Haka operointitiimi valmistelee Haka-jäsenien Shibboleth IdP V3 käyttöönoton tueksi työpajatyyppistä koulutuspäivää. Päivä rakentuu alustuksista ja niitä seuraavista käytännön harjoituksista. Työpajassa hyödynnetään CSC:n Pouta-pilvipalvelua, jonka instansiin osallistuja tulee päivän aikana rakentaneeksi toimivan Shibboleth IdP V3 -ympäristön. Alustavasti aihepiirit on suunniteltu seuraaviksi:
- uutta IdP:ssä
- IdP:n rekisteröinti Hakan testiympäristöön
- IdP:n liittäminen käyttäjähakemistoon
- attribuutiluovutus ja -suodatus, suostumuksen kysyminen
- IdP:n muut ominaisuudet
Työpaja rajataan Haka-organisaatioiden rekisteröidyille IdP-ylläpitäjille.
Valmistelussa tarvitsemme apuanne. Pyydämmekin kommenttejanne tähän blogimerkintään. Kommentointimahdollisuus näkyy kirjautuneille käyttäjille. Erityisesti toivoimme kommenttejanne seuraaviin kysymyksiin:
- Koulutus toteutuu aikaisintaan syksyllä, mutta tarkempi ajankohta on avoin. Mikä olisi paras ajankohta sinun organisaatiosi IdP-ylläpitäjälle osallistua työpajaan?
- Mitä kokemuksia Shibboleth IdP 3-versiotasosta organisaatiollasi olisi jakaa työpajalle?
| Aika: | Tiistai 26.5.2015 klo 14:30-15:30 |
| Paikka: | Verkossa http://connect.funet.fi/haka |
| Aihe: | Level of Assurance (LoA) maailmalla Level of Assurance määrittää käyttäjätunnistuksen tukevuuden. Minkälainen lähestyminen erilaisiin käyttäjätunnistuksen tasoihin on otettu kansainvälisesti ja miten niihin pitäisi varautua Hakassa? |
| Alustus: | Mikael Linden |
Level of Assurance (LoA), eli käyttäjätunnistuksen vahvuus tai tunnistuksen tukevuus kuvaa tunnistamisen eri osa-alueiden turvallisuutta ja luotettavuutta. Korkeakoulujen IAM-verkoston tapaamisissa on noussut esille tarve käyttäjätunnistuksen erilaisille tasoille. Hakassa on perinteisesti ollut vain yksi LoA-taso, joka perustuu palvelusopimuksen kotiorganisaatioille ja palveluntarjoajille asettamiin velvollisuuksiin.
IAM-ryhmän tapaamisessa huhtikuussa käytiin läpi Hakan perinteisiä velvoitteita. Toukokuun webinaarissa käydään läpi, mitä suunnitelmia LoA:n määrittelemiseksi on esitetty kansainvälisesti.
Pääsy huoneeseen avataan hieman ennen webinaarin alkua. Alustus alkaa yllä mainittuun kellonaikaan. Jos haluat alustuksen jälkeen esittää kysymyksiä tai kommentteja, varmista ennen alustuksen alkamista, että äänilaitteesi toimivat. Ääniasetukset voi tarkistaa webinaarihuoneen vasemman yläreunan valikosta Meeting->Audio Setup Wizard.
Esitys tallennetaan ja sen julkaisuun Hakan websivuilla varataan mahdollisuus. Linkit aiempiin Haka-webinaaritallenteisiin löytyvät sivulta: Tapahtumat ja tapaamiset.
Shibboleth IdP-tuotteesta julkaistiin 22.12.2014 merkittävä versiopäivitys 3.0. Laajalti uudelleen kehitettyä ohjelmistoa kutsutaan tuotteen kolmanneksi sukupolveksi. Kyseessä on merkittävä uudistus, joka tuo paljon uusia ominaisuuksia. Versiosta julkaistiin ensimmäinen alpha-versio jo kesäkuussa 2014. Ensimmäisen vakaan julkaisun jälkeen on ilmestynyt jo useampia myös uusia ominaisuuksia tuoneita päivityksiä.
3-versiotason dokumentaatio on Shibboleth wikissä omana osionaan: https://wiki.shibboleth.net/confluence/x/T4BX. Dokumentaatio on vielä osin keskeneräistä ja täydentyy kokemuksen karttuessa. Versiotasosta 2 siirtymiselle on oma ohjesivunsa: https://wiki.shibboleth.net/confluence/x/iwAUAQ.
Päivityksessä on huomioitava Hakan ohjeistus muutoksenhallinnasta. Versiopäivitys ei ole aihe uuden SAML-entiteetin perustamiselle, eli entityId:n tai käyttäjän tunnisteiden vaihtumiselle.
Organisaatio valitsee omiin olosuhteisiinsa soveltuvimman päivitystavan. Eräs prosessiesimerkki on esitetty yleisellä tasolla muutoksenhallinnan ohjeistuksessa. Tietyissä päivitystavoissa IdP:n metatietoihin ei tarvita muutosta. Jos muutoksia tarvitaan, ne tehdään nykyisen IdP:n tietoja muuttamalla.
Haka-operoinnin tiedossa ei ole, että yksikään Haka-organisaatio olisi vielä siirtynyt käyttämään 3-versiotason IdP-ohjelmistoa.
Shibboleth-konsortio ilmoitti 5.5.2015 versiotason 2 tuen jatkumisesta. Jo ennen ilmoitusta oli tiedossa, että tuki ei jatku pitkään, sillä konsortio haluaa kohdistaa vähäiset kehitysresurssit uuden version kehittämiseen vanhojen ylläpitämisen sijasta. Konsortion johtokunta päätti kuitenkin, että versiotason 2 vakaata julkaisua tuetaan 31.6.2016 asti. Aikajana virheiden korjaamiselle on seuraava:
- kaikki turvallisuutta uhkaavat ja muut ohjelmointivirheet 31.12.2015 asti
- kohtuulliset turvallisuusuhat 29.2.2016 asti
- merkittävät turvallisuusuhat 31.5.2016 asti
- kriittiset turvallisuusuhat 31.6.2016 asti
Viimeisin 2-tason tuettu versio on 2.4.4. Tätä aiempiin versioihin ei julkaista turvallisuuspäivityksiä. 2.4-versiotasoon siirryttäessä on tapahtunut olennaisia muutoksia konfiguraation syntaksissa. Myös kirjastoissa, joihin Shibboleth tukeutuu (esimerkiksi Xerces ja Xalan), on korjattu merkittäviä turvallisuusuhkia. Mikäli nykyinen IdP:n versio on vanhentunut, se on päivitettävä.
Haka-operoinnin näkemys Shibboleth-konsortion ilmoitukseen perustuen on, että nykyisellä versiotasolla 2.4.4 voi jatkaa kevääseen 2016. Ohjeistuksen täydennyttyä viimeistään keväällä 2016 on siirryttävä versiotasoon 3.