Hej,
Välkomna tillbaka efter en välbehövlig vila över helgerna. Som jag skrev
i slutet på förra året nya versioner med mindre ändringar av
tillitsprofilerna beslutades av SWAMID Board of Trustees.
I tillitsprofilerna har det sedan de stora uppdateringarna 2020 funnits
beskrivet att alla organisationer med identitetsutgivare (IdP) måste
årligen validera att det som är beskrivet i organisationens Identity
Management Practice Statement (IMPS). På samma sätt som vi redan har
gjort för den tekniska metadatan kommer vi under första kvartalet i år
införa krav på att markera i metadataverktyget att valideringen har
genomförts. Om inte valideringen genomförs kommer det efter påminnelser
innebära organisationens identitetsutfärdare blir tillfälligt
avregistrerad tills valideringen är genomförd.
När ni går in på er IdP på https://metadata.swamid.se/admin/ och fäller
ut IMPS-fliken så ser ni aktuell status och det är även här ni validerar
att den fortfarande är korrekt. Om ni inte hittar den senaste versionen
av er IMPS så har vi en PDF-kopia i vårt arkiv.
Om det står att er IMPS godkändes av Board of Trustees ("Accepted by
Board of Trustees") före 2021-01-01 måste ni särskilt gå igenom och
kontrollera att alla avsnitt i aktuella tillitsprofiler är beskrivna, om
inte måste ni skicka in en uppdatering och få den godkänd. Det kommer
framöver inte gå att validera att IMPSen fortfarande gäller om den inte
är godkänd efter 2020-12-31. Detta för att säkerställa att alla
ändringar som genomfördes i den större uppdateringen 2020 av
tillitsprofilerna finns beskrivet i IMPSen.
För alla er som uppdaterat er IMPS efter 2020-12-31 rekommenderar vi att
ni uppdaterar er IMPS med de mindre förändringar som beslutades i slutet
på förra året vid nästa uppdatering. Vi kommer under 2026-27 kräva
uppdatering för dessa ändringar i era IMPSer.
Pål Axelsson
Hej,
God fortsättning på det nya året!
I slutet av 2024 släppte vi en ny version av ADFS Toolkit, v2.3.0.
Några nyheter i denna version är:
* Support för f-ticks (anonymiserad statistik över inloggningar som kan skickas till SWAMID och eduGAIN - https://f-ticks.edugain.org/)
* Support för egna Access Control Policies
* ADFS Toolkit Store korrigerar automatiskt otillåtna tecken i subject-id och ersätter dem med en URL-enkodad version
* Uppdateringen av ADFS Toolkit har förenklats genom att vi skapat en cmdlet för uppdatering: Update-ADFSTk
Som vanligt kan ni hitta och följa koden på github:
https://github.com/fedtools/adfstoolkit
Vi har också uppdaterat wikin med ny dokumentation:
https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…
Ta gärna en titt på den innan ni uppgraderar.
Som vanligt, har ni några frågor – hör av er till Operations!
Med vänlig hälsning
Johan Peterson och Tommy Larsson
SWAMID Operations
[Linköpings universitet]
Digitaliseringsavdelningen
DIG1️IT
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på: www.liu.se<http://www.liu.se/>
När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet behandlar dina personuppgifter. Läs mer om hur detta går till på https://liu.se/artikel/integritetspolicy-liu
God jul på er! 🎅🏻
Måste tyvärr meddela att Discovery-tjänsten för QA-miljön gick sönder i ett haveri hos vår driftleverantör. Ny fungerade DS kommer i början av nästa år.
--
jocar
SWAMID Operations
Hej,
Igår måndagen den 16 december hölls årets sista möte med SWAMID Board of
Trustees. Protokollet finns publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-12-16. De
uppdaterade tillitsprofilerna beslutades och kommer att gälla för all
granskning från och med nu och kravet på att mjukvarubaserad TOTP (6-8
siffror som byts ut en gång per minut) får inte längre användas utan
särskilt godkännande av SWAMID Board of Trustees från och med 2026.
Pål
Hej,
Nu har en plugin som jag väntat på något år på, en WebAuthn plugin till
Shibboleth IdP. Pluginen gör att det är mäjligt att använda fido2nycklar
tillsammans med Shibboleth. Det finns flera andra lösningar men denna
kommer från konsortiet.
Om det finns ett intresse att utforska denna för flera i SWAMID föreslår
jag en gemensam arbetsgrupp som tittar på denna plugin. Svara gärna på
detta brev om ni är intresserade.
Pål
---------- Forwarded message ---------
Från: Philip Smart via announce <announce(a)shibboleth.net>
Date: tors 5 dec. 2024 20:04
Subject: WebAuthn authentication plugin v1.0.0 now available
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
The Shibboleth Project is pleased to announce the first release of the
WebAuthn authentication plugin (see the documentation at [1])
The WebAuthn login flow facilitates FIDO2 authentication within the
Identity Provider (IdP) by utilizing the Web Authentication API. This
enables strong, public-key-based authentication. The plugin can operate in
various ways: as a single-factor within a broader multi-factor
authentication, as passwordless authentication after the user enters their
username, or as usernameless authentication where the user is implicitly
identified from the authentication credential they choose.
Thank you once again to everyone who provided feedback on the beta and
release candidates.
-- Phil Smart, on behalf of the team
[1]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3395321933/We…
Jisc is a registered charity (number 1149740) and a company limited by
guarantee which is registered in England under company number. 05747339,
VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane,
Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company
limited by guarantee which is registered in England under company number
02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company
limited by shares which is registered in England under company number
09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here:
https://www.jisc.ac.uk/website/privacy-notice
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Vi har precis konfigurerat Shibboleth som en SAML proxy så att inloggningarna sker i vår ADFS, men i vårt produktionssystem får jag lite fel i loggen som jag inte ser i testsystemet och jag lyckas inte lista ut vad jag gjort fel.
Inloggningarna fungerar, men Shibboleth verkar försöka få ut credentials via X509, vilket jag inte förstår.
Exempel ur loggfilen:
2024-12-12 09:33:30,367 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.367119537Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
2024-12-12 09:33:30,518 - INFO [org.opensaml.xmlsec.keyinfo.impl.provider.InlineX509DataProvider:130] - The X509Data contained no X509Certificate elements, skipping credential extraction|
2024-12-12 09:33:30,518 - WARN [org.opensaml.xmlsec.keyinfo.impl.BasicProviderKeyInfoCredentialResolver:291] - No credentials could be extracted from KeyInfo child with QName {http://www.w3.org/2000/09/xmldsig#}X509Data by any registered provider|
2024-12-12 09:33:30,522 - INFO [net.shibboleth.idp.saml.saml2.profile.impl.ValidateSAMLAuthentication:334] - Profile Action ValidateSAMLAuthentication: SAML authentication succeeded for 'null'|
2024-12-12 09:33:30,522 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.522471008Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
2024-12-12 09:33:30,523 - INFO [net.shibboleth.idp.authn.impl.FinalizeAuthentication:201] - Profile Action FinalizeAuthentication: Principal xgalto authenticated|
2024-12-12 09:33:30,625 - INFO [Shibboleth-Audit.SSO:333] - 2024-12-12T08:33:30.625529647Z|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re…
Någon som vet var i konfigurationen jag ska titta?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
I novembers nyhetsbrev från Sunet tackar jag alla med Shibboleth IdP för
arbetet ni har lagt ner. Jag vet att den sista organisationen går över
vilken dag som helst.
SWAMID
(https://wiki.sunet.se/display/info/Info-utskick+2024-11-27#Infoutskick20241…)
SWAMID vill tacka alla som under året har lagt ner jobb på att uppdatera
Shibboleth Identity Provider från version 4 till version 5. När detta
skrivs har alla organisationer utom en gjort uppgraderingen eller bytt
ut sin identitetsutgivare från Shibboleth Identity Provider till ADFS
med ADFS Toolkit.
Än en gång tack!
Pål
Hej
Fick precis reda på sårbarheten i Jetty 12.0.9 enligt https://gitlab.eclipse.org/security/cve-assignement/-/issues/25. Ska vara fixat i 12.0.12. Finns det några kända bekymmer som kan uppkomma i samband med den uppdateringen och hur ser SWAMID på frågan överlag?
Mvh Vyacheslav Lytvynenko
IT-Avdelningen
Högskolan i Skövde
