Nedan följer information som gått ut till Lokala kontaktpersoner för Ladok vid lärosätena. Detta kan vara bra för er andra att veta också!
Sammanfattning
Ladokkonsortiet planerar för att byta användaridentifierare i Ladok. Detta innebär att vissa lärosäten behöver göra anpassningar i sin inloggningstjänst (IdP) i SWAMID. För att tidsplanen för bytet ska vara genomförbar behöver anpassningarna vara slutförda senast 2024-11-30.
Bakgrund
Ladokkonsortiet arbetar med att införa kontokoppling i Ladok för studenter. Kontokoppling innebär att studenter ska ges möjlighet att koppla andra inloggningar än inloggningen från sitt svenska lärosäte till Ladok. Detta behov finns särskilt för internationella studenter som efter sina studier inte har kvar sin lärosätesinloggning i Ladok och inte heller är svenska medborgare. Därmed kan de inte logga in via svensk e-legitimation eller skapa ett eduID-konto bekräftat med ett svenskt personnummer. Planerade inloggningsmetoder för kontokoppling är:
* eIDAS, europeisk e-legitimation
* European Student Identifier (ESI), som är tillgänglig från lärosäten inom Europa som stödjer Erasmus Without Papers (EWP)
* subject-id, vilket är en användaridentifierare hos många andra lärosäten i Europa och i övriga världen
* eduID-konton utan svenskt personnummer men bekräftade via pass/nationellt id-kort
För att möjliggöra kontokoppling behöver den användaridentifierare som används i Ladok idag, ePPN (eduPersonPrincipalName), bytas ut. ePPN har använts inom identitetsfederationen SWAMID i många år och i SWAMID finns krav på att den identifieraren aldrig någonsin får återanvändas för en annan person. Detta krav gäller dock inte internationellt för ePPN, vilket innebär att användaridentifieraren för person A tillåts återanvändas för person B vid lärosätet. Därmed får person B tillgång till person A:s uppgifter och behörigheter i system som inte är medvetna om återanvändandet. För att lösa det detta har en ny användaridentifierare skapats, subject-id<https://wiki.sunet.se/display/SWAMID/subject-id+-+SAML2+General+Purpose+Sub…>, som redan från början har detta krav. Utöver det finns en ny "entitetskategori" för att standardisera överföring av subject-id inom SWAMID och eduGAIN, REFEDS Personalized Access Entity Category<https://wiki.sunet.se/display/SWAMID/4.1+Entity+Categories+for+Service+Prov…>.
Byte till subject-id som identifierare i Ladok minimerar också risken att personal som loggar in i Ladok för personal från ett lärosäte utanför Sverige har fått en användaridentifierare som är återanvänd.
Påverkade lärosäten
Dessa lärosäten uppfyller idag inte Ladoks krav på subject-id som användaridentifierare och har ett arbete att göra för att uppfylla dessa:
*
Enskilda Högskolan Stockholm
*
Försvarshögskolan
*
Gymnastik- och idrottshögskolan
*
Kungl. Konsthögskolan
*
Kungl. Musikhögskolan i Stockholm
*
Marie Cederschiöld högskola
*
Röda Korsets högskola
*
Sophiahemmet Högskola
*
Stockholms konstnärliga högskola
*
Sveriges lantbruksuniversitet
Dessa lärosäten uppfyller idag Ladoks krav men kan behöva anpassa eventuella integrationer mot Ladok inför byte av användaridentifierare:
* Karlstads universitet
* Lunds universitet
* Malmö Universitet
Tidsplan
Förhoppningen är att kunna leverera funktionalitet för kontokoppling under december 2024, vilket skulle möjliggöra för internationella studenter som lämnar sitt svenska lärosäte efter årsskiftet att utföra kontokoppling innan de lämnar. För att kunna införa kontokopplingen i Ladok för studenter måste samtliga lärosäten ha implementerat entitetskategorin Personalized senast 2024-11-30.
För mer information om status kring Personalized för respektive lärosäte, se Byte till subject-id<https://confluence.its.umu.se/confluence/display/ITL/Byte+till+subject-id> (kräver inloggning till Ladoks dokumentation, prata med er lokala kontaktperson för Ladok).
MVH
Fredrik Domeij, Ladoksupporten
----------------------------------
Ladok Operations
IT-stöd och systemutveckling (ITS)
Umeå universitet
901 87 Umeå
----------------------------------
Telefon: +46 (0)90 786 65 43
Mobil: +46 (0)70 303 78 36
----------------------------------
fredrik.domeij(a)umu.se
www.umu.se/it-stod-och-systemutveckling
Hej!
Idag har vi haft vårt sista möte (för tillfället) där vi diskuterade
uppgraderingsarbetet till Shibboleth IdP v5. Vi har haft många
intressanta diskussioner under de senaste veckorna!
Under semesterperioden kan ni använda denna lista för att ställa frågor
eller dela information som ni tror att andra kan dra nytta av.
Vi kommer att återuppta mötena i augusti. Mer information om detta
kommer närmare tiden.
Vänliga hälsningar,
Paul.
SWAMID operations.
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej,
Som flera av er tidigare hört är nu tjänsten e-legitimation som tjänst
tillgänglig för alla som är anslutna till Sunet. På Sunets wiki finns
information om tjänsten,
https://wiki.sunet.se/display/eLegitimationSomTjanst.
I månadsbrevet som i slutet på maj gick ut till de officiella
kontaktpersonerna för lärosätena och andra anslutna organisationer stod
följande.
"E-legitimation som tjänst
Nu kan Sunets anslutna organisationer använda Svensk e-legitimation mot
sina tjänster genom Sunets nya tjänst E-legitimation som tjänst.
Organisationer som är anslutna till Sunet kan beställa E-legitimation
som tjänst. Man behöver också ha ett avtal med en utfärdare av
e-legitimation. För frågor om avtal och uppstart kontakta
tjänsteförvaltare zacharias(a)sunet.se. Läs mer om tjänsten under
Tjänster/Identifiering på sunet.se. Mer detaljerad information om
tjänsten finns på wiki.sunet.se.
Vi välkomnar två lärosäten som nu börjat använda BankID som IdP genom
Sunet.
Har ni frågor, kontakta Zacharias Törnblom, zacharias(a)sunet.se."
Pål
Som uppföljning på min fråga idag på Zoom där jag fick följande fel i loggen
2024-05-23 20:21:16,133 - WARN [org.ldaptive.auth.Authenticator:509] - Entry resolution failed for resolver=[org.ldaptive.auth.SearchEntryResolver@464538039::factory=null, baseDn=, userFilter=null, userFilterParameters=null, allowMultipleEntries=false, subtreeSearch=false, derefAliases=NEVER, binaryAttributes=null, entryHandlers=null]|10.244.175.89|
org.ldaptive.LdapException: Error resolving entry for xgalto(a)gu.gu.se. Unsuccessful search response: org.ldaptive.SearchResponse@-924623128::messageID=2, controls=[], resultCode=INVALID_DN_SYNTAX, matchedDN=, diagnosticMessage=0000208F: NameErr: DSID-03100231, problem 2006 (BAD_NAME), data 8350, best match of:
'xgalto(a)gu.gu.se'
^@, referralURLs=[], entries=[], references=[]
at org.ldaptive.auth.AbstractSearchEntryResolver.resolve(AbstractSearchEntryResolver.java:297)
Vi har haft följande inställning
idp.authn.LDAP.authenticator= adAuthenticator
Och om man läser på https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuth…
"Configuration that leverages the AD specific @domain.com format. No DN search is performed since AD supports binding directly with that user name."
Vilket jag tycker borde funkat då vår domän är @gu.gu.se. Men jag ändrade inställningen till
idp.authn.LDAP.authenticator= bindSearchAuthenticator
Och hade idp.authn.LDAP.bindDN och idp.authn.LDAP.bindDNCredential konfigurerade sedan tidigare med ett servicekonto och nu är varningen borta!
Tack för hjälp med felsökningen!
Mvh Tobias
Hej!
Jag har lyssnat på SWAMIDS genomgångar gällande skiftet från Shibboleth IdP
v4 till v5 och har lite frågor kring rekommendationen att uppgradera hellre
än att installera nytt. Jag hoppas att det är ok att ställa frågan såhär
direkt för jag kommer inte ha möjlighet att vara med på torsdagens pass
heller.
Min grundfråga handlar om vad det är som man riskerar att missa (eller få
för problem) om man gör en nyinstallation? Anledningen till frågan är att vi
kommer att behöva byta installationskonfiguration till att låta Shibboleth
IdP:n bli en SP-proxy mot EntraID istället för att låta inloggningarna ske
direkt mot vårt AD, och det innebär att den mesta konfigurationen som vi har
lokalt (och har byggt på oss historiskt) kommer att vara överflödig eller
utdaterad. Med anledning av det skulle det troligen vara enklare att börja
från scratch och då med v5 direkt tänker vi.
Det jag kommer på som borde vara nödvändigt för oss att få med är secret key
management, certifikat samt olika saltningar i IdP-konfigurationsfiler så
att vi behåller samma beräknade persistentId:s för användare.
Stämmer detta? Har jag missat något gällande vad vi skulle behöva få med oss
till en nyinstallation? Eller skulle rekommendationen att uppgradera väga
tungt även i vårt scenario?
Jag kan passa på att nämna att vi kör vår IdP i Windowsmiljö.
Med vänlig hälsning
/Johan
_________________________________________
Johan Hjortskull
Systemarkitekt
Linnéuniversitetet
IT-avdelningen
391 82 Kalmar / 351 95 Växjö
0772-28 80 00 Växel
0470-70 81 61 Direkt
070-256 21 79 Mobil
johan.hjortskull(a)lnu.se
Lnu.se
Vi sätter kunskap i rörelse för en hållbar samhällsutveckling.
Linnéuniversitetet ett modernt, internationellt universitet i Småland.
Vi behandlar personuppgifter enligt reglerna i Dataskyddsförordningen, se
<https://lnu.se/mot-linneuniversitetet/kontakta-och-besoka/personuppgifter/>
Lnu.se/personuppgifter.
Hej Michael (cc list)
Angående diskussioner i gårdagens Shibboleth möte....
Jag har installerat en Windows 2022 server med Coretto 17 och Visual
C++ 2015-2022.
Jag installerade en ny Shibboleth IdP 5.1.2 och sedan jetty-base
11.0.18. Jag valde att inte köra med inbyggt konto.
Den gick att installera jetty-base utan problem och Jetty startade
korrekt.
Det hjälper nog inte dig så mycket, men det är inte ett generellt fel i
alla fall.
En skillnad är att min IdP är en nyinstallation eftersom jag hade inget
tidigare. Det gjorde mig att tänka - har du en tidigare jetty-base mapp
under shibboleth-idp mappen när du kör jetty-base installern? Har du
prövat flytta bort den?
Vänliga hälsningar / Best regards
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Phone: +46 54 700 23 07
Mobile: +46 54 70 191 42 83
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej!
Kommer i bilagan. Kör Ubuntu 22.04.4 LTS (Jammy Jellyfish). Vissa grejer
är väl specifikt för vår installation.
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Jag tycker att jag följt Scotts guide ( https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1469908146/Example+4.… ) men jag har uppenbarligen missat något för jag får fortfarande varningar för auto-wired entries.
Finns det något sätt att se vilka filer den syftar på här? Eller kan man söka på de operators den klagar på? Grepa på 'exact', 'minimum', 'better' och 'maximum' gav inget.
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthenticationMethodPrincipal' and operator 'exact'||
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'better'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'better'||
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
