Blog

Haka-metadatan varmentamisessa käytettävä varmenne vaihtuu. Allekirjoitusavain pysyy ennallaan, vain varmenne päivitetään ennen voimassaolon päättymistä. Muutoksella ei ole teknisesti vaikutusta SAML-määritysten mukaisesti toimiviin SAML-tuotteisiin. Haka-operaattori suosittelee ja SAML-määritykset edellyttävät, että Haka-metadataan luottavat osapuolet käyttävät metadatan allekirjoituksen tarkastamisessa ajantasaista varmennetta. Metadataan luottava on myös velvollinen noudattamaan varmentajan julkaisemaa varmennepolitiikkaa. Hakassa käytetään Funet varmennepalvelun varmennetta.

Haka-palvelut voivat jo etukäteen varmistua SAML-tuotteensa tuesta uudelle varmenteelle. 30.10.2020 lähtien julkaistaan kaksi metadataa, jotka eroavat toisistaan vain allekirjoituksessa käytetyn varmenteen osalta. Rinnakkainen, uudella varmenteella allekirjoitettu metadata löytyy osoitteesta:

Uusi varmenne otetaan käyttöön varsinaisen metadatan allekirjoituksessa 1.12.2020. Tähän päivään mennessä Haka-metadataan luottavien on varmistettava, että voivat käyttää uudella varmenteella varmennettavaa metadataa. Varsinainen metadata julkaistaan nyt ja jatkossa osoitteessa:

Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet: Metadata .

Yhteenveto

PäivämääräTapahtumat
29.10.2020Uusi metadatan varmenne julkaistiin
30.10-30.11.2020Lataa uusi varmenne palvelimellesi ja konfiguroi se käyttöön 30.10. - 30.11.2020 välillä.
1.12.2020Metadata julkaistaan vain uudella varmenteella allekirjoitettuna osoitteesta: https://haka.funet.fi/metadata/haka-metadata.xml
  • Vaihdettu varmenne toimii sellaisenaan metadatan kanssa.




The certificate used to verify Haka-metadata will change on 1.12.2020. Service Provider and Identity Provider administrators can test their service's interoperability with the new certificate in advance. Please see details of the Haka metadata.

Summary

DateEvents
29.10.2020

New metadata certificate was published

30.10-30.11.2020

Download the new certificate and adjust your service to use it between 30.10.-30.11.2020

1.12.2020Only the actual metadata will be published with the new certificate: https://haka.funet.fi/metadata/haka-metadata.xml

Hakan tekninen ryhmä kokoontuu to 3.12.2020 klo 13.00 videokokoukseen aiheena mail -attribuutin relevanssin vahvistaminen ja eduPersonAssurance attribuutin IAP/medium vastaavuus nykyiseen luottamusverkoston ensitunnistustasoon.

Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.

Kokouksen esityslista: https://wiki.eduuni.fi/x/tzNACg

Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.

Tervetuloa IAM-verkoston etätapaamiseen! Ohjelmassa on Laurean IAM-ratkaisuesittelyä sekä Haka-ajankohtaisia asioita, ja näiden lisäksi mm. ulkopuolinen vierailija Sveitsin Hakaa vastaavan SWITCH:n eduID:stä. Luvasssa on myös tilannekatsaus OKM:n asettaman identiteetinhallinta työryhmän osalta. 

Tarkan ohjelman ja aikataulun, sekä Zoom-linkin tapahtumaan löydät ohjelmasivulta: https://ssl.eventilla.com/event/nX9K3


Hakan tekninen ryhmä kokoontuu ke 9.9.2020 videokokoukseen aiheena funetEduPerson-skeeman päivittäminen. Päivityksessä eduPersonAssurance attribuutti muuttuu pakolliseksi. Päivitetty skeema on ehdotettu tulevan voimaan 1.1.2021.

Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.

Kokouksen esityslista: Tekninen ryhma esityslista 1-2020        

Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.

Tervetuloa Shibboleth IdP v4 webinaarin 6.5.2020! Webinaarissa esittelemme uuden IdP4:n ominaisuuksia ja vaikutuksia Hakaan ja ylläpitäjien toimintaan.

Webinaari on suunnattu korkeakoulujen Haka-ylläpitäjäille, IAM-asiantuntijoille ja Hakan palveluista kiinnostuneille.

Ilmoittaudu mukaan: https://ssl.eventilla.com/event/mlKOp

Tervetuloa IAM-verkoston etätapaamiseen! IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tällä kertaa tapaaminen järjestetään vain etänä. Tapaamisessa käsitellään mm. IAM-ratkaisuja ja sähköisen asianhallinnan toteutusta, Digi- ja väestötietoviraston (DVV) suunnitelmia Suomi.fi-tunnistuksen ja sähköisen allekirjoituksen osalta, ja siitä mitä digitaalinen identiteetinhallinta tarkoittaa. Kuulemme myös mitä Digivisioon liittyvässä ideamuotoilussa on käsitelty. Katso ohjelma kokonaisuudessaan: https://ssl.eventilla.com/event/nVRE4

Shibboleth IdP:stä on julkaistu versio 4. Kyseessä on major-version päivitys, joka tarjoaa uusia ominaisuuksia ja muutoksia aiempaan versioon 3.

Shibboleth version 3 tuki lakkaa vuoden 2020 lopussa, joten kaikkien IdP-ylläpitäjien tulee varautua päivittämään IdP:nsä tämän vuoden aikana. Julkaisun muutokset ovat dokumentoidut: https://wiki.shibboleth.net/confluence/display/IDP4/ReleaseNotes

Huomion arvoista päivittäjille ja uusille asentajille ovat muutokset oletusasetuksiin ja tuettuihin alustoihin. Jatkossa IdP on täysin tuettu Javan version 11 kanssa.
Esimerkkinä muutoksista oletusasetuksissa on muuttunut käytettävä algoritmi XML-salauksessa, mikä todennäköisesti tulee aiheuttamaan ongelmia joidenkin palveluiden kanssa. Uutena ominaisuutena voidaan nostaa esille IdP:n tuki SAML2-tunnistuslähteelle käyttäjien autentikoinnissa. Tuen avulla organisaation on mahdollista hoitaa käyttäjätunnistus esim. AzureAD:n avulla ja käyttää Shibboleth IdP:ta muodostaessaan luottosuhteita Haka-palveluihin. 

IdP4:n dokumentaatio on omassa wikissään: https://wiki.shibboleth.net/confluence/display/IDP4/Home

Tilattomassa HTTP protokollassa keksejä [1] käytetään mm. istuntojen hallintaan, sivustojen personalisointiin ja sivustojen käytön seurantaan. Viimeisin suurempi muutos tällä saralla lienee SameSite attribuutin oletusarvon muutos Chrome 80 [2] myötä. Aiemman SameSite=none oletuksen sijaan jatkossa selaimet toimivat SameSite=Lax oletuksella. Muutoksella pyritään suojautumaan entistä paremmin mm. CSRF [3] hyökkäyksien varalta. Vaikka SameSite attribuutti on ollut selaimien tukema, vanhan oletuksen vuoksi sen käyttöönotto on kuitenkin ollut vähäistä.

Muutoksella on joissain tapauksissa vaikutusta myös SAML toteutuksiin. Shibboleth IdP ohjelmiston toimintaa on testattu [4] uuden oletuksen vaikutuksilta eri selaimilla. Haka SAML2 profiilin [5] mukaisessa käytössä testitulokset ovat odotettuja, ts. Shibboleth IdP ja kertakirjautumiset toimivat. Palveluntarjoajia kehoitetaan kuitenkin testaamaan muutoksen vaikutukset toteutuksissaan.

Yhteenvedot vaikutuksista Shibboleth IdP ja SP ohjelmistojen tapauksessa ovat saatavilla [6] [7].

[1] https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-04
[2] https://www.chromestatus.com/feature/5088147346030592
[3] https://owasp.org/www-community/attacks/csrf
[4] https://wiki.shibboleth.net/confluence/display/DEV/IdP+SameSite+Testing
[5] https://wiki.eduuni.fi/display/CSCHAKA/SAML-profiili
[6] https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
[7] https://wiki.shibboleth.net/confluence/display/SP3/SameSite

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tammikuun tapaamisessa on aiheina mm. Hakan tilannekatsaus, sekä ohjausryhmän järjestäytyminen ja verkoston tapaamisten ajankohdista ja paikoista päättäminen. Ilmoittaudu mukaan https://www.csc.fi/web/training/-/iam-verkoston-tapaami-11

AM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Syyskuun tapaamisessa aiheina mm. SisuID-tilannekatsaus ja IAM-ratkaisujen vertailu. Käydään myös keskustelua Hakan ensitunnistuksen tasosta ja LoA:sta. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaami-10

Tervetuloa OpenID Connect -koulutukseen! Kurssilla tututustaan OpenID Connect protokollaan toimintaan ja käyttöön. Tarkoituksena on saada yleiskuva protokollasta sekä valmiudet ottaa käyttöön OpenID Connect -protokolla organisaatiossa. Esimerkkitoteutuksena käytetään Hakassa suosittua Shibboleth IdP -ohjelmistoa. Kurssilla toteutetaan myös esimerkkisovellus, joka kytketään Shibboleth OpenID Connect -tunnistuspalvelimeen.

Katso ohelma ja ilmoittaudu mukaan täällä: OpenId Connect 2019


Haka-operaattori on irtisanonut kaikki Hakan jäsen- ja kumppanuussopimukset 25.4.2019. Nyt irtisanotut sopimukset ovat voimassa vielä 15.11.2019 saakka ja uudet korvaavat sopimukset allekirjoitetaan syksyn 2019 aikana. Haka-organisaatioiden Haka-hallinnolliset henkilöt ovat saaneet tänään irtisanomistiedotteen sähköpostitse. Haka-luottamusverkoston tekniseen toimintaan tai sen palveluihin irtisanomisajalla ei ole vaikutusta.

Asiaan liittyvä UKK: https://wiki.eduuni.fi/x/ZwJLBg


Reforming of Haka Identity Federation Service Agreement during 2019

The Haka operator has terminated all Haka membership and partnership Service Agreements on 25th of April 2019. The terminated agreements will remain valid until 15th of November 2019 and the new substitutive agreements will be signed during autumn 2019. The administrative contact persons of Haka organizations have received a termination notice today via e-mail. The period of notice has no effect on the technical operation of the Haka federation or the services within it.

Related FAQ: https://wiki.eduuni.fi/x/fAJLBg

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Kaksipäiväisessä huhtikuun tapaamisessa aiheina mm. korkeakoulujen IAM-tilannekatsauksia, IAM-verkoston toimintaan liittyviä asioita, MFA- ja OIDC-asioita, sekä sähköinen allekirjoittaminen. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/events/-/asset_publisher/zFHIiu8WuSnT/content/iam-verkoston-tapaamin-9

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Vuoden ensimmäisessä tapaamisessa on ohjelmassa IAM/IdM-tilannekatsausten(Aalto, Tampere3) lisäksi IAM-verkoston ohjausryhmän kokoonpanon valitseminen, sekä verkoston vuoden 2019 tapaamisten paikkakunnista ja aikatauluista päättäminen. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaamin-8

OpenID Connect (OIDC) on tullut viime vuosina suosituksi kertakirjautumisessa web- ja natiivi-sovelluksissa. Suomen korkeakoulujen ja tutkimuksen erittäin kattavassa Haka-verkostossa Shibboleth on ollut eniten käytetty SAML2-tuote. Nyt Géant 4-2 projektissa on tuotettu Shibboleth IdP:lle liitännäinen, jolla Hakasta tutulle tunnistuspalvelimelle saadaan lisättyä tuki loppukäyttäjille kirjautua myös OIDC-yhteyskäytäntöön tukeutuviin palveluihin.

CSC:n Géant-projektissa työskentelevät asiantuntijat järjestävät koulutuksen OIDC-laajennoksen käyttöönotossa Shibboleth IdP-palvelimelle. Koulutus on hyödyllinen erityisesti niille Hakan korkeakouluille ja tutkimuslaitoksille, jotka käyttävät Shibboleth IdP-tuotetta organisaationsa tunnistuspalvelimena. OIDC-tuen avulla organisaation on mahdollisuus laajentaa kertaluokalla palvelujen määrää, joiden yhteydessä organisaation nykyistä tunnistuspalvelinta voidaan käyttää.

Sen lisäksi, että OIDC-laajennoksen avulla on mahdollista käyttää mm. tunnettuja ja laajasti käytettyjä pilvipalveluja, se avaa uusia mahdollisuuksia kirjautua organisaation omalla tunnistuspalvelimella myös esim. mobiililaitteissa käytettävillä natiivisovelluksilla.

Lisätietoa koulutuksesta, ohjelma ja ilmoittautuminen:

https://www.csc.fi/web/training/-/oidcshibbolethidp

Koulutus järjestetään suomenkielisenä.