion och det är därför särskilt viktigt
att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er
information om hur ni både förbereder och genomför uppgraderingen på ett
bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för
användarkonton och ett administrativt gränssnitt för att koppla dessa
till organisationen.
SWAMID finns som stöd i uppdateringen
Under våren genomförde SWAMID ett webinar om hur man genomför
uppdateringen och detta finns inspelat och tillgängligt på adressen
https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering….
Torsdagen den 29 augusti kör vi igång med de öppna frågestuderna igen
och nu när vi passerar datumet för end-of-life kommer de att hållas
varje vecka. Se
https://wiki.sunet.se/pages/viewpage.action?pageId=185139336 för mer
information. På wikisidan finns även en länk till kalenderhändelse som
innehåller alla tillfälle som frågestudenn kommer att hållas.
Hej.
Ikväll kommer det att genomföras ett större job med elen på vårt Datacenter i Norrland.
Detta gör att ett antal servrar kommer att stängas ned med start vid 20.00 ikväll för att spara på UPS:en.
2 av de som drabbas är release-check.swamid.se <http://release-check.swamid.se/> och release-check.qa.swamid.se <http://release-check.qa.swamid.se/> i övrigt skall det inte ha någon inverkan på SWAMID.
Så skall ni testa någon IdP gör det innan 20.00 ikväll :-)
// Björn M.
Hej,Sunetdagarna hösten 2024
På höstens digitala Sunetdagar finns ett antal inplanerade pass runt
identitetshantering. Det fulla programmet finns på Sunetdagarwebben men här
finns identitetspassen i en lista.
- eduID Connect – för säkerhet och kontohantering, Måndag 4 november
14.00–14.45
- Trust and identity for international research, Tisdag 5 november
11.00–11.45
- Nya stöd och möjligheter med eduID, Tisdag 5 november 13.00–13.45
- Vad är på gång inom SWAMID?, Torsdag 7 november 9.00–9.45
- Hur effektiviseras och förtydligas SWAMIDs tillitsprofiler?, Torsdag 7
november 10.00–10.45
- När EUs digitala identitetsplånbok kommer, Torsdag 7 november
14.00–14.45
Pål
[image: Screenshot 2024-10-31 at 09.31.15.png]
Det går inte längre att bekräfta sin identitet genom att vi gör ett uppslag
mot register över abonnent av ett visst mobiltelefonnummer. Verifieringarna
som gjorts med denna metod kommer tills vidare vara giltiga.
Vi kommer också stänga av utskick av lösenordsåterställning via SMS och
istället hänvisa att använda annan andra faktor.
Användare som har ett telefonnummer registrerat som kan användas för
lösenordsåterställning presenteras ovan vy.
--
Tjo!
Är det någon som fått ScriptedAttribute att funka med Nashorn och JDK17 på IDPv5 ännu?
2024-10-23 11:55:40,396 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:57] - Shibboleth IdP Version 5.1.3
2024-10-23 11:55:40,397 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:58] - Java version='17.0.13' vendor='Debian'
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:73] - Plugins:
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:75] - net.shibboleth.idp.plugin.metadatagen : v2.0.0
2024-10-23 11:55:40,399 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:75] - net.shibboleth.idp.plugin.nashorn : v2.0.0
2024-10-23 11:55:40,403 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:93] - Enabled Modules:
2024-10-23 11:55:40,403 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Core IdP Functions (Required)
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Command Line Scripts
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Password Authentication
2024-10-23 11:55:40,404 - - INFO [net.shibboleth.idp.admin.impl.LogImplementationDetails:95] - Hello World
net.shibboleth.shared.service.ServiceException: Failed to load [file [/local/shibboleth/idp/conf/attribute-resolver.xml], class path resource [net/shibboleth/idp/conf/attribute-resolver-system.xml]]
at net.shibboleth.shared.spring.service.ReloadableSpringService.doReload(ReloadableSpringService.java:385)
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'eppnFromUid': Cannot create inner bean '(inner bean)#75c9ebca' of type [net.shibboleth.shared.spring.factory.EvaluableScriptFactoryBean] while setting bean property 'script'
[…]
Caused by: java.lang.NullPointerException: Cannot invoke "java.lang.invoke.MethodHandle.type()" because "target" is null
at java.base/java.lang.invoke.MethodHandles.insertArgumentsChecks(MethodHandles.java:5198)
får jag med deras egna exempel kopierade från wikin https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503289/Scripted…
MVH
- Simon
Hej!
Jag har problem med att införa JDBCStorageService.
I och med uppdateringen till Shibboleth version 5 så kunde vi inte längre använda JPAStorageService.
Då gick vi över till ClientStorageService.
Det hade vi gärna haft kvar men hos oss men den fungerar inte riktigt som man hade hoppats då användarna ofta uppmanas om att godkänna för terms of use trots att vi använder ClientPersistentStorageService för det.
Någon som har liknande problem?
Därför har jag nu börjat försöka få in JDBCStorageService för det, så de slipper få upp frågan så pass ofta.
Nu när jag försöker få in ändringarna så får jag detta felmeddelande:
org.eclipse.jetty.webapp.WebAppContext:542] - Failed startup of context o.e.j.w.WebAppContext@5a18cd76{Shibboleth Identity Provider,/idp,[file:///C:/Program%20Files%20(x86)/Shibboleth/IdP/jetty-base/tmp/jetty-0_0_0_0-443-idp_war-_idp-any-633304524281250836/webinf/, jar:file:///C:/Program%20Files%20(x86)/Shibboleth/IdP/war/idp.war!/],UNAVAILABLE}{../war/idp.war}
org.springframework.beans.factory.BeanCreationException: Error creating bean with name ''shibboleth.JPAStorageService' defined in file [C:\Program Files (x86)\Shibboleth\IdP\conf\global.xml]: net.shibboleth.shared.component.ComponentInitializationException: Key Column is Case Insensitive
Har följt instuktionerna här https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2989096970/JD… men den lyckas inte skapa beanen för storageservice.
Jag ser i mina war-filer att jdbc-storage-impl-2.0.0 är med samt så är pluginet net.shibboleth.plugin.storage.jdbc installerat vid kontroll.
Jag har som sagt följt instruktionen så konfigurationen för bean är som rekommenderat:
<bean id="shibboleth.JPAStorageService"
parent="shibboleth.JDBCStorageService"
p:cleanupInterval="%{idp.storage.cleanupInterval:PT10M}"
p:dataSource-ref="shibboleth.JPAStorageService.DataSource"/>
Mvh,
Victor Thorén
Enskilda Högskolan
Victor Thorén
T: 08-400 529 01 | M: 072-070 07 19
victor.thoren(a)jhsupport.se<mailto:victor.thoren@jhsupport.se> | jhsupport.se<http://jhsupport.se/>
Birger Jarlsgatan 104, 114 20 Stockholm
[Logo]<https://jhsupport.se/>
[Banner]<https://jhsupport.se/>
Kan ni ta bort dom tills dom lägger till en vettig adress eller slutar autosvara från deras ärendehanteringsystem på varje mail man skickar till listan?
MVH
- Simon
FYI
> Begin forwarded message:
>
> Subject: Shibboleth Identity Provider Plugin Security Advisory [23 October 2024]
> Date: 23 October 2024 at 13:06:15 CEST
>
> Shibboleth Identity Provider Plugin Security Advisory [23 October 2024]
>
> An updated version of the OpenID Connect OP plugin for the Shibboleth
> Identity Provider is now available which corrects a pair of race
> conditions in the authorization/authentication request processing.
>
> Both issues are of "low" severity, and neither is likely to manifest
> without significant load on the server.
>
> OpenID Connect OP plugin contains two race conditions
> ======================================================================
> A pair of race conditions have been identified in the OP plugin.
>
> The authorization endpoint that processes requests from RP clients
> contains a race condition that under load could result in requests
> containing a login_hint and/or resource -parameter value from a
> different request.
>
> A wrong login hint value may cause unexpected user experience for
> instance in the login page if the login view has been modified to
> exploit login hint. Our default login views don't include such
> feature.
>
> A wrong resource value may cause invalid target audience in the issued
> access token or unexpected user experience if the wrong audience is
> invalid for the client. Note that regardless of this bug, the resource
> values ultimately processed are validated against the actual client's
> metadata.
>
> Recommendations
> ===============
> Update to V4.2.0 or later of the OIDC OP plugin, which is now available.
> The IdP's plugin installer can perform this update process. The Release
> Notes are available at [1].
>
> Note that this plugin requires IdP V5.0 or newer, so you may need to update
> the IdP first if you are on an unsupported version.
>
>
> Credits
> =======
> This issue was discovered by the Shibboleth Project team itself.
>
> [1] https://shibboleth.atlassian.net/wiki/x/AQCCpQ
>
> URL for this Security Advisory:
> https://shibboleth.net/community/advisories/secadv_20241023.txt
Hej!
Jag har testat att göra uppgradering till Jetty 12 från Jetty 11 enligt
instruktioner i https://wiki.sunet.se/display/SWAMID/Uppgradera+Jetty
och
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3516104706/Jetty12.
I bilagan kommer de steg som jag genomfört.
Jetty verkar starta upp. Men när jag går in på en SSO-sida får jag
följande felmeddelande:
HTTP ERROR 404 Not Found
URI:
https://testidpshibboleth.irf.se/idp/profile/SAML2/Redirect/SSO?SAMLRequest…
STATUS: 404
MESSAGE: Not Found
------------------------------------------------------------------------
Powered by Jetty:// 12.0.14 <https://jetty.org/>
Vad kan orsaka detta?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email:matsl@irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key:https://www.irf.se/pgp/matsl
Digital vcard:https://www.irf.se/vcard/mats.luspa
