Hej!
Jag har lyssnat på SWAMIDS genomgångar gällande skiftet från Shibboleth IdP
v4 till v5 och har lite frågor kring rekommendationen att uppgradera hellre
än att installera nytt. Jag hoppas att det är ok att ställa frågan såhär
direkt för jag kommer inte ha möjlighet att vara med på torsdagens pass
heller.
Min grundfråga handlar om vad det är som man riskerar att missa (eller få
för problem) om man gör en nyinstallation? Anledningen till frågan är att vi
kommer att behöva byta installationskonfiguration till att låta Shibboleth
IdP:n bli en SP-proxy mot EntraID istället för att låta inloggningarna ske
direkt mot vårt AD, och det innebär att den mesta konfigurationen som vi har
lokalt (och har byggt på oss historiskt) kommer att vara överflödig eller
utdaterad. Med anledning av det skulle det troligen vara enklare att börja
från scratch och då med v5 direkt tänker vi.
Det jag kommer på som borde vara nödvändigt för oss att få med är secret key
management, certifikat samt olika saltningar i IdP-konfigurationsfiler så
att vi behåller samma beräknade persistentId:s för användare.
Stämmer detta? Har jag missat något gällande vad vi skulle behöva få med oss
till en nyinstallation? Eller skulle rekommendationen att uppgradera väga
tungt även i vårt scenario?
Jag kan passa på att nämna att vi kör vår IdP i Windowsmiljö.
Med vänlig hälsning
/Johan
_________________________________________
Johan Hjortskull
Systemarkitekt
Linnéuniversitetet
IT-avdelningen
391 82 Kalmar / 351 95 Växjö
0772-28 80 00 Växel
0470-70 81 61 Direkt
070-256 21 79 Mobil
johan.hjortskull(a)lnu.se
Lnu.se
Vi sätter kunskap i rörelse för en hållbar samhällsutveckling.
Linnéuniversitetet ett modernt, internationellt universitet i Småland.
Vi behandlar personuppgifter enligt reglerna i Dataskyddsförordningen, se
<https://lnu.se/mot-linneuniversitetet/kontakta-och-besoka/personuppgifter/>
Lnu.se/personuppgifter.
Hej Michael (cc list)
Angående diskussioner i gårdagens Shibboleth möte....
Jag har installerat en Windows 2022 server med Coretto 17 och Visual
C++ 2015-2022.
Jag installerade en ny Shibboleth IdP 5.1.2 och sedan jetty-base
11.0.18. Jag valde att inte köra med inbyggt konto.
Den gick att installera jetty-base utan problem och Jetty startade
korrekt.
Det hjälper nog inte dig så mycket, men det är inte ett generellt fel i
alla fall.
En skillnad är att min IdP är en nyinstallation eftersom jag hade inget
tidigare. Det gjorde mig att tänka - har du en tidigare jetty-base mapp
under shibboleth-idp mappen när du kör jetty-base installern? Har du
prövat flytta bort den?
Vänliga hälsningar / Best regards
Paul Scott
Systemutvecklare | Systems developer
KARLSTADS UNIVERSITET | KARLSTAD UNIVERSITY
SE-651 88 Karlstad Sweden
Phone: +46 54 700 23 07
Mobile: +46 54 70 191 42 83
www.kau.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
Hej!
Kommer i bilagan. Kör Ubuntu 22.04.4 LTS (Jammy Jellyfish). Vissa grejer
är väl specifikt för vår installation.
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Jag tycker att jag följt Scotts guide ( https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1469908146/Example+4.… ) men jag har uppenbarligen missat något för jag får fortfarande varningar för auto-wired entries.
Finns det något sätt att se vilka filer den syftar på här? Eller kan man söka på de operators den klagar på? Grepa på 'exact', 'minimum', 'better' och 'maximum' gav inget.
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthenticationMethodPrincipal' and operator 'exact'||
2024-04-30 10:21:14,444 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'exact'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'minimum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'maximum'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextClassRefPrincipal' and operator 'better'||
2024-04-30 10:21:14,445 - INFO [net.shibboleth.idp.authn.principal.PrincipalEvalPredicateFactoryRegistry:102] - Replacing auto-wired entry for principal type 'net.shibboleth.idp.saml.authn.principal.AuthnContextDeclRefPrincipal' and operator 'better'||
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej.
Har idag lagt ut en uppdaterad metadata.swamid.se <http://metadata.swamid.se/>
Största förändringen är att den börjar flagga upp SAML1.
I Draft läget finns det även en knapp som raderar all SAM1 om det finns några error / warnings kring detta.
Varningar kommer att börja dyka upp så snart metadatan är validerad. Görs vid uppdateringar och var 14 dag för oförändrade entiteter.
// Björn M
Hej!
Jag har uppgraderat till jetty 11 + idpshibboleth 5.1.2 men får följande
felmeddelande:
org.springframework.beans.factory.CannotLoadBeanClassException: Error
loading class
[net.shibboleth.plugin.storage.jdbc.impl.JDBCStorageService] for bean
with name 'JDBCStorageService' defined in file
[/opt/shibboleth-idp/conf/global.xml]: problem with class file or
dependent class
.
.
Caused by: java.lang.NoClassDefFoundError:
org/opensaml/storage/StorageCapabilitiesEx
.
.
Med jetty 10 + idpshibboleth 4.3.3 fungerar det bra. Är det någon
jar-fil jag saknar som krävs i jetty 11 nu?
/MVH Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Hej!
Det är alltså dessa varningar om SAML2NameID man skall ignorera?:
2024-04-18 12:17:26,894 - WARN [DEPRECATED:128] - xsi:type
'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]):
This will be removed in the next major version of this software;
replacement is (none)
/Mats
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email: matsl(a)irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa
Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är det dags att uppgradera till en nyare huvudversion eftersom den tidigare huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl alltid viktigt att endast använda aktuella och underhållna versioner av programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För er som använder Shibboleth Identity Provider finns det två sätt att hantera att näst senaste huvudversion blir End-of-Life, antingen genom att uppgradera till version 5, att byta till annan programvara än Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>, eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut senast under november 2024 och genomför helst arbetet i god tid. Vi uppmanar er därför att aktivt delta på webinar och diskussionsmöten under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än uppgradering inom samma huvudversion och det är därför särskilt viktigt att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er information om hur ni både förbereder och genomför uppgraderingen på ett bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för användarkonton och ett administrativt gränssnitt för att koppla dessa till organisationen.
SWAMID finns som stöd i uppdateringen
För att underlätta arbetet med att uppdatera från äldre versioner kommer SWAMID Operations att genomföra två olika arrangemang, dels ett inledande webinar som beskriver uppdateringsprocessen och därefter öppna mötestillfällen varannan vecka under våren där vi hjälper varandra i uppdateringsprocessen. Detta betyder att vi inte kommer att ha något hackaton där alla gör jobbet på plats. Orsaken till detta är att vi alla har olika förutsättningar och är på olika plats i uppgraderingsprocessen redan nu.
Webinar om uppgradering till Shibboleth IdP v5<https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering…>
Syfte
Shibboleth Identity Provider version 4.3.1 går End-of-Life i början av september i år. För att uppgraderingsprocessen ska gå så smidigt som möjligt bjuder SWAMID Operations in till ett webinar där vi beskriver de olika stegen samt vad man behöver tänka på.
Målgrupp
Detta webinar vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgraderingen, vid SWAMIDs medlemsorganisationer.
Datum & tid
10.00 – 11.00 torsdagen den 11 april, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Talare
Paul Scott
Öppna diskussionsmöten om frågor som dyker upp på vägen<https://wiki.sunet.se/pages/viewpage.action?pageId=185139336>
Syfte
Som uppföljning till webinariet om uppgradering av Shibboleth Shibboleth Identity Provider version 4.3.1 bjuder SWAMID Operations till ett antal öppna möten där det är möjligt att få hjälp av SWAMID Operations och andra som genomför uppgraderingen.
Målgrupp
Dessa öppna möten vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgradering, vid SWAMIDs medlemsorganisationer.
Datum & tid
9.00 – 10.00 torsdagarna den 18 april, 2 maj, 16 maj, 30 maj och 13 juni, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Vad händer om vi inte uppgraderar i tid?
I SWAMID teknologiprofil för SAML2 WebSSO<https://wiki.sunet.se/display/SWAMID/SAML+WebSSO+Technology+Profile> under avsnitt 5.4 finns kraven på den federativa programvaran för identitetsutfärdare beskriven och krav 5.4.11 definierar att medlemsorganisationer ej får använda programvara som inte längre underhålls eller innehåller kända säkerhetsproblem. Detta innebär att alla som idag använder Shibboleth IdP version 4 eller tidigare måste uppdatera innan 1 september 2024. Om inte uppdatering genomförs i god ordning kommer SWAMID Operations att föreslå SWAMID Board of Trustees att fatta beslut om att organisationens identitetsutfärdare avregistreras från SWAMID 2024-12-01. Detta kommer innebära, efter beslut har fattats, att organisationens användare inte kommer att kunna logga in i tjänster anslutna till SWAMID förrän uppgraderingen är gjord. Denna process beskrivs kortfattat i SWAMIDs policy<https://wiki.sunet.se/display/SWAMID/SWAMID+Policy#SWAMIDPolicy-SWAMIDFeder…> under avsnitt 6.3.
Viktigt om uppdateringsprocessen
Om ni inte redan använder Shibboleth 4.3.1 uppdatera till denna version! Detta för att både få rätt konfiguration och rätt varningsmeddelanden i loggar. Samma metod för uppdatering ska användas som nedan. Observera att varningsmeddelandet om stödet för eduPersonTargetId är felaktigt skrivet och är i avvecklat i version 5.
Shibboleth Consortium beskriver i release-notes för IdP v5, ReleaseNotes - Identity Provider 5<https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseN…>, att befintliga konfigurationsfiler bara kan användas om uppgraderingen görs i befintlig installation. Följ anvisningarna och installera inte den nya versionen separat för att därefter försöka använda de gamla konfigurationsfilerna. IdP:n behöver istället uppgraderas "på plats" genom att använda en installationskatalog som innehåller en kopia av en tidigare fungerande konfiguration av V4.3.1.
Vidare skriver de att plugins behöver uppdateras innan själva IdP:n uppgraderas och att plugins också ska uppdateras efteråt. Detta eftersom stora interna förändringar skett mellan v4 och v5. Uppgradera och testa alla plugins innan IdP-uppgraderingen påbörjas, och uppdatera åter alla plugins efter IdP-uppgraderingen slutförts, innan IdP:n startas. Installationsprogrammet varnar om detta och rapporterar vilka plugins som behöver en uppdatering.
SWAMID Operations
Pål Axelsson och Paul Scott
FYI
--
jocar
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.1.2 and V4.3.3 now available
> Date: 15 April 2024 at 19:36:20 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released patch updates to the V5 and V4 IdP software [1] to address a re-issued Spring advisory..
>
> The original March advisory from us has been updated [2] and will be resent to the announce list shortly, and clarifies the IdP versions that address the issue (to our knowledge at least).
>
> We will be taking steps in the future to address the specific dependency on Spring in this scenario in case they continue to discover more problems with it.
>
> -- Scott
>
> [1] http://shibboleth.net/downloads/identity-provider/
> [2] https://shibboleth.net/community/advisories/secadv_20240320.txt
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej igen,
Shibboleth har också släppt en ny version av autentiseringsmodulen till
Shibboleth IdP som gör att det går att använda en OIDC Provider som
inloggningstjänst istället för de inbyggda möjligheterna i Shibboleth IdP.
Det gör att du t.ex. kan använda Entra ID för inloggning i er Shibboleth
IdP.
Pål
*From:* announce <announce-bounces(a)shibboleth.net> *On Behalf Of *Philip
Smart via announce
*Sent:* Thursday, April 11, 2024 3:04 PM
*To:* announce(a)shibboleth.net
*Cc:* Philip Smart <Philip.Smart(a)jisc.ac.uk>
*Subject:* OIDC Relying Party Authentication Proxy Plugin v2.1.0 Now
Available
The Shibboleth Project has released V2.1.0 of the OIDC Relying Party (RP)
authentication plugin (see the documentation at [1] and the release notes
at [2]).
In addition to internal plugin cleanup, this release adds PKCE support,
support for the ‘display’ authentication request parameter, and allows the
injection of a custom strategy for adding arbitrary claims to the request
object.
-- Phil Smart, on behalf of the team
[1]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3013804089/OI…
[2]
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OI…
Jisc is a registered charity (number 1149740) and a company limited by
guarantee which is registered in England under company number. 05747339,
VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane,
Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company
limited by guarantee which is registered in England under company number
02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company
limited by shares which is registered in England under company number
09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall
Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here:
https://www.jisc.ac.uk/website/privacy-notice