Blog

Tähän asti Hakassa kaikki käyttäjät ovat tunnistetut korkeakoulujen toimesta viranomaisen myöntämän asiakirjan avulla tai vastaavasti käyttäjätunnuksia myönnettäessä. 

Vuoden 2022 alussa Haka luottamusverkoston ensitunnistuskäytöntö muuttuu REFEDS Assurence Framework (RAF) [1] määrityksen mukaiseksi, jolloin kotiorganisaatiot voivat toteuttaa ensitunnistuksen varmuuden kolmiasteisesti nousevassa vaatimusjärjestyksessä. Uutuutena nykyiseen on sallia myös alemman tason ensitunnistus, esimerkiksi perustuen sähköpostiin.

Muutoksen avulla korkeakoulut ja palveluntarjoajat voivat joustavammin tarjota palveluitaan esimerkiksi ulkomaalaisille opiskelijoille ja tutkijoille. Uusien käyttäjäryhmien lisääntyminen voi aiheuttaa Hakaan kytketyille palveluille tarpeen tarkistaa omia käytäntöjään ja toimintatapojaan, jotta heikommin tunnistetut käyttäjät voidaan palveluissa tarvittaessa erotella muista käyttäjistä. 

Haka luottamusverkoston liittymissopimuksessa velvoitetaan palveluntarjoajat valvomaan palvelun oikeutettua käyttöä. Jos palvelu edellyttää tiettyä ensitunnistuksen varmuutta, palvelun tulisi alkaa pyytää RAF määrityksen mukaisesti eduPersonAssurance attribuuttia ja alkaa tarkistaa attribuutin arvot käyttöoikeuden varmistamiseksi. Palvelun pyytämät attribuutit asetetaan resurssirekisterissä [2].

Ennen vuoden 2022 alkua kotiorganisaatiot luovuttavat eduPersonAssurance attribuutin arvoja nykyisen luottamusverkoston toimintakäytännön [3] mukaisesti. Tällä tavoin palvelut voivat tarvittaessa jo ennen varsinaista käytäntömuutosta mukautua muutokseen.

Kaikkien Hakaan liitettyjen palveluiden tulee arvioida muutoksen vaikutus omassa palvelussaan. Mikäli heikommin tunnistetuista käyttäjistä ei ole palvelulle vaikutusta, tilanne jatkuu muuttumattona. Mikäli tarvetta muutoksille on, tulee palvelussa tehdä tarvittaat pääsynvalvontasäännöt uusien attribuuttien perusteella. 

Lisätietoja uudistuksesta voi tiedustella osoitteesta haka at csc.fi . Muutoksesta tiedotetaan uudelleen vuoden edetessä.

------

Currently all users in Haka are identified by higher education institutions by means of a document issued by the authority or equivalent when issuing user IDs.

At the beginning of 2022, the identity proofing policy of the Haka identity federation will change to match the REFEDS Assurence Framework (RAF) [1] definition, allowing home organizations to implement identity proofing assurance in three levels of increasing requirements. Particularly, the change allows a lower level identity proofing, for example based on email.

The change will allow universities and service providers to offer their services more flexibly, for example to foreign students and researchers. The increase in new user groups may necessitate the service providers to review their own policies and practices, in order to distinguish the less identity proofed users from other users in the services, if necessary.

The Haka service agreement obliges service providers to monitor the legitimate use of the service. If the service requires a certain level of identity proofing, the service should start requesting the eduPersonAssurance attribute as defined by the RAF specification and begin checking the attribute values to enforce the service access policy, if any. The attributes requested by the service are set in the resource registry [2].

Before the beginning of 2022, home organizations will release the values of the eduPersonAssurance attribute according to the current identity federation policy [3]. In this way, the services can adapt to the change before the actual policy update, if needed.

All services providers must assess the impact of the change on their services. If the lower identity proofing level has no effect on the service, the situation will remain unchanged. If there is a need for changes, the service must enforce the necessary access control based on the new attribute values.

For additional information, please contact haka at csc.fi. Further announcements will be sent later.


[ 1 ] https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0

[ 2 ] https://rr.funet.fi/rr

[ 3 ] https://wiki.eduuni.fi/x/qIegAQ

Tervetuloa IAM-verkoston etätapaamiseen 21.1.2021! Tammikuun tapaamisessa aiheina ovat mm. Hakan tilannekatsaus, ohjausryhmän valinta vuodelle 2021 ja verkoston tapaamisten ajankohdista ja paikoista päättäminen, IAM-kuulumisten vaihto sekä OKM:n identiteetinhallinnan työryhmän tilannekatsaus. Katso ohjelma ja ilmoittaudu mukaan: https://ssl.eventilla.com/event/xdeAY

Hakan tekninen ryhmä kokoontui 3.12.2020. Kokouksessa tekninen ryhmä vahvisti Hakassa siirryttävän käyttämään EduPersonAssurance-attribuuttia ilmaisemaan taso, jolla käyttäjän ensitunnistaminen on suoritettu käyttäjän kotiorganisaatiossa. Attribuutti on mukana FunetEduPerson skeeman versiossa 2.4, mikä astuu voimaan vuoden 1.1.2021.

Ensimmäisessä vaiheessa organisaatiot antavat attribuuteille arvot, joka koskee kaikkia käyttäjiä ja noudattaa Hakassa sovittua ensitunnistamista. Eli nykyisellään attribuutit kuvaavat ja vahvistavat nykytilan uusien attribuuttien esittämisellä. Myöhemmin organisaatiot voivat siirtyä antamaan Haka-tunnuksia myös heikommin tai vahvemmin ensitunnistetuille käyttäjille ilmoittaen tämän tason osana tunnistusvastausta. 

Muutos koskettaa kotiorganisaatioita vuoden 2021 alusta, jolloin kotiorganisaatioiden tulisi toimittaa uusi attribuutti osana muita attribuutteja. Käyttöönoton tekninen ohjeistus löytyy Shibbolethille ja attribuutteja voi testata Hakan attribuuttitestipalvelussa sekä testipalveluissa.

Muutos Hakassa sallia heikompi ensitunnistaminen tapahtuu myöhemmin ja sen yhteydessä sovitaan siirtymäaika, jonka aikana palveluilla on aikaa varautua muutokseen. Aikataulusta ja käytännön toimista tiedotetaan myöhemmin vuoden 2021 aikana. 

Lisätietoja tasoista ja muutoksesta löytyy Refeds Assurance Framework:sta, edellisistä Hakan teknisen ryhmän kokouksista sekä FunetEduPerson-skeemasta:

Haka-organisaatioiden päivittäessä Shibboleth IdP versiota kolme versioon neljä, voi tulla vastaan, että aiemmin toiminut palvelu on lakannut toimimasta. Mikäli tällaisesta tulee raportti tai havainto, ensimmäiseksi kannattaa tarkistaa tukeeko palvelu, jonne kirjautuminen epäonnistuu GCM-algoritmia SAML2-viestin salaamisessa.

IdP4:ssa on oletuksena GCM-algoritmi päällä ja moni vanhempi SAML2 SP -totetus ei GCM-algoritmia osaa. Ensisijaisesti palvelun kannattaisi päivittää SP:nsa uudempaan versioon, mutta jos se ei onnistu ja tarvitaan nopea korjaus, IdP:ssä voidaan kyseinen palvelu konfiguroida vanhemmalle algoritmille. CSC on kerännyt listaa palveluista, joissa ongelma tulee vastaan ja niille esimerkkikorjausta. Listaa päivitetään uusien tietojen saapuessa. Havaituista ongelmista kannattaa ilmoittaa haka@csc.fi, niin lisäämme tietoja palveluista listaan. 

Lisätietoa GCM-algoritmista: https://wiki.shibboleth.net/confluence/display/IDP4/GCMEncryption

Ohjeet IdP:n konfigurointiin ja lista palveluista: https://wiki.eduuni.fi/display/CSCHAKA/Usein+kysytyt+kysymykset#Useinkysytytkysymykset-P%C3%A4ivitinIdP:nversioonnelj%C3%A4jajoihinkinpalveluihinestyip%C3%A4%C3%A4sy

Haka-metadatan varmentamisessa käytettävä varmenne vaihtuu. Allekirjoitusavain pysyy ennallaan, vain varmenne päivitetään ennen voimassaolon päättymistä. Muutoksella ei ole teknisesti vaikutusta SAML-määritysten mukaisesti toimiviin SAML-tuotteisiin. Haka-operaattori suosittelee ja SAML-määritykset edellyttävät, että Haka-metadataan luottavat osapuolet käyttävät metadatan allekirjoituksen tarkastamisessa ajantasaista varmennetta. Metadataan luottava on myös velvollinen noudattamaan varmentajan julkaisemaa varmennepolitiikkaa. Hakassa käytetään Funet varmennepalvelun varmennetta.

Haka-palvelut voivat jo etukäteen varmistua SAML-tuotteensa tuesta uudelle varmenteelle. 30.10.2020 lähtien julkaistaan kaksi metadataa, jotka eroavat toisistaan vain allekirjoituksessa käytetyn varmenteen osalta. Rinnakkainen, uudella varmenteella allekirjoitettu metadata löytyy osoitteesta:

Uusi varmenne otetaan käyttöön varsinaisen metadatan allekirjoituksessa 1.12.2020. Tähän päivään mennessä Haka-metadataan luottavien on varmistettava, että voivat käyttää uudella varmenteella varmennettavaa metadataa. Varsinainen metadata julkaistaan nyt ja jatkossa osoitteessa:

Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet: Metadata .

Yhteenveto

PäivämääräTapahtumat
29.10.2020Uusi metadatan varmenne julkaistiin
30.10-30.11.2020Lataa uusi varmenne palvelimellesi ja konfiguroi se käyttöön 30.10. - 30.11.2020 välillä.
1.12.2020Metadata julkaistaan vain uudella varmenteella allekirjoitettuna osoitteesta: https://haka.funet.fi/metadata/haka-metadata.xml
  • Vaihdettu varmenne toimii sellaisenaan metadatan kanssa.




The certificate used to verify Haka-metadata will change on 1.12.2020. Service Provider and Identity Provider administrators can test their service's interoperability with the new certificate in advance. Please see details of the Haka metadata.

Summary

DateEvents
29.10.2020

New metadata certificate was published

30.10-30.11.2020

Download the new certificate and adjust your service to use it between 30.10.-30.11.2020

1.12.2020Only the actual metadata will be published with the new certificate: https://haka.funet.fi/metadata/haka-metadata.xml

Hakan tekninen ryhmä kokoontuu to 3.12.2020 klo 13.00 videokokoukseen aiheena mail -attribuutin relevanssin vahvistaminen ja eduPersonAssurance attribuutin IAP/medium vastaavuus nykyiseen luottamusverkoston ensitunnistustasoon.

Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.

Kokouksen esityslista: https://wiki.eduuni.fi/x/tzNACg

Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.

Tervetuloa IAM-verkoston etätapaamiseen! Ohjelmassa on Laurean IAM-ratkaisuesittelyä sekä Haka-ajankohtaisia asioita, ja näiden lisäksi mm. ulkopuolinen vierailija Sveitsin Hakaa vastaavan SWITCH:n eduID:stä. Luvasssa on myös tilannekatsaus OKM:n asettaman identiteetinhallinta työryhmän osalta. 

Tarkan ohjelman ja aikataulun, sekä Zoom-linkin tapahtumaan löydät ohjelmasivulta: https://ssl.eventilla.com/event/nX9K3


Hakan tekninen ryhmä kokoontuu ke 9.9.2020 videokokoukseen aiheena funetEduPerson-skeeman päivittäminen. Päivityksessä eduPersonAssurance attribuutti muuttuu pakolliseksi. Päivitetty skeema on ehdotettu tulevan voimaan 1.1.2021.

Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.

Kokouksen esityslista: Tekninen ryhma esityslista 1-2020        

Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.

Tervetuloa Shibboleth IdP v4 webinaarin 6.5.2020! Webinaarissa esittelemme uuden IdP4:n ominaisuuksia ja vaikutuksia Hakaan ja ylläpitäjien toimintaan.

Webinaari on suunnattu korkeakoulujen Haka-ylläpitäjäille, IAM-asiantuntijoille ja Hakan palveluista kiinnostuneille.

Ilmoittaudu mukaan: https://ssl.eventilla.com/event/mlKOp

Esitysmateriaali:

 

Tervetuloa IAM-verkoston etätapaamiseen! IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tällä kertaa tapaaminen järjestetään vain etänä. Tapaamisessa käsitellään mm. IAM-ratkaisuja ja sähköisen asianhallinnan toteutusta, Digi- ja väestötietoviraston (DVV) suunnitelmia Suomi.fi-tunnistuksen ja sähköisen allekirjoituksen osalta, ja siitä mitä digitaalinen identiteetinhallinta tarkoittaa. Kuulemme myös mitä Digivisioon liittyvässä ideamuotoilussa on käsitelty. Katso ohjelma kokonaisuudessaan: https://ssl.eventilla.com/event/nVRE4

Shibboleth IdP:stä on julkaistu versio 4. Kyseessä on major-version päivitys, joka tarjoaa uusia ominaisuuksia ja muutoksia aiempaan versioon 3.

Shibboleth version 3 tuki lakkaa vuoden 2020 lopussa, joten kaikkien IdP-ylläpitäjien tulee varautua päivittämään IdP:nsä tämän vuoden aikana. Julkaisun muutokset ovat dokumentoidut: https://wiki.shibboleth.net/confluence/display/IDP4/ReleaseNotes

Huomion arvoista päivittäjille ja uusille asentajille ovat muutokset oletusasetuksiin ja tuettuihin alustoihin. Jatkossa IdP on täysin tuettu Javan version 11 kanssa.
Esimerkkinä muutoksista oletusasetuksissa on muuttunut käytettävä algoritmi XML-salauksessa, mikä todennäköisesti tulee aiheuttamaan ongelmia joidenkin palveluiden kanssa. Uutena ominaisuutena voidaan nostaa esille IdP:n tuki SAML2-tunnistuslähteelle käyttäjien autentikoinnissa. Tuen avulla organisaation on mahdollista hoitaa käyttäjätunnistus esim. AzureAD:n avulla ja käyttää Shibboleth IdP:ta muodostaessaan luottosuhteita Haka-palveluihin. 

IdP4:n dokumentaatio on omassa wikissään: https://wiki.shibboleth.net/confluence/display/IDP4/Home

Tilattomassa HTTP protokollassa keksejä [1] käytetään mm. istuntojen hallintaan, sivustojen personalisointiin ja sivustojen käytön seurantaan. Viimeisin suurempi muutos tällä saralla lienee SameSite attribuutin oletusarvon muutos Chrome 80 [2] myötä. Aiemman SameSite=none oletuksen sijaan jatkossa selaimet toimivat SameSite=Lax oletuksella. Muutoksella pyritään suojautumaan entistä paremmin mm. CSRF [3] hyökkäyksien varalta. Vaikka SameSite attribuutti on ollut selaimien tukema, vanhan oletuksen vuoksi sen käyttöönotto on kuitenkin ollut vähäistä.

Muutoksella on joissain tapauksissa vaikutusta myös SAML toteutuksiin. Shibboleth IdP ohjelmiston toimintaa on testattu [4] uuden oletuksen vaikutuksilta eri selaimilla. Haka SAML2 profiilin [5] mukaisessa käytössä testitulokset ovat odotettuja, ts. Shibboleth IdP ja kertakirjautumiset toimivat. Palveluntarjoajia kehoitetaan kuitenkin testaamaan muutoksen vaikutukset toteutuksissaan.

Yhteenvedot vaikutuksista Shibboleth IdP ja SP ohjelmistojen tapauksessa ovat saatavilla [6] [7].

[1] https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-04
[2] https://www.chromestatus.com/feature/5088147346030592
[3] https://owasp.org/www-community/attacks/csrf
[4] https://wiki.shibboleth.net/confluence/display/DEV/IdP+SameSite+Testing
[5] https://wiki.eduuni.fi/display/CSCHAKA/SAML-profiili
[6] https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
[7] https://wiki.shibboleth.net/confluence/display/SP3/SameSite

IAM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Tammikuun tapaamisessa on aiheina mm. Hakan tilannekatsaus, sekä ohjausryhmän järjestäytyminen ja verkoston tapaamisten ajankohdista ja paikoista päättäminen. Ilmoittaudu mukaan https://www.csc.fi/web/training/-/iam-verkoston-tapaami-11

AM-verkosto sparraa korkeakoulujen identiteetinhallinnan (IdM/IAM) kehittämistä vertaistukiperiaatteella. Syyskuun tapaamisessa aiheina mm. SisuID-tilannekatsaus ja IAM-ratkaisujen vertailu. Käydään myös keskustelua Hakan ensitunnistuksen tasosta ja LoA:sta. Ohjelma kokonaisuudessaan ja ilmoittautuminen löytyvät tapahtumasivulta: https://www.csc.fi/web/training/-/iam-verkoston-tapaami-10

Tervetuloa OpenID Connect -koulutukseen! Kurssilla tututustaan OpenID Connect protokollaan toimintaan ja käyttöön. Tarkoituksena on saada yleiskuva protokollasta sekä valmiudet ottaa käyttöön OpenID Connect -protokolla organisaatiossa. Esimerkkitoteutuksena käytetään Hakassa suosittua Shibboleth IdP -ohjelmistoa. Kurssilla toteutetaan myös esimerkkisovellus, joka kytketään Shibboleth OpenID Connect -tunnistuspalvelimeen.

Katso ohelma ja ilmoittaudu mukaan täällä: OpenId Connect 2019