Blog

Blog from December, 2020

Hakan tekninen ryhmä kokoontui 3.12.2020. Kokouksessa tekninen ryhmä vahvisti Hakassa siirryttävän käyttämään EduPersonAssurance-attribuuttia ilmaisemaan taso, jolla käyttäjän ensitunnistaminen on suoritettu käyttäjän kotiorganisaatiossa. Attribuutti on mukana FunetEduPerson skeeman versiossa 2.4, mikä astuu voimaan vuoden 1.1.2021.

Ensimmäisessä vaiheessa organisaatiot antavat attribuuteille arvot, joka koskee kaikkia käyttäjiä ja noudattaa Hakassa sovittua ensitunnistamista. Eli nykyisellään attribuutit kuvaavat ja vahvistavat nykytilan uusien attribuuttien esittämisellä. Myöhemmin organisaatiot voivat siirtyä antamaan Haka-tunnuksia myös heikommin tai vahvemmin ensitunnistetuille käyttäjille ilmoittaen tämän tason osana tunnistusvastausta. 

Muutos koskettaa kotiorganisaatioita vuoden 2021 alusta, jolloin kotiorganisaatioiden tulisi toimittaa uusi attribuutti osana muita attribuutteja. Käyttöönoton tekninen ohjeistus löytyy Shibbolethille ja attribuutteja voi testata Hakan attribuuttitestipalvelussa sekä testipalveluissa.

Muutos Hakassa sallia heikompi ensitunnistaminen tapahtuu myöhemmin ja sen yhteydessä sovitaan siirtymäaika, jonka aikana palveluilla on aikaa varautua muutokseen. Aikataulusta ja käytännön toimista tiedotetaan myöhemmin vuoden 2021 aikana. 

Lisätietoja tasoista ja muutoksesta löytyy Refeds Assurance Framework:sta, edellisistä Hakan teknisen ryhmän kokouksista sekä FunetEduPerson-skeemasta:

Haka-organisaatioiden päivittäessä Shibboleth IdP versiota kolme versioon neljä, voi tulla vastaan, että aiemmin toiminut palvelu on lakannut toimimasta. Mikäli tällaisesta tulee raportti tai havainto, ensimmäiseksi kannattaa tarkistaa tukeeko palvelu, jonne kirjautuminen epäonnistuu GCM-algoritmia SAML2-viestin salaamisessa.

IdP4:ssa on oletuksena GCM-algoritmi päällä ja moni vanhempi SAML2 SP -totetus ei GCM-algoritmia osaa. Ensisijaisesti palvelun kannattaisi päivittää SP:nsa uudempaan versioon, mutta jos se ei onnistu ja tarvitaan nopea korjaus, IdP:ssä voidaan kyseinen palvelu konfiguroida vanhemmalle algoritmille. CSC on kerännyt listaa palveluista, joissa ongelma tulee vastaan ja niille esimerkkikorjausta. Listaa päivitetään uusien tietojen saapuessa. Havaituista ongelmista kannattaa ilmoittaa haka@csc.fi, niin lisäämme tietoja palveluista listaan. 

Lisätietoa GCM-algoritmista: https://wiki.shibboleth.net/confluence/display/IDP4/GCMEncryption

Ohjeet IdP:n konfigurointiin ja lista palveluista: https://wiki.eduuni.fi/display/CSCHAKA/Usein+kysytyt+kysymykset#Useinkysytytkysymykset-P%C3%A4ivitinIdP:nversioonnelj%C3%A4jajoihinkinpalveluihinestyip%C3%A4%C3%A4sy