Joulukuusta 2023 lähtien REFEDS Sirtfi v2 on tuettuna Hakan jäsenille ja kumppaneille.
Sirtfin avulla kotiorganisaatiot ja palvelut voivat osoittaa Sirtfi-vaatimuksenmukaisuuden eduGAIN-luottamusverkostossa.
Suosittelemme kaikkia kotiorganisaatioita ja palveluita suorittamaan Sirtfi-itsearvioinnin.
EduGAINissa on jo palveluita, jotka edellyttävät Sirtfi-vaatimuksenmukaisuuden osoittamista eduGAIN-metadatassa.
Ohjeita itsearvioinnin suorittamiseen ja vaatimuksenmukaisuuden osoittamiseen eduGAIN-metadatassa löytyy osoitteesta: https://wiki.eduuni.fi/x/jcB0GQ.
Kesä-elokuun 2023 aikana Haka-metadata pyritään julkaisemaan seuraavasti. Operaattori voi muuttaa julkaisupäivää julkaisuviikolla tarvittaessa.
Viikko | Haka-metadatan julkaisu |
|---|---|
| 23 | Haka-metadatan julkaisu 7.6. |
| 24 | Haka-metadatan julkaisu 14.6. |
| 25 | Haka-metadataa ei julkaista |
| 26 | Haka-metadatan julkaisu 28.6. |
| 27 | Haka-metadataa ei julkaista |
| 28 | Haka-metadatan julkaisu 12.7. |
| 29 | Haka-metadataa ei julkaista |
| 30 | Haka-metadatan julkaisu 26.7. |
| 31 | Haka-metadataa ei julkaista |
| 32 | Haka-metadatan julkaisu 9.8. |
FunetEduPerson-skeeman version 2.5 tuli voimaan Haka-teknisen ryhmän päätöksellä 1.9.2022. Muutokset edelliseen versioon (2.4) löydät täältä: https://wiki.eduuni.fi/display/CSCHAKA/funetEduPerson-skeema
Kesä-heinäkuun 2022 aikana Haka-metadata pyritään julkaisemaan seuraavasti. Operaattori voi muuttaa julkaisupäivää julkaisuviikolla tarvittaessa.
Viikko | Haka-metadatan julkaisu |
|---|---|
| 24 | Haka-metadatan julkaisu 16.6. |
| 25 | Haka-metadataa ei julkaista |
| 26 | Haka-metadatan julkaisu 29.6 |
| 27 | Haka-metadataa ei julkaista |
| 28 | Haka-metadatan julkaisu 13.7. |
| 29 | Haka-metadataa ei julkaista |
| 30 | Haka-metadatan julkaisu 27.7. |
Kesäkuun 2022 alusta lähtien REFEDS Sirtfi on tuettuna Hakan jäsenille ja kumppaneille.
Sirtfin avulla kotiorganisaatiot ja palvelut voivat osoittaa Sirtfi-vaatimuksenmukaisuuden eduGAIN-luottamusverkostossa.
Suosittelemme kaikkia kotiorganisaatioita ja palveluita suorittamaan Sirtfi-itsearvioinnin.
EduGAINissa on jo palveluita, jotka edellyttävät Sirtfi-vaatimuksenmukaisuuden osoittamista eduGAIN-metadatassa.
Ohjeita itsearvioinnin suorittamiseen ja vaatimuksenmukaisuuden osoittamiseen eduGAIN-metadatassa löytyy osoitteesta: https://wiki.eduuni.fi/x/FBZEDQ.
Vallitsevan poikkeustilanteen vuoksi metadata julkaistaan normaalitilannetta harvemmin, kahden viikon välein keskiviikkoisin (parittomina viikkoina).
Mikäli on tarvetta jollekin tietylle päivällä saada metadataa julkaistua, on asiasta oltava yhteydessä hyvissä ajoin Hakan helpdeskiin (haka@csc.fi), jotta voidaan selvittää mahdollisuuksia julkaisuun.
Alla Shibboleth announcement -listalta Scott Cantorin tiedote Shibbolethin log4j-haavoittuvuden osalta.
Asia on tiedotettu myös erikseen haka-teknisten sähköpostilistalle.
Log4j CVE (non)-impact
"We’re getting a lot of noise about this, just trying to save more emails
here.
Shibboleth does not use log4j. We ship a bridge for it to slf4j but that's not
vulnerable, the bug is in log4j itself. We allow (in theory) the IdP to be
manipulated to log to log4j through the slf4j API but we don't ship that or
provide any code or examples for doing that.
The Jetty on Windows package is equipped with logback for logging, not log4j.
Otherwise, we have nothing to do with the servlet container configuration and
logging choices you yourselves may or may not have made, or any other
packaging of our software that may include log4j from other sources, that's
outside our scope as a project.
-- Scott
Kesällä 2021 Haka-metadata pyritään julkaisemaan seuraavasti. Operaattori voi muttaa julkaisupäivää julkaisuviikolla tarvittaessa.
Viikko | Haka-metadatan julkaisu |
|---|---|
| 25 | Haka-metadatan julkaisu 23.6. |
| 26 | Haka-metadataa ei julkaista |
| 27 | Haka-metadatan julkaisu 7.7. |
| 28 | Haka-metadataa ei julkaista |
| 29 | Haka-metadatan julkaisu 21.7. |
| 30 |
Haka-metadatan julkaisu 27.7 |
| 31 | Haka-metadatan julkaisu 4.8. |
Tähän asti Hakassa kaikki käyttäjät ovat tunnistetut korkeakoulujen toimesta viranomaisen myöntämän asiakirjan avulla tai vastaavasti käyttäjätunnuksia myönnettäessä.
Vuoden 2022 alussa Haka luottamusverkoston ensitunnistuskäytöntö muuttuu REFEDS Assurence Framework (RAF) [1] määrityksen mukaiseksi, jolloin kotiorganisaatiot voivat toteuttaa ensitunnistuksen varmuuden kolmiasteisesti nousevassa vaatimusjärjestyksessä. Uutuutena nykyiseen on sallia myös alemman tason ensitunnistus, esimerkiksi perustuen sähköpostiin.
Muutoksen avulla korkeakoulut ja palveluntarjoajat voivat joustavammin tarjota palveluitaan esimerkiksi ulkomaalaisille opiskelijoille ja tutkijoille. Uusien käyttäjäryhmien lisääntyminen voi aiheuttaa Hakaan kytketyille palveluille tarpeen tarkistaa omia käytäntöjään ja toimintatapojaan, jotta heikommin tunnistetut käyttäjät voidaan palveluissa tarvittaessa erotella muista käyttäjistä.
Haka luottamusverkoston liittymissopimuksessa velvoitetaan palveluntarjoajat valvomaan palvelun oikeutettua käyttöä. Jos palvelu edellyttää tiettyä ensitunnistuksen varmuutta, palvelun tulisi alkaa pyytää RAF määrityksen mukaisesti eduPersonAssurance attribuuttia ja alkaa tarkistaa attribuutin arvot käyttöoikeuden varmistamiseksi. Palvelun pyytämät attribuutit asetetaan resurssirekisterissä [2].
Ennen vuoden 2022 alkua kotiorganisaatiot luovuttavat eduPersonAssurance attribuutin arvoja nykyisen luottamusverkoston toimintakäytännön [3] mukaisesti. Tällä tavoin palvelut voivat tarvittaessa jo ennen varsinaista käytäntömuutosta mukautua muutokseen.
Kaikkien Hakaan liitettyjen palveluiden tulee arvioida muutoksen vaikutus omassa palvelussaan. Mikäli heikommin tunnistetuista käyttäjistä ei ole palvelulle vaikutusta, tilanne jatkuu muuttumattona. Mikäli tarvetta muutoksille on, tulee palvelussa tehdä tarvittaat pääsynvalvontasäännöt uusien attribuuttien perusteella.
Lisätietoja uudistuksesta voi tiedustella osoitteesta haka at csc.fi . Muutoksesta tiedotetaan uudelleen vuoden edetessä.
------
Currently all users in Haka are identified by higher education institutions by means of a document issued by the authority or equivalent when issuing user IDs.
At the beginning of 2022, the identity proofing policy of the Haka identity federation will change to match the REFEDS Assurence Framework (RAF) [1] definition, allowing home organizations to implement identity proofing assurance in three levels of increasing requirements. Particularly, the change allows a lower level identity proofing, for example based on email.
The change will allow universities and service providers to offer their services more flexibly, for example to foreign students and researchers. The increase in new user groups may necessitate the service providers to review their own policies and practices, in order to distinguish the less identity proofed users from other users in the services, if necessary.
The Haka service agreement obliges service providers to monitor the legitimate use of the service. If the service requires a certain level of identity proofing, the service should start requesting the eduPersonAssurance attribute as defined by the RAF specification and begin checking the attribute values to enforce the service access policy, if any. The attributes requested by the service are set in the resource registry [2].
Before the beginning of 2022, home organizations will release the values of the eduPersonAssurance attribute according to the current identity federation policy [3]. In this way, the services can adapt to the change before the actual policy update, if needed.
All services providers must assess the impact of the change on their services. If the lower identity proofing level has no effect on the service, the situation will remain unchanged. If there is a need for changes, the service must enforce the necessary access control based on the new attribute values.
For additional information, please contact haka at csc.fi. Further announcements will be sent later.
[ 1 ] https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0
[ 2 ] https://rr.funet.fi/rr
Tervetuloa IAM-verkoston etätapaamiseen 21.1.2021! Tammikuun tapaamisessa aiheina ovat mm. Hakan tilannekatsaus, ohjausryhmän valinta vuodelle 2021 ja verkoston tapaamisten ajankohdista ja paikoista päättäminen, IAM-kuulumisten vaihto sekä OKM:n identiteetinhallinnan työryhmän tilannekatsaus. Katso ohjelma ja ilmoittaudu mukaan: https://ssl.eventilla.com/event/xdeAY
Hakan tekninen ryhmä kokoontui 3.12.2020. Kokouksessa tekninen ryhmä vahvisti Hakassa siirryttävän käyttämään EduPersonAssurance-attribuuttia ilmaisemaan taso, jolla käyttäjän ensitunnistaminen on suoritettu käyttäjän kotiorganisaatiossa. Attribuutti on mukana FunetEduPerson skeeman versiossa 2.4, mikä astuu voimaan vuoden 1.1.2021.
Ensimmäisessä vaiheessa organisaatiot antavat attribuuteille arvot, joka koskee kaikkia käyttäjiä ja noudattaa Hakassa sovittua ensitunnistamista. Eli nykyisellään attribuutit kuvaavat ja vahvistavat nykytilan uusien attribuuttien esittämisellä. Myöhemmin organisaatiot voivat siirtyä antamaan Haka-tunnuksia myös heikommin tai vahvemmin ensitunnistetuille käyttäjille ilmoittaen tämän tason osana tunnistusvastausta.
Muutos koskettaa kotiorganisaatioita vuoden 2021 alusta, jolloin kotiorganisaatioiden tulisi toimittaa uusi attribuutti osana muita attribuutteja. Käyttöönoton tekninen ohjeistus löytyy Shibbolethille ja attribuutteja voi testata Hakan attribuuttitestipalvelussa sekä testipalveluissa.
Muutos Hakassa sallia heikompi ensitunnistaminen tapahtuu myöhemmin ja sen yhteydessä sovitaan siirtymäaika, jonka aikana palveluilla on aikaa varautua muutokseen. Aikataulusta ja käytännön toimista tiedotetaan myöhemmin vuoden 2021 aikana.
Lisätietoja tasoista ja muutoksesta löytyy Refeds Assurance Framework:sta, edellisistä Hakan teknisen ryhmän kokouksista sekä FunetEduPerson-skeemasta:
Haka-organisaatioiden päivittäessä Shibboleth IdP versiota kolme versioon neljä, voi tulla vastaan, että aiemmin toiminut palvelu on lakannut toimimasta. Mikäli tällaisesta tulee raportti tai havainto, ensimmäiseksi kannattaa tarkistaa tukeeko palvelu, jonne kirjautuminen epäonnistuu GCM-algoritmia SAML2-viestin salaamisessa.
IdP4:ssa on oletuksena GCM-algoritmi päällä ja moni vanhempi SAML2 SP -totetus ei GCM-algoritmia osaa. Ensisijaisesti palvelun kannattaisi päivittää SP:nsa uudempaan versioon, mutta jos se ei onnistu ja tarvitaan nopea korjaus, IdP:ssä voidaan kyseinen palvelu konfiguroida vanhemmalle algoritmille. CSC on kerännyt listaa palveluista, joissa ongelma tulee vastaan ja niille esimerkkikorjausta. Listaa päivitetään uusien tietojen saapuessa. Havaituista ongelmista kannattaa ilmoittaa haka@csc.fi, niin lisäämme tietoja palveluista listaan.
Lisätietoa GCM-algoritmista: https://wiki.shibboleth.net/confluence/display/IDP4/GCMEncryption
Ohjeet IdP:n konfigurointiin ja lista palveluista: https://wiki.eduuni.fi/display/CSCHAKA/Usein+kysytyt+kysymykset#Useinkysytytkysymykset-P%C3%A4ivitinIdP:nversioonnelj%C3%A4jajoihinkinpalveluihinestyip%C3%A4%C3%A4sy
Haka-metadatan varmentamisessa käytettävä varmenne vaihtuu. Allekirjoitusavain pysyy ennallaan, vain varmenne päivitetään ennen voimassaolon päättymistä. Muutoksella ei ole teknisesti vaikutusta SAML-määritysten mukaisesti toimiviin SAML-tuotteisiin. Haka-operaattori suosittelee ja SAML-määritykset edellyttävät, että Haka-metadataan luottavat osapuolet käyttävät metadatan allekirjoituksen tarkastamisessa ajantasaista varmennetta. Metadataan luottava on myös velvollinen noudattamaan varmentajan julkaisemaa varmennepolitiikkaa. Hakassa käytetään Funet varmennepalvelun varmennetta.
Haka-palvelut voivat jo etukäteen varmistua SAML-tuotteensa tuesta uudelle varmenteelle. 30.10.2020 lähtien julkaistaan kaksi metadataa, jotka eroavat toisistaan vain allekirjoituksessa käytetyn varmenteen osalta. Rinnakkainen, uudella varmenteella allekirjoitettu metadata löytyy osoitteesta:
Uusi varmenne otetaan käyttöön varsinaisen metadatan allekirjoituksessa 1.12.2020. Tähän päivään mennessä Haka-metadataan luottavien on varmistettava, että voivat käyttää uudella varmenteella varmennettavaa metadataa. Varsinainen metadata julkaistaan nyt ja jatkossa osoitteessa:
Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet: Metadata .
Yhteenveto
| Päivämäärä | Tapahtumat |
|---|---|
| 29.10.2020 | Uusi metadatan varmenne julkaistiin
|
| 30.10-30.11.2020 | Lataa uusi varmenne palvelimellesi ja konfiguroi se käyttöön 30.10. - 30.11.2020 välillä.
|
| 1.12.2020 | Metadata julkaistaan vain uudella varmenteella allekirjoitettuna osoitteesta: https://haka.funet.fi/metadata/haka-metadata.xml
|
The certificate used to verify Haka-metadata will change on 1.12.2020. Service Provider and Identity Provider administrators can test their service's interoperability with the new certificate in advance. Please see details of the Haka metadata.
Summary
| Date | Events |
|---|---|
| 29.10.2020 | New metadata certificate was published
|
| 30.10-30.11.2020 | Download the new certificate and adjust your service to use it between 30.10.-30.11.2020
|
| 1.12.2020 | Only the actual metadata will be published with the new certificate: https://haka.funet.fi/metadata/haka-metadata.xml |
Hakan tekninen ryhmä kokoontuu to 3.12.2020 klo 13.00 videokokoukseen aiheena mail -attribuutin relevanssin vahvistaminen ja eduPersonAssurance attribuutin IAP/medium vastaavuus nykyiseen luottamusverkoston ensitunnistustasoon.
Kullakin Hakan jäsenorganisaatiolla on oikeus asettaa edustajansa teknisen ryhmän kokoukseen.
Kokouksen esityslista: https://wiki.eduuni.fi/x/tzNACg
Kokoukseen ei tarvitse erikseen ilmoittautua. Kokousedustajat todetaan videokokouksen osallistujaluettelon perusteella.
Tervetuloa IAM-verkoston etätapaamiseen! Ohjelmassa on Laurean IAM-ratkaisuesittelyä sekä Haka-ajankohtaisia asioita, ja näiden lisäksi mm. ulkopuolinen vierailija Sveitsin Hakaa vastaavan SWITCH:n eduID:stä. Luvasssa on myös tilannekatsaus OKM:n asettaman identiteetinhallinta työryhmän osalta.
Tarkan ohjelman ja aikataulun, sekä Zoom-linkin tapahtumaan löydät ohjelmasivulta: https://ssl.eventilla.com/event/nX9K3