Hej
Repost från https://forum.sunet.se/s/swamid/
Jag har, efter gårdagens webinarium, funderingar kring vår tänkta implementation av en algoritm för att automatiskt matcha uppgifter från eduID mot Ladok (eller annat källsystem), det kan vara så att vi är på väg att göra några tankevurpor och behöver därför synpunkter/svar på några frågeställningar.
Först och främst tänker vi använda Levenshtein Distance <= 1 för att avgöra om två strängar(namn) kan anses vara samma, det ska hantera Thomas-Tomas, Andersson-Anderson etc.
Förnamn
Om vi från eduID får ANNA, ANDERSSON och vi i Ladok har en anna, anderson så är det en matchning - samma namn (i alla fall en tillräckligt liten skillnad).
Om det från eduID istället kommer ANNA BEDA, ANDERSSON så matchar fortfarande anna - det förnamn som finns i Ladok ingår bland de som finns i ID.
Samma med ANNA BEDA CLARA som matchas av anna clara - alla namn i Ladok finns i ID.
Har man exemplet ANNA BEDA och anna diana så bör det vara så att de inte matchar - olika namn även om anna är del av båda, alla namn i Ladok finns inte i ID.
Och då borde det även vara så att ANNA mot anna diana inte heller matchar - diana finns inte med i ID.
Regeln bör bli att alla namn i Ladok måste finnas i ID men att alla namn i ID inte behöver finnas i Ladok.
Tänker jag rätt här?
Finns det andra fall att ta hänsyn till?
Användande av e-post
Här blir jag mer osäker på hur man ska tänka.
Om vi har exemplet ANNA, ANDERSSON, född 19010101 med e-post aaa(a)example.org<mailto:aaa@example.org> och vi i Ladok hittar dessa personer med födelsedatum 1901-01-01
anna, andersson, pnr: 19010101-0000, e-post: aaa(a)example.com<mailto:aaa@example.com>
anna, anderson, 19010101-1111, bbb(a)example.org<mailto:bbb@example.org>
beda, bertilsson, 190101-2222, ccc(a)example.org<mailto:ccc@example.org>
Då blir det en skillnad om man applicerar jämförelse av e-post ihop med matchningen av varje tänkbar kandidat jämfört med om man först, enbart baserat på namn, plockar fram tänkbara kandidater och sedan verifierar att man endast hittat en (1) möjlig kandidat samt att den har rätt e-post.
I detta första fallet ser anna-0000 ut att vara en entydig matchning även om så kanske inte är fallet medans man i det andra fallet har två möjliga kandidater anna-0000 och anna-1111 och alltså inte kan göra en säker identifiering, eller?
Om man i det andra fallet använder e-post som "tiebreaker", använder man inte även då e-post för identifiering?
\Anders
Välkomna på SWAMID Webinar,
Att digitalt bekräfta en person utan svenskt personnummer på samma sätt som
personer med svenskt personnummer har fram till i våras varit i princip
omöjligt. SWAMIDs tillitsprofil AL2 tillåter detta men ställer en del extra
krav på lärosätet ska koppla personen till rätt användarkonto på lärosätet.
I våras fick eduID stöd för att bekräfta personer via europeiska
e-legitimationer (eIDAS) och via resehandling, dvs. pass och nationellt
europeiskt identitetskort, för de som inte kan använda eIDAS.
Detta webinar är repris och fortsättning från webinaret från i våras och vi
går igenom regelverket i SWAMID AL2 och vad detta innebär samt hur ni kan
använda eduID för att bekräfta en person utan svenskt personnummer.
*Målgrupp*
Detta webinar riktar sig till er som har behov att bekräfta användare utan
svenskt personnummer på AL2 via eduID.
*Datum & tid*
9.30 – 10.30 torsdagen den 16 november
*Plats*
Zoom,
https://sunet.zoom.us/j/61336365964?pwd=UEtYdU85dllrRXdCYmpCNkdPMWFuZz09
Meeting ID: 613 3636 5964
Passcode: 488235
Välkomna
Pål och Zacharias
Hej allihopa!
I ett försök att inte återuppfinna hjulet så tänkte vi kolla upp lite bland alla lärosäten om det finns nedtecknade rutiner för hur ni hanterar identifiering av en person.
Det finns ju en väldigt basic template på Swamid's Wiki, och lite referenser till polisen's sidor (som dock är fel länk) och bankerna (som kostar pengar). Men det känns som det borde vara gjort redan på lärosäten och det är nog ganska troligt att vi använder oss av samma typ av rutiner när vi skall identifiera personer.
Så finns det något sådant där ute och kan ni tänka er att dela med er till andra lärosäten om detta? Och detta gäller ju alltså fysiska identitetshandlingar, inte e-identiteter.
Mvh,
Henrik B, Henrik K och Per-Olof A
Högskolan i Borås
Hej,
I SWAMIDs teknologiprofil för SAML WebSSO avsnitt 3 om efterlevnad och
revision finns ett krav att alla registrerade identitetsutfärdare och
tjänster måste årligen validera att registrerad entitet fortfarande är i
drift samt att metadata är korrekt.
För att underlätta uppfyllelsen av kravet om årlig kontroll kommer SWAMID
Operations att skicka ut en påminnelse till alla identitetsutfärdare och
tjänster. Om inte en representant för identitetsutgivare eller tjänst går
in i SWAMIDs metadataverktyg inom rimlig tid och efter påminnelser och
besvarar begäran kommer aktuella entiteten att avregistreras från SWAMID
tills denna process har genomgåtts. Vi kommer att skicka ut påminnelsen
till administrativa och tekniska kontakter i metadata. Kontrollera att
dessa kontaktuppgifter för era identitetsutfärdare och tjänster stämmer via
https://metadata.swamid.se och uppdatera snarast om de inte stämmer.
Det är möjligt att redan nu gå in i https://metadata.swamid.se/admin och
genomföra den årliga kontrollen för dina registrerade entiteter genom att
leta upp respektive entitet, öppna detaljvyn och klicka på knappen "Annual
Confirmation".
This message is also available in English at Annual check of metadata for
Identity Providers and Service Providers registered in SWAMID
(wiki.sunet.se)
<https://wiki.sunet.se/pages/viewpage.action?pageId=166330425&showLanguage=e…>
.
SWAMID Operations
Pål Axelsson
FYI
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Windows Jetty packages updated to 10.0.18/11.0.18
> Date: 3 November 2023 at 14:25:02 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> We have released updated installers for Windows to upgrade Jetty to address a possible memory leak they fixed in the newest versions.
>
> The standalone installer for Jetty 11.0.18 for use with IdP V5 is at [1] and the legacy combined installer for Jetty 10.0.18 with IdP V4 (4.3.1.4) is at [2].
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/jetty-windows/
> [2] http://shibboleth.net/downloads/identity-provider/latest4/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej alla!
Vilka har distansstudenter med interimpersonnummer (T-nummer motsv.
eller annat låtsaspersonnummer) som måste upp på AL2?
Hur många distansstudenter med interimpersonnummer tror ni att ni har?
Känns som vi borde samarbeta på något sätt?
MVH
- Simon
Goddagens.
Ser på metadata.swamid.se att metadata för https://www.start.ladok.se/gui-sp ändrades idag.
Från idp-process.log:
SPSSODescriptor for entity ID 'https://www.start.ladok.se/gui-sp' indicates AuthnRequests must be signed, but inbound message was not signed
Mvh,
/dempa
--
Dennis Sjögren
Systemutvecklare / Arkitekt
Avdelningen för IT och Digital Infrastruktur
Högskolan Dalarna
www.du.se<http://www.du.se> | +46 23 778000
Hej,
Vi i SWAMID Operations vill påminna om att av säkerhetsskäl, och enligt
regelverket i SWAMIDs SAML teknologiprofil, måste man alltid köra av
leverantören underhållen programvara.
Under förra veckan gjorde vi en uppföljning på vilka versioner av olika
programvaror som används och nedan ser ni resultatet. EOL står för
end-of-life vilket även betyder att de inte längre får användas inom SWAMID.
Följande versioner av Shibboelth IdP har vi identifierat under den senaste
tiden:
- 3.2.1 (EOL Nov 2016)
- 3.4.4 (EOL Sept 2019)
- 3.4.6 (EOL Jan 2021)
- 4.1.0 (EOL May 2021)
- 4.1.2 (EOL Jul 2021)
- 4.1.4 (EOL Jan 2022)
- 4.1.5 (EOL Mar 2022)
- 4.1.7 (EOL datum okänt)
- 4.2.1 (Vanligast, EOL Jan 2023)
- 4.3.0 (Mar 2023)
- 4.3.1 (senaste IdP v4)
Vi rekommenderar alla med IdP v4 att uppdatera till 4.3.1. Vänta med att
uppgradera till Shibboleth IdP v5 till SWAMIDs workshops i början på nästa
år. Om man idag kör IdP v3 behöver man särskilt planera och extra noga
testa övergången eftersom mellan huvudversioner sker många grundläggande
konfigurationsändringar.
Följande versioner av Shibboelth SP har vi identifierat under den senaste
tiden:
- 2.4.2 (EOL Jul 2011)
- 2.4.3 (EOL Nov 2012)
- 2.5.2 (EOL Dec 2013)
- 2.5.3 (EOL Mar 2015)
- 2.5.4 (EOL Jul 2015)
- 2.5.5 (EOL Feb 2016)
- 2.5.6 (EOL Jun 2016)
- 2.6.0 (EOL Nov 2017)
- 2.6.1 (EOL Jul 2018)
- 3.0.1 (EOL Aug 2018)
- 3.0.2 (EOL Dec 2018)
- 3.0.3 (EOL Mar 2019)
- 3.0.4 (EOL Apr 2020)
- 3.1.0 (EOL Dec 2020)
- 3.2.0 (EOL Mar 2020)
- 3.2.1 (EOL Apr 2021)
- 3.2.2 (EOL Jul 2021)
- 3.2.3 (EOL Dec 2021)
- 3.3.0 (EOL Nov 2022)
- 3.4.0 (EOL Jan 2023)
- 3.4.1 (senast SP v3)
Vi rekommenderar alla att köra senaste versionen av Shibboleth SP. Om man
idag kör SP v2 behöver man särskilt planera och extra noga testa övergången
eftersom mellan huvudversioner sker många grundläggande
konfigurationsändringar.
När det gäller ADFS Toolkit ser vi att det är en instans som inte
uppdaterat till version av toolkitet. Observera att det finns
konfigurationsändringar mellan tidigare versioner och den senaste.
De som inte uppdaterar sina installationer kommer framöver bli avstängda
från SWAMID men innan dess kommer vi att ta kontakt med var och en av er.
Det vore bra om ni så snart som möjligt började arbeta med uppdateringen.
Pål
