Blog

Blog

Tervetuloa Shibboleth IdP v4 webinaarin 6.5.2020! Webinaarissa esittelemme uuden IdP4:n ominaisuuksia ja vaikutuksia Hakaan ja ylläpitäjien toimintaan.

Webinaari on suunnattu korkeakoulujen Haka-ylläpitäjäille, IAM-asiantuntijoille ja Hakan palveluista kiinnostuneille.

Ilmoittaudu mukaan: https://ssl.eventilla.com/event/mlKOp

Tervetuloa IAM-verkoston etätapaamiseen! IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tällä kertaa tapaaminen järjestetään vain etänä. Tapaamisessa käsitellään mm. IAM-ratkaisuja ja sähköisen asianhallinnan toteutusta, Digi- ja väestötietoviraston (DVV) suunnitelmia Suomi.fi-tunnistuksen ja sähköisen allekirjoituksen osalta, ja siitä mitä digitaalinen identiteetinhallinta tarkoittaa. Kuulemme myös mitä Digivisioon liittyvässä ideamuotoilussa on käsitelty. Katso ohjelma kokonaisuudessaan: https://ssl.eventilla.com/event/nVRE4

Shibboleth IdP:stä on julkaistu versio 4. Kyseessä on major-version päivitys, joka tarjoaa uusia ominaisuuksia ja muutoksia aiempaan versioon 3.

Shibboleth version 3 tuki lakkaa vuoden 2020 lopussa, joten kaikkien IdP-ylläpitäjien tulee varautua päivittämään IdP:nsä tämän vuoden aikana. Julkaisun muutokset ovat dokumentoidut: https://wiki.shibboleth.net/confluence/display/IDP4/ReleaseNotes

Huomion arvoista päivittäjille ja uusille asentajille ovat muutokset oletusasetuksiin ja tuettuihin alustoihin. Jatkossa IdP on täysin tuettu Javan version 11 kanssa.
Esimerkkinä muutoksista oletusasetuksissa on muuttunut käytettävä algoritmi XML-salauksessa, mikä todennäköisesti tulee aiheuttamaan ongelmia joidenkin palveluiden kanssa. Uutena ominaisuutena voidaan nostaa esille IdP:n tuki SAML2-tunnistuslähteelle käyttäjien autentikoinnissa. Tuen avulla organisaation on mahdollista hoitaa käyttäjätunnistus esim. AzureAD:n avulla ja käyttää Shibboleth IdP:ta muodostaessaan luottosuhteita Haka-palveluihin. 

IdP4:n dokumentaatio on omassa wikissään: https://wiki.shibboleth.net/confluence/display/IDP4/Home

Tilattomassa HTTP protokollassa keksejä [1] käytetään mm. istuntojen hallintaan, sivustojen personalisointiin ja sivustojen käytön seurantaan. Viimeisin suurempi muutos tällä saralla lienee SameSite attribuutin oletusarvon muutos Chrome 80 [2] myötä. Aiemman SameSite=none oletuksen sijaan jatkossa selaimet toimivat SameSite=Lax oletuksella. Muutoksella pyritään suojautumaan entistä paremmin mm. CSRF [3] hyökkäyksien varalta. Vaikka SameSite attribuutti on ollut selaimien tukema, vanhan oletuksen vuoksi sen käyttöönotto on kuitenkin ollut vähäistä.

Muutoksella on joissain tapauksissa vaikutusta myös SAML toteutuksiin. Shibboleth IdP ohjelmiston toimintaa on testattu [4] uuden oletuksen vaikutuksilta eri selaimilla. Haka SAML2 profiilin [5] mukaisessa käytössä testitulokset ovat odotettuja, ts. Shibboleth IdP ja kertakirjautumiset toimivat. Palveluntarjoajia kehoitetaan kuitenkin testaamaan muutoksen vaikutukset toteutuksissaan.

Yhteenvedot vaikutuksista Shibboleth IdP ja SP ohjelmistojen tapauksessa ovat saatavilla [6] [7].

[1] https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-04
[2] https://www.chromestatus.com/feature/5088147346030592
[3] https://owasp.org/www-community/attacks/csrf
[4] https://wiki.shibboleth.net/confluence/display/DEV/IdP+SameSite+Testing
[5] https://wiki.eduuni.fi/display/CSCHAKA/SAML-profiili
[6] https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
[7] https://wiki.shibboleth.net/confluence/display/SP3/SameSite

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tammikuun tapaamisessa on aiheina mm. Hakan tilannekatsaus, sekä ohjausryhmän järjestäytyminen ja verkoston tapaamisten ajankohdista ja paikoista päättäminen. Ilmoittaudu mukaan https://www.csc.fi/web/training/-/iam-verkoston-tapaami-11

AM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Syyskuun tapaamisessa aiheina mm. SisuID-tilannekatsaus ja IAM-ratkaisujen vertailu. Käydään myös keskustelua Hakan ensitunnistuksen tasosta ja LoA:sta. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaami-10

Tervetuloa OpenID Connect -koulutukseen! Kurssilla tututustaan OpenID Connect protokollaan toimintaan ja käyttöön. Tarkoituksena on saada yleiskuva protokollasta sekä valmiudet ottaa käyttöön OpenID Connect -protokolla organisaatiossa. Esimerkkitoteutuksena käytetään Hakassa suosittua Shibboleth IdP -ohjelmistoa. Kurssilla toteutetaan myös esimerkkisovellus, joka kytketään Shibboleth OpenID Connect -tunnistuspalvelimeen.

Katso ohelma ja ilmoittaudu mukaan täällä: OpenId Connect 2019


Haka-operaattori on irtisanonut kaikki Hakan jäsen- ja kumppanuussopimukset 25.4.2019. Nyt irtisanotut sopimukset ovat voimassa vielä 15.11.2019 saakka ja uudet korvaavat sopimukset allekirjoitetaan syksyn 2019 aikana. Haka-organisaatioiden Haka-hallinnolliset henkilöt ovat saaneet tänään irtisanomistiedotteen sähköpostitse. Haka-luottamusverkoston tekniseen toimintaan tai sen palveluihin irtisanomisajalla ei ole vaikutusta.

Asiaan liittyvä UKK: https://wiki.eduuni.fi/x/ZwJLBg


Reforming of Haka Identity Federation Service Agreement during 2019

The Haka operator has terminated all Haka membership and partnership Service Agreements on 25th of April 2019. The terminated agreements will remain valid until 15th of November 2019 and the new substitutive agreements will be signed during autumn 2019. The administrative contact persons of Haka organizations have received a termination notice today via e-mail. The period of notice has no effect on the technical operation of the Haka federation or the services within it.

Related FAQ: https://wiki.eduuni.fi/x/fAJLBg

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Kaksipäiväisessä huhtikuun tapaamisessa aiheina mm. korkeakoulujen IAM-tilannekatsauksia, IAM-verkoston toimintaan liittyviä asioita, MFA- ja OIDC-asioita, sekä sähköinen allekirjoittaminen. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/events/-/asset_publisher/zFHIiu8WuSnT/content/iam-verkoston-tapaamin-9

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Vuoden ensimmäisessä tapaamisessa on ohjelmassa IAM/IdM-tilannekatsausten(Aalto, Tampere3) lisäksi IAM-verkoston ohjausryhmän kokoonpanon valitseminen, sekä verkoston vuoden 2019 tapaamisten paikkakunnista ja aikatauluista päättäminen. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaamin-8

OpenID Connect (OIDC) on tullut viime vuosina suosituksi kertakirjautumisessa web- ja natiivi-sovelluksissa. Suomen korkeakoulujen ja tutkimuksen erittäin kattavassa Haka-verkostossa Shibboleth on ollut eniten käytetty SAML2-tuote. Nyt Géant 4-2 projektissa on tuotettu Shibboleth IdP:lle liitännäinen, jolla Hakasta tutulle tunnistuspalvelimelle saadaan lisättyä tuki loppukäyttäjille kirjautua myös OIDC-yhteyskäytäntöön tukeutuviin palveluihin.

CSC:n Géant-projektissa työskentelevät asiantuntijat järjestävät koulutuksen OIDC-laajennoksen käyttöönotossa Shibboleth IdP-palvelimelle. Koulutus on hyödyllinen erityisesti niille Hakan korkeakouluille ja tutkimuslaitoksille, jotka käyttävät Shibboleth IdP-tuotetta organisaationsa tunnistuspalvelimena. OIDC-tuen avulla organisaation on mahdollisuus laajentaa kertaluokalla palvelujen määrää, joiden yhteydessä organisaation nykyistä tunnistuspalvelinta voidaan käyttää.

Sen lisäksi, että OIDC-laajennoksen avulla on mahdollista käyttää mm. tunnettuja ja laajasti käytettyjä pilvipalveluja, se avaa uusia mahdollisuuksia kirjautua organisaation omalla tunnistuspalvelimella myös esim. mobiililaitteissa käytettävillä natiivisovelluksilla.

Lisätietoa koulutuksesta, ohjelma ja ilmoittautuminen:

https://www.csc.fi/web/training/-/oidcshibbolethidp

Koulutus järjestetään suomenkielisenä.

 

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Ohjelmassa perinteinen isäntäorganisaation IAM-ratkaisun esittely, katsaukset ajankohtaisiin asioihin luottamustasojen, luottamusverkostojen poikkeamien hallinnan ja Shibboleth IdP:n OpenID Connect tuen osalta. Iltapäivällä myös Nixun, Suomen Tilaajavastuun sekä Digital Living Internationalin kesällä julkaiseman Sandbox of Trust-pilottihankkeen esittely.

Lisätietoa, ohjelma ja ilmoittautuminen:

https://www.csc.fi/web/training/-/iam-verkoston-tapaamin-7

EU:n yleinen tietosuoja-asetus tulee sovellettavaksi tänään perjantaina 25.5.2018. Hakassa rekisterinpitäjiä ja/tai henkilötietojen käsittelijöitä ovat kotiorganisaatiot ja/tai palveluntarjoajat.

Haka-operaattori on rekisterinpitäjä palvelusopimuksien osalta, joista käytännön esimerkki on Haka-resurssirekisteri. Haka-operointi tuottaa myös attribuuttitestipalvelua, jossa käsitellään henkilötietoja. Edellisistä linkeistä avautuu kyseisten palvelujen tietosuojaselosteet.

Hakan osalta tietosuoja-asetuksen toimenpanoon liittyvät toimet on aloitettu Haka-ohjausryhmän kokouksessa 2.5.2018 ja käytännön toimeenpano etenee kaikkien Haka-organisaatioiden kanssa Haka-palvelusopimuksen uusimisen aikataulun mukaisesti.

Hakan tekninen ryhmä kokoontuu 27.4.2018 klo 09:30 videokokoukseen aiheena funetEduPerson-skeeman päivittäminen. Päivityksessä Hakassa käytettävä henkilötunniste eduPersonPrincipalName (eppn) muuttuu pysyväksi siten, että kerran käytettyä attribuutin arvoa ei voi uudelleen luovuttaa toiselle henkilölle. Muutos toteutuu kahden vuoden siirtymäajalla.

Lisäksi päätetään uusien henkilötunnisteiden käyttöönoton valmistelusta ja esityslistalla on muutamia kotiorganisaatioille tärkeitä tiedotusasioita.

Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.

Kokouksen esityslista:

https://wiki.eduuni.fi/display/CSCHAKA/Tekninen+ryhma+esityslista+1-2018

Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.

Viimeaikainen keskustelu Shibboleth-konsortion postilistalla ja aiemmassa artikkelissa viitattu tietoturvasuositus ovat tuoneet uuteen valoon SAML-vastauksen salaamisen. Shibboleth IdP -ohjelmiston pääkehittäjä on esittänyt näkemyksen, että henkilötietojen suojaamiseksi ainoat riittävät vaihtoehdot ovat: tiedon siirtäminen taustakanavalla suoraan palvelimien välillä (artifact) tai autentikaatiovastauksen assertion salaaminen.

Tämä mielipide heijastelee jo saml2int-profiilin luonnoksessa, johon on kirjattu IdP-palvelimelle vaatimukseksi:

In the event the HTTP-POST binding [SAML2Bind] is used, assertions MUST be encrypted and transmitted via a <saml:EncryptedAssertion> element. 

Hakassa HTTP-POST on ainoa sallittu yhteystapa autentikaatiovastauksen välittämiseen. Nyt luonnoksena esitetty profiili edellyttäisi jatkossa Hakassa SAML-viestien salaamista. Jatkossa pelkkä HTTPS ei riittäisi viestien suojaamiseen.

Nykyisin Hakassa SP:n on tuettava salausta, eli pystyttävä avaamaan salattu SAML-viesti. Tästä syystä Hakassa SP:n on rekisteröitävä metadataan varmenne. IdP:lle SAML-viestien salaaminen on vapaaehtoista. Koska SP:lle kyky salauksen purkuun on pakollista, on ollut IdP:n valittavissa, salataanko viestit vai ei.

Vaikka Hakassa ei olisi palveluja, jotka eivät tue salausta, operoinnin tiedossa on, että käytössä on paljon tuotteita, joilla ei ole kykyä tukea salattuja SAML-viestejä. Hakaan liitetyillä IdP-palvelimilla voi olla kahdenvälisiä luottosuhteita tällaisille palveluille. Jos salaus Hakassa tulee pakolliseksi, IdP:n on luontevaa kytkeä salaus päälle kategorisesti kaikkien palvelujen osalta. IdP:n konfiguraatiossa on mahdollista tehdä poikkeussääntö ja jättää viestit salaamatta sellaisille palveluille, jotka salausta ei tue, jos se on organisaation toimintokäytänteiden mukaista.

Haka-operointi suosittaa jo etupainotteisesti kartoittamaan muutoksen vaikutuksia organisaation kertakirjautumiselle ja kytkemään SAML-viestien salauksen kategorisesti päälle IdP:palvelimella heti, kun mahdollista.


Lisätietoa:


Briefly in english

Recent discussion implicates to encryption of SAML-assertions becoming mandatory in Haka. Please see relevant discussion in Shibboleth mailing list and the draft document for new version of saml2int-profile.