Haka-luottamusverkostossa otetaan käyttöön palveluiden (Service Provider) Discovery Response -osoitteen tarkistaminen kotiorganisaation valintapalvelulussa eli Discovery Servicessa. Muutos voi aiheuttaa puutteellisesti tai virheellisesti rekisteröidyissä Haka-palveluissa häiriöitä ellei niissä korjata rekisteröintiä.
Ketä muutos koskee?
Muutos koskee Hakassa olevia palveluita (Service Provider), jotka käyttävät Hakan keskitettyä organisaationvalintapalvelua, Discovery Serviceä. Mikäli palvelusi ei käytä lainkaan Hakan keskitettyä DS-palvelua, ei osoitteen asettamiselle ole tarvetta.
Kotiorganisaatioiden eli Identity Provider -ylläpitojen ei tarvitse tehdä toimenpiteitä. Heidän kuitenkin syytä huomioida muutos ja mahdollisuus ongelmatilanteisiin kesäkuussa.
Palveluiden rekisteröinnin yhteydessä Hakassa on jo pitkään voinut asettaa DS Response osoitteen. Osa palveluista on näin toiminut ja lisännyt DS Response -osoitteen osaksi palvelunsa metatietoja Hakan resurssirekisterissä. On kuitenkin havaittu, että kaikilla ei DS Response -osoitetta ole tai on syytä epäillä sen olevan väärin asetettu.
Miksi muutos tehdään?
Ottamalla osoitteen tarkistamisen käyttöön Hakan DS-palvelussa, ehkäistään mahdollisuuksia kalastella käyttäjien kirjautumistietoja ja parannetaan tietoturvaa.
Mikä on muutoksen aikataulu?
| Maaliskuu 2024 | Muutoksesta tiedottaminen kaikille Hakaan kuuluville organisaatioille |
| 19.3.-9.6.2024 | Siirtymäaika |
| 10.6.2024 | Tarkistus kytketään päälle |
Siirtymäajan aikana operaattori tiedottaa muutoksesta lisää sekä pyrkii löytämään sellaiset palvelut, joissa on syytä epäillä osoitteen olevan väärin asetettu tai puuttuva.
Mitä palvelun tulee tehdä?
- Tarkista onko DS-osoite syötetty osaksi palvelun metatietoja. Voit tarkistaa palvelusi tiedoista Hakan resurssirekisteristä tai tarkastelemalla Haka-metadatatiedoston sisältämiä palvelusi tietoja.
- Osoitteen oikeellisuuden voi tarkistaa esim. testaamalla kirjautumista ja vertaamalla selaimessa DS-palvelulle annettua osoitetta metadatassa olevaan.
Tarkemmat ohjeet tarkistamisesta: Discovery Response
Mikäli on tarve päivittää tai lisätä DS Response -osoite, sitä voi muokata suoraan Resurssirekisterissä tai ottaa yhteys Haka-helpdeskiin.
Tarkistamisen huomiotta jättäminen voi vaarantaa koko palvelun toiminnan Hakassa.
In the Haka trust network, checking the Discovery Response address of the services (Service Provider) in the home organization's selection service, i.e. Discovery Service, is introduced. The change may cause disturbances in incompletely or incorrectly registered Haka services unless the registration is corrected.
Who does the change affect?
The change applies to Haka's services (Service Provider) that use Haka's centralized organization selection service, Discovery Service. If your service does not use Haka's centralized DS service at all, there is no need to set the address.
Home organizations, i.e. Identity Provider administrations, do not need to take any steps. However, they should take into account the change and the possibility of problem situations in June.
In connection with the registration of services, Hakassa has long been able to set a DS Response address. Some of the services have operated this way and added the DS Response address as part of their service's metadata in Haka's resource register. However, it has been found that not everyone has a DS Response address or there is reason to suspect that it is incorrectly set.
Why is the change made?
By enabling address verification in Haka's DS service, the possibility of fishing for users' login information is prevented and data security is improved.
What is the timetable for the change?
| March 2024 | Informing all organizations belonging to Haka about the change |
| 19.3.-9.6.2024 | Transition period |
| 10.6.2024 | Verification is activated |
What procedures to be done?
- Verify the DS Response address set for your service. You may use either the Haka Resource Registry or the Haka metadata file
- The correctness of the address may be checked, for example, by testing the login and comparing the address sent to the DS service in the browser with the one in the metadata.
For more detailed instructions on how to review: Discovery Response
If you need to update or add a DS Response address, you can edit it directly in the Resource Register or contact the Haka helpdesk.
Ignoring the check can endanger the operation of the entire service in Haka.
Possible_missing_DSR_URLs_20240606.xlsx
Allekirjoitustyökalumme private avaimet ovat muuttuneet, emmekö halua sekoittaa vanhalla avaimella allekirjoitettua metadata uudella v9 avaimella allekirjoitettuun metadataan ja tämän johdosta versiointi on lisätty myös metadata tiedoston nimeen.
Haka-metadatan varmentamisessa käytettävä varmenne ja allekirjoitusavain vaihtuvat 28.5.2024, johon mennessä kaikkien iDP/SP-palveluiden tulee siirtyä käyttämään uutta varmennetta ja uutta osoitettta metadatan osalta .
Miksi muutos tehdään
Uuden avaimen muutoksen yhteydessä allekirjoitukseen käytetty ympäristö päivittyy ja Haka-metadatan julkaisuprosessi saadaan entistä joustavammaksi ja asiakasystävällisemmäksi.
Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet löytyvät jatkossakin :https://wiki.eduuni.fi/display/CSCHAKA/Metadata
Toimenpiteet
| 2.5.2024-27.5.2024 |
| Voit aloittaa tuotantopalveluiden siirtämisen käyttämään uudella v9 avaimella allekirjoitettua metadataa ja tarkastaa sen uudella varmenteella. |
| 28.5.2024 |
| Haka-metadatan tarkistamiseen käytetty varmenne tulee olla päivitetty ja metadata on haettava uudesta osoitteesta. Ilman vaadittuja toimenpiteitä, Haka-palvelut lakkaavat toimimasta kyseisessä IdP-/SP-palvelussa |
Lisätietoja: haka@csc.fi .
The Haka metadata certificate and signing key have changed since May 2, 2024
The certificate and signing key used to verify Haka metadata is changed on May 28, 2024, by which time all iDP/SP services must switch to using the new certificate and the new address for metadata.
Why is the change made?
In connection with the new key change, the environment used for signing will be updated and the publishing process of Haka metadata will be made even more flexible and customer-friendly.
Details on the distribution of metadata and the certificates valid at any given time can be found in the: Metadata
To do list
| 2.5.2024-27.5.2024 |
| You can start transferring the production services to use the Haka metadata signed with the new signing key and check it with the new certificate. |
| 28.5.2024 |
| The certificate used to check the Haka metadata must be updated and the metadata must be retrieved from the new address. Without the required tasks, the Haka services will stop working in that IdP/SP service |
additional information: haka@csc.fi