Hej
På dagens möte tog jag upp ett problem med inloggning till SDN som jag efter dagens session fick tillräckligt med info om för att kunna felsöka.
Det visade sig att jag hade <eduPersonPrincipalNameRessignable>true</eduPersonPrincipalNameRessignable> i config.SWAMID.xml vilket i vårt fall är fel då vi inte återanvänder samAccountName som vi använder för att bygga ePPN. När jag ändrat till <eduPersonPrincipalNameRessignable>false</eduPersonPrincipalNameRessignable> och importerat på nytt med
Import-AdfsTkMetadata -EntityId https://sp.snd.gu.se/module.php/saml/sp/metadata.php/default-sp -ConfigFile C:\ADFSToolkit\config\institution\config.swamid.xml -ForceUpdate
Så fungerar det som det skall. Vår ADFS släpper nameid-format:transient som den skall. (måste dock erkänna att jag inte riktigt förstår sambandet 😉 )
Mvh
Anders Persson
Systemarkitekt
Ekonomi och verksamhetsstöd - EoV
IT
D: +46 10 516 56 48 | V: +46 10 516 50 00
anders.persson(a)ri.se<mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se<http://ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
Hej,
Ni som använder Shibboleth, antingen som IdP, SP eller bägge, får gärna
svara på denna enkät. Det är ett sätt för Shibboleth konsortiet att få
reda på mer om hur de ska jobba vidare med produkterna.
Pål
> -----Original Message-----
> From: members <members-bounces(a)shibboleth.net> On Behalf Of Cantor,
> Scott
> Sent: Wednesday, January 11, 2023 6:12 PM
> To: Shibboleth Consortium Members <members(a)shibboleth.net>
> Subject: Shibboleth Consortium Survey
>
> Hi,
>
> The Consortium Board asked me to circulate this to the membership, and
I'll
> be sending this to users afterward to cast a wider net.
>
> The Consortium has put together a survey to gather feedback about
current
> and future state of the project and the consortium, and we're hoping to
get
> as much feedback as we can, so your help is appreciated.
>
> In the case of NRENs, circulating this to your own membership would be
> welcome and appreciated.
>
> https://online1.snapsurveys.com/shibboleth
>
> Thanks.
> -- Scott
>
>
> _______________________________________________
> members mailing list
> members(a)shibboleth.net
> https://shibboleth.net/mailman/listinfo/members
FYI
Happy upgrading!
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V4.3.0 now available
> Date: 18 January 2023 at 17:48:34 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project is pleased to announce that the latest upgrade to the IdP is now available [1]. Please review the Release Notes for any pertinent information. [2]
>
> This is a minor release that is fully compatible with previous V4 releases, but does include some additional deprecation warnings in advance of the release of V5, which will be removing a number of features and APIs.
>
> One particular change can result in a number of warnings, particularly when using older versions of some plugins, so those plugins have been adjusted to report themselves incompatible with V4.3, and we have altered the documentation to suggest that people upgrade any plugins first, prior to applying this upgrade, to limit the noise encountered.
>
> We expect this to be the final release of the V4 branch, barring security issues, with all further work shifting to V5.
>
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
För kännedom för er som har tjänster med användare från Ryssland kommer de
två ryska identitetsfederationerna uteslutas från eduGAIN nu på fredag.
Ryska användare som har loggat in via dessa ska inte heller kunna logga in
via SWAMID. Hänvisa inte dessa användare till eduID för att komma runt
sanktionskraven.
"Today the eduGAIN Secretariat informed RUNNET AAI and FEDURUS of a
decision made by the eduGAIN Executive Committee[1].
Due the requirements set out in Article 5l1 of COUNCIL REGULATION (EU)
2022/576 [2], the Committee has decided to remove RUNNET AAI and FEDURUS
memberships from eduGAIN as this is deemed to be direct support of
organisations within Russia to whom sanctions apply. The metadata of both
federations will be removed from the eduGAIN aggregation at 17:00
CET on Friday 20th January 2023.
The representatives of both federations have already been removed from the
edugain-sg mailing list.
[1] As eduGAIN is currently funded by the GÉANT project, the eduGAIN
Executive Committee is the GÉANT Board.
[2]
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R0576&fr…
"
Pål
SWAMID Hackaton 26 januari - Konfigurera de nya entitetskategorierna i ADFS
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+26+januari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i ADFS för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName. Senaste versionen av ADFS
Toolkit behövs för att de nya entitetskategorierna och attributen ska
fungera. Vid behov ingår också uppgraderingsstöd under hackatonet.
*Målgrupp*
Detta hackaton riktar sig till er som har en ADFS identitetutgivare (IdP)
registrerade i SWAMID.
*Datum & tid*
Torsdagen den 26 januari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/65070997766?pwd=WDhUOEdZL1A5YnJIKzFxZW5ZQ2xxUT09
*Handledare*
Johan Peterson och Tommy Larsson
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
SWAMID Hackaton 1 februari - Konfigurera de nya entitetskategorierna i
Shibboleth IdP
https://wiki.sunet.se/display/SWAMID/SWAMID+Hackaton+1+februari+-+Konfigure…
SWAMID Hackaton är en nygammal form av möte för att hjälpa varandra att
sätta upp och konfigurera användningen av SWAMID. När SWAMID startade 2007
genomfördes under flera år heldagars hackaton. Syftet med ett hackaton är
att man går från mötet med en klar implementation.
*Syfte*
SWAMID är en infrastruktur för att möjliggöra att användare kan använda
inloggningen i sin egen organisation för att logga in i webbaserade
tjänster i sin egen och i andra organisationer. För att detta ska fungera
måste organisationens identitetsutgivare skicka attribut, dvs. information
om användaren, till tjänsten.
Inom SWAMID har vi länge använt en metod som kallas entitetskategorier och
nu inför vi stöd för nya GDPR-vänligare kategorier. SWAMID inför stöd för
REFEDS nya entitetskategorier Personalized Access Entity Category,
Pseudonymous Access Entity Category, Anonymous Access Entity Category och
Data Protection Code of Conduct. Dessa ersätter SWAMIDs gamla
entitetskategorier SWAMID Research and Education och SFS 1993:1153 som inte
längre fungerar efter den 28 februari.
På detta hackaton konfigurerar vi tillsammans stöd i Shibboleth IdP för
entitetskategorierna samt de nya identitetsattributen pairwise-id och
subject-id som i de nya entitetskategorierna ersätter attributen
eduPersonTargetedId resp. eduPersonPrincipalName.
*Målgrupp*
Detta hackaton riktar sig till er som har en Shibboleth identitetutgivare
(IdP) registrerade i SWAMID.
*Datum & tid*
Onsdagen den 1 februari kl. 10:00-12:00
*Plats*
Zoom,
https://sunet.zoom.us/j/66959995672?pwd=SEhDVUtHNnBzTEhJYXlRNnBtU3JkUT09
*Handledare*
Paul Scott, Björn Mattsson och Johan Wassberg
*Material*
Eventuellt material publiceras efter mötet
Välkomna
Pål
God fortsättning!
För kännedom, se nedan.
--
jocar
> A patch release of the Service Provider, V3.4.1, is now available [1][2]. This release fixes a couple of small bugs and adds a warning requested by one of our member organizations in the absence of the redirectLimit setting, which leads to SPs being abused as open redirectors.
>
> Notably, this release includes an update to the xmltooling library that hardens the code base against the sorts of attacks reported against the IdP in the recent advisory. The SP is, as far as can be determined, not impacted directly by that vulnerability, but this is a precautionary change.
>
> The Windows update also includes a change to restrict the ACLs on the /opt/shibboleth-sp directory when the default installation path is used, to limit some privilege escalation attacks due to overly permissive ACLs.
>
> The documentation has been updated to reflect this change [3], but we continue to observe that ultimately the responsibility for securing the file system lies with the deployer. We also urge caution and testing for those using IIS since the changes to the ACLs could prevent unusual IIS configurations from functioning without adjusting those ACLs.
>
> Packages have been pushed to at least a couple of the mirrors, but as has been typical, I'm not able to update all of them due to firewall changes, which I will follow up on.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/service-provider/latest/
> [2] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335693
> [3] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335545
Hej,
Kan lägga till svar från KTH här: även vi får in ärenden från slutanvändare som har problem med inloggning med ORCID via institutional-login. Vi har också själva kontaktat ORCID, men de verkar inte ta tag i problemet. Vore bra om SUNET kan kontakta dem igen och stöta på lite så att de förstår att det orsakar problematik för många användare.
/Rosa
Hej,
2022 har varit ett mycket arbetsintensivt år för oss som jobbar med policy
och infrastruktur runt SWAMID men även för er alla som har
identitetsutfärdare och tjänster registrerade i SWAMID. Med detta brev vill
jag tacka er alla för året som gått och allt det arbete ni har lagt ner
under både 2022 och de 15 år som SWAMID funnits.
Under perioden 2019 till 2021 genomförde SWAMID en omfattande uppdatering
och förtydligande av SWAMIDs policyramverk vilket gör att vi står på en
stabil bas inför framtiden. Den sista delen av policyn som uppdaterades
under 2021 var SWAMID SAMLS WebSSO Technology Profile och under 2022 har
den nya versionen införts. Införandet har inneburit mycket jobb för oss
alla men nu är metadata i SWAMID mycket mer korrekt och komplett. För att
allt detta arbete skulle vara möjligt tog SWAMID Operations fram ett helt
nytt metadataverktyg (https://metadata.swamid.se) som driftsattes i januari
och har förbättrats under året. Detta verktyg kommer att fortsättas att
utvecklas och vi är alltid intresserad av både buggrapporter och förslag på
förbättringar. I mitten av januari 2023 avslutas metadataöversynen och de
registrerade tjänster som då ännu inte har åtgärdat kvarvarande brister
kommer då att avregistreras.
För inloggning i tjänster ska fungera måste identitetsutfärdarna skicka
person- och organisationsuppgifter till tjänsterna i samband med
inloggning. Inom SWAMID kallar vi detta attributöverföring och för att
underlätta denna på ett GDPR-vänligare sätt används något som kallas
entitetskategorier. Entitetskategorier är en markering i metadata med
kringliggande regelverk som dels definierar vilka tjänster som har rätt
under vissa villkor att använda den specifika entitetskategorin och dels
vilka attribut som ska överföras. Under 2022 avvecklades SWAMID:s tio år
gamla entitetskategorier till fördel för en uppsättning internationellt
överenskomna entitetskategorier. Jag vill särskilt tacka alla
administratörer av identitetsutfärdare som har jobbat med att under de
senast tre månaderna införa stöd för fyra nya entitetskategorier som har
som mål att inte leverera mer person- och organisationsuppgifter till
tjänsten än vad den behöver för att användaren ska kunna använda den, dvs.
dataminimaliserande och integritetsbevarande attributöverföring. Samtidigt
har vi höjt tilltron till federativ inloggning eftersom Ladok men även
forskartjänster har börjat kräva att tillitsnivå, dvs. hur väl man vet att
det är rätt användare, signaleras till tjänsten vid inloggning. Alla
identitetsutfärdare har ännu inte genomfört dessa förändringar runt
attributöverföring men vi hoppas att så många som möjligt gör det så snart
som möjligt så att alla anställda och studenter kan logga in i de tjänster
de behöver för att genomföra sitt arbete resp. studier. För att testa och
verifiera attributöverföringen med hjälp av entitetskategorier har SWAMID
verktyget SWAMID Best Practice Attribute Release check (
https://release-check.swamid.se/)
Detta om 2022, vad kommer att hända under 2023? Under 2023 kommer SWAMID
inte att införa några nya krav eller regler utan att fortsätta stödja
införandet av de nya entitetskategorierna och jobba med inte tvingande
förändringar för att förbättra användningen av SWAMID. Vi vet att vissa
tjänster forskartjänster kommer under året införa krav på
multifaktorinloggning och därför kommer vi under våren att anordna
traditionella fysiska workshops eller hackatons runt installation och
konfiguration av multifaktorinloggning i identitetsutfärdare. Avsikten med
dessa workshops är att hjälpa alla organisationer som vill kunna erbjuda
multifaktorinloggning med hur man konfigurerar sin identitetsutfärdare.
Vidare kommer vi att fortsätta att modernisera SWAMIDs infrastruktur genom
att bland annat erbjuda nya förbättrade modeller för att hämta metadata.
Nuvarande modell för att hämta metadata kommer att finnas kvar så att denna
förändring inte är tvingande utan bara förbättrande.
Den tekniska miljön runt federativ inloggning håller på att förändras och
SWAMID Operations bevakar detta aktivt. Dels har det kommit nya federativa
tekniker såsom OpenID Connect Federation och digitala identitetsplånböcker,
dels håller leverantörerna av webbläsare på att göra dem mer
integritetsbevarande. Bägge dessa förändringar kommer att ge effekter på
sikt och vi jobbar aktivt med att se var vi är på väg och vad vi behöver
göra för att federativ inloggning kommer att fortsätta att fungera. Vi
återkommer med mer information under årets gång.
Med vänliga hälsningar
SWAMID Operations genom
Pål Axelsson
Hej,
2022 har varit ett mycket arbetsintensivt år för oss som jobbar med policy
och infrastruktur runt SWAMID men även för er alla som har
identitetsutfärdare och tjänster registrerade i SWAMID. Med detta brev vill
jag tacka er alla för året som gått och allt det arbete ni har lagt ner
under både 2022 och de 15 år som SWAMID funnits.
Under perioden 2019 till 2021 genomförde SWAMID en omfattande uppdatering
och förtydligande av SWAMIDs policyramverk vilket gör att vi står på en
stabil bas inför framtiden. Den sista delen av policyn som uppdaterades
under 2021 var SWAMID SAMLS WebSSO Technology Profile och under 2022 har
den nya versionen införts. Införandet har inneburit mycket jobb för oss
alla men nu är metadata i SWAMID mycket mer korrekt och komplett. För att
allt detta arbete skulle vara möjligt tog SWAMID Operations fram ett helt
nytt metadataverktyg (https://metadata.swamid.se) som driftsattes i januari
och har förbättrats under året. Detta verktyg kommer att fortsättas att
utvecklas och vi är alltid intresserad av både buggrapporter och förslag på
förbättringar. I mitten av januari 2023 avslutas metadataöversynen och de
registrerade tjänster som då ännu inte har åtgärdat kvarvarande brister
kommer då att avregistreras.
För inloggning i tjänster ska fungera måste identitetsutfärdarna skicka
person- och organisationsuppgifter till tjänsterna i samband med
inloggning. Inom SWAMID kallar vi detta attributöverföring och för att
underlätta denna på ett GDPR-vänligare sätt används något som kallas
entitetskategorier. Entitetskategorier är en markering i metadata med
kringliggande regelverk som dels definierar vilka tjänster som har rätt
under vissa villkor att använda den specifika entitetskategorin och dels
vilka attribut som ska överföras. Under 2022 avvecklades SWAMID:s tio år
gamla entitetskategorier till fördel för en uppsättning internationellt
överenskomna entitetskategorier. Jag vill särskilt tacka alla
administratörer av identitetsutfärdare som har jobbat med att under de
senast tre månaderna införa stöd för fyra nya entitetskategorier som har
som mål att inte leverera mer person- och organisationsuppgifter till
tjänsten än vad den behöver för att användaren ska kunna använda den, dvs.
dataminimaliserande och integritetsbevarande attributöverföring. Samtidigt
har vi höjt tilltron till federativ inloggning eftersom Ladok men även
forskartjänster har börjat kräva att tillitsnivå, dvs. hur väl man vet att
det är rätt användare, signaleras till tjänsten vid inloggning. Alla
identitetsutfärdare har ännu inte genomfört dessa förändringar runt
attributöverföring men vi hoppas att så många som möjligt gör det så snart
som möjligt så att alla anställda och studenter kan logga in i de tjänster
de behöver för att genomföra sitt arbete resp. studier. För att testa och
verifiera attributöverföringen med hjälp av entitetskategorier har SWAMID
verktyget SWAMID Best Practice Attribute Release check (
https://release-check.swamid.se/)
Detta om 2022, vad kommer att hända under 2023? Under 2023 kommer SWAMID
inte att införa några nya krav eller regler utan att fortsätta stödja
införandet av de nya entitetskategorierna och jobba med inte tvingande
förändringar för att förbättra användningen av SWAMID. Vi vet att vissa
tjänster forskartjänster kommer under året införa krav på
multifaktorinloggning och därför kommer vi under våren att anordna
traditionella fysiska workshops eller hackatons runt installation och
konfiguration av multifaktorinloggning i identitetsutfärdare. Avsikten med
dessa workshops är att hjälpa alla organisationer som vill kunna erbjuda
multifaktorinloggning med hur man konfigurerar sin identitetsutfärdare.
Vidare kommer vi att fortsätta att modernisera SWAMIDs infrastruktur genom
att bland annat erbjuda nya förbättrade modeller för att hämta metadata.
Nuvarande modell för att hämta metadata kommer att finnas kvar så att denna
förändring inte är tvingande utan bara förbättrande.
Den tekniska miljön runt federativ inloggning håller på att förändras och
SWAMID Operations bevakar detta aktivt. Dels har det kommit nya federativa
tekniker såsom OpenID Connect Federation och digitala identitetsplånböcker,
dels håller leverantörerna av webbläsare på att göra dem mer
integritetsbevarande. Bägge dessa förändringar kommer att ge effekter på
sikt och vi jobbar aktivt med att se var vi är på väg och vad vi behöver
göra för att federativ inloggning kommer att fortsätta att fungera. Vi
återkommer med mer information under årets gång.
Med vänliga hälsningar
SWAMID Operations genom
Pål Axelsson