12:21 p.m.
Hej Eric,
Det här är ett intressant problem som vi behöver titta närmare på. Inom tjänsten eduID
Connect med integration mot Entra har vi det fungerande Authentication Context Class men
vi har nog inte testat just detta specialfall.
Det vi gör i eduID Connect är att vi skriver om Authentication Connext Class Request till
något som fungerar i Entra och samtidigt uppfyller kraven i tillitsprofilerna. På vägen
tillbaka gör vi motsvarande översättning. Vi har ju än så länge inte testat full
passwordless men borde kunna hantera det också.
Pål
From: Eric Johansson via Saml-admins <saml-admins(a)lists.sunet.se>
Sent: Thursday, April 23, 2026 8:21 PM
To: Eric Johansson <eric.johansson(a)ki.se>
Cc: saml-admins(a)lists.sunet.se
Subject: [Saml-admins] Re: Problem med Azure framför Shibboleth
Hej igen.
Vi kunde inte hitta en lösning på problemen och fick rulla tillbaka ändringen.
Som jag nämnde tidigare så var problemet att vissa tjänster ibland kräver att inloggning
ska ske med lösenord men vi har användare som kör passwordless-inloggning (via Windows
Hello) och de får aldrig valet att logga in med lösenord vilket gjorde att vår HelpDesk
blev nedringda.
Alla föreslagna inställningar som påstods lösa detta (och tvinga fram lösenordsinloggning
till användaren) har misslyckats.
Jag är fortfarande nyfiken på vad ni andra som kör Azure framför Shibboleth har för
erfarenheter.
Hör gärna av er till mig om ni har några tips. Vi vill samla så mycket info vi kan innan
vi gör ett nytt försök.
/Eric
On 17 Apr 2026, at 18:49, Eric Johansson via Saml-admins
<saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>> wrote:
Hej
Vi försöker köra Azure som proxy framför Shibboleth men har stött på några problem.
Vi har användare som kör Windows Hello (passwordless) och det finns tjänster som kräver
att inloggning ska ske med lösenord (bl.a. signering i eduSign).
När dessa användare loggar in så frågar inte Azure om lösenord, sedan får man
felmeddelande från Azure att inloggningen inte skett med lösenord. *facepalm*
De föreslagna lösningarna är:
- Kräv inte lösenord - Vi kan dock inte kontrollera vad alla tjänster kräver, och att
skriva om tjänsternas krav i Shibboleth känns inte rätt.
- Sätt forceAuthn=“true” - Det ska tydligen påtvinga lösenordsinloggning. Jag har inte
testa det ännu, men det känns inte som en snygg lösning.
Jag vet att andra kör Azure framför Shibboleth, hur har ni hanterat detta?
P.S. Vi fick även problem med Zoom som har ett entityId som inte är en URI. Det fick vi
lösa genom att inte skicka vidare RequesterID till Azure (då det var Azure som klagade på
det). Återigen, inte en snygg lösning, men jag såg inget sätt att ändra entiyId på Zoom,
så det får vi nog leva med.
Eric Johansson | Linux Drifttekniker
IT-avdelningen | GVS | Karolinska Institutet
171 77 Stockholm | Nobels väg 5, plan 4
eric.johansson@ki.se<mailto:eric.johansson@ki.se> | ki.se<http://ki.se/>
Karolinska Institutet – ett medicinskt universitet
När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att
behandla dina personuppgifter. Här finns information om hur KI behandlar
personuppgifter<https://ki.se/om-ki/integritetsskyddspolicy>.
Sending email to Karolinska Institutet (KI) will result in KI processing your personal
data. You can read more about KI’s processing of personal data
here<https://staff.ki.se/data-protection-policy>.
_______________________________________________
Saml-admins mailing list --
saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>
To unsubscribe send an email to
saml-admins-leave@lists.sunet.se<mailto:saml-admins-leave@lists.sunet.se>