Problemet är att vi får “urn:oasis:names:tc:SAML:2.0:ac:classes:Unspecified” från Azure/Entra om inloggning skett på annat sätt än med lösenord, även om det är med t.ex. YubiKey (som första/enda faktor). Jag vet inte vad Unspecified kan betyda, men jag kan inte utgå från att alltid är bättre än Password? Vi tittar också på att tvinga vår Enterprise App att kräva lösenord, men har inte kunnat listat ut hur (om det ens går). /Eric On 20 Apr 2026, at 14:03, Björn Mattsson &lt;bjorn(a)sunet.se&gt; wrote: Hej. En tanke ni kan inte skriva om returen från Azure på samma sätt som jag demade med Refeds-MFA https://shibboleth.atlassian.net/wiki/spaces/KB/pages/2783936889/SAML+Proxy… Fast istället för <util:map id="shibboleth.PrincipalProxyResponseMappings"> <entry> <key> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="http://schemas.microsoft.com/claims/multipleauthn" /> </key> <list> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="https://refeds.org/profile/mfa" /> </list> </entry> </util:map> Göra något i still med <util:map id="shibboleth.PrincipalProxyResponseMappings"> <entry> <key> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef=“vad ni nu får" /> </key> <list> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" /> </list> </entry> </util:map> On 17 Apr 2026, at 18:49, Eric Johansson via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; wrote: Hej Vi försöker köra Azure som proxy framför Shibboleth men har stött på några problem. Vi har användare som kör Windows Hello (passwordless) och det finns tjänster som kräver att inloggning ska ske med lösenord (bl.a. signering i eduSign). När dessa användare loggar in så frågar inte Azure om lösenord, sedan får man felmeddelande från Azure att inloggningen inte skett med lösenord. *facepalm* De föreslagna lösningarna är: - Kräv inte lösenord - Vi kan dock inte kontrollera vad alla tjänster kräver, och att skriva om tjänsternas krav i Shibboleth känns inte rätt. - Sätt forceAuthn=“true” - Det ska tydligen påtvinga lösenordsinloggning. Jag har inte testa det ännu, men det känns inte som en snygg lösning. Jag vet att andra kör Azure framför Shibboleth, hur har ni hanterat detta? När jag labbade med MFA inför mitt pass på sunetdagarna så skrev jag om Refeds-MFA <-> http://schemas.microsoft.com/claims/multipleauthn i båda riktningarna då var både release-check och Azure glada. Presentationen finns här https://wiki.sunet.se/spaces/SWAMID/pages/289767655/Events+2025?preview=/28… // Björn M. P.S. Vi fick även problem med Zoom som har ett entityId som inte är en URI. Det fick vi lösa genom att inte skicka vidare RequesterID till Azure (då det var Azure som klagade på det). Återigen, inte en snygg lösning, men jag såg inget sätt att ändra entiyId på Zoom, så det får vi nog leva med. Eric Johansson | Linux Drifttekniker IT-avdelningen | GVS | Karolinska Institutet 171 77 Stockholm | Nobels väg 5, plan 4 eric.johansson@ki.se<mailto:eric.johansson@ki.se> | ki.se<http://ki.se/> Karolinska Institutet – ett medicinskt universitet När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/om-ki/integritetsskyddspolicy>. Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://staff.ki.se/data-protection-policy>. _______________________________________________ Saml-admins mailing list -- saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se> To unsubscribe send an email to saml-admins-leave@lists.sunet.se<mailto:saml-admins-leave@lists.sunet.se>

Hej Eric, Det här är ett intressant problem som vi behöver titta närmare på. Inom tjänsten eduID Connect med integration mot Entra har vi det fungerande Authentication Context Class men vi har nog inte testat just detta specialfall. Det vi gör i eduID Connect är att vi skriver om Authentication Connext Class Request till något som fungerar i Entra och samtidigt uppfyller kraven i tillitsprofilerna. På vägen tillbaka gör vi motsvarande översättning. Vi har ju än så länge inte testat full passwordless men borde kunna hantera det också. Pål From: Eric Johansson via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; Sent: Thursday, April 23, 2026 8:21 PM To: Eric Johansson &lt;eric.johansson(a)ki.se&gt; Cc: saml-admins(a)lists.sunet.se Subject: [Saml-admins] Re: Problem med Azure framför Shibboleth Hej igen. Vi kunde inte hitta en lösning på problemen och fick rulla tillbaka ändringen. Som jag nämnde tidigare så var problemet att vissa tjänster ibland kräver att inloggning ska ske med lösenord men vi har användare som kör passwordless-inloggning (via Windows Hello) och de får aldrig valet att logga in med lösenord vilket gjorde att vår HelpDesk blev nedringda. Alla föreslagna inställningar som påstods lösa detta (och tvinga fram lösenordsinloggning till användaren) har misslyckats. Jag är fortfarande nyfiken på vad ni andra som kör Azure framför Shibboleth har för erfarenheter. Hör gärna av er till mig om ni har några tips. Vi vill samla så mycket info vi kan innan vi gör ett nytt försök. /Eric On 17 Apr 2026, at 18:49, Eric Johansson via Saml-admins <saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>> wrote: Hej Vi försöker köra Azure som proxy framför Shibboleth men har stött på några problem. Vi har användare som kör Windows Hello (passwordless) och det finns tjänster som kräver att inloggning ska ske med lösenord (bl.a. signering i eduSign). När dessa användare loggar in så frågar inte Azure om lösenord, sedan får man felmeddelande från Azure att inloggningen inte skett med lösenord. *facepalm* De föreslagna lösningarna är: - Kräv inte lösenord - Vi kan dock inte kontrollera vad alla tjänster kräver, och att skriva om tjänsternas krav i Shibboleth känns inte rätt. - Sätt forceAuthn=“true” - Det ska tydligen påtvinga lösenordsinloggning. Jag har inte testa det ännu, men det känns inte som en snygg lösning. Jag vet att andra kör Azure framför Shibboleth, hur har ni hanterat detta? P.S. Vi fick även problem med Zoom som har ett entityId som inte är en URI. Det fick vi lösa genom att inte skicka vidare RequesterID till Azure (då det var Azure som klagade på det). Återigen, inte en snygg lösning, men jag såg inget sätt att ändra entiyId på Zoom, så det får vi nog leva med. Eric Johansson | Linux Drifttekniker IT-avdelningen | GVS | Karolinska Institutet 171 77 Stockholm | Nobels väg 5, plan 4 eric.johansson@ki.se<mailto:eric.johansson@ki.se> | ki.se<http://ki.se/> Karolinska Institutet – ett medicinskt universitet När du skickar e-post till Karolinska Institutet (KI) innebär detta att KI kommer att behandla dina personuppgifter. Här finns information om hur KI behandlar personuppgifter<https://ki.se/om-ki/integritetsskyddspolicy>. Sending email to Karolinska Institutet (KI) will result in KI processing your personal data. You can read more about KI’s processing of personal data here<https://staff.ki.se/data-protection-policy>. _______________________________________________ Saml-admins mailing list -- saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se> To unsubscribe send an email to saml-admins-leave@lists.sunet.se<mailto:saml-admins-leave@lists.sunet.se>