JA T3 Framework

Fast. Flexible. Powerful

Kontakt

Metadataskift

Visse SP'er mangler attributter efter installation af WAYFs nye metadata

Det er en kendt fejl ved WAYFs hidtidige setup (svarende til WAYFs gamle metadata) at hver attributværdi optræder hele to gange i login-svaret til rigtigt mange af SP'erne: én gang med attributtens navn i det såkaldte basic name-format (fx schacPersonalUniqueID) og én gang med attributtens tilsvarende navn i URI-formatet (fx urn:oid:1.3.6.1.4.1.25178.1.2.15). De SP'er som får sådanne login-svar fra WAYFs gamle setup, er: dem for hvilke der inde i JANUS ikke er angivet noget specifikt navneformat (AttributeNameFormat).

WAYFs nye setup (svarende til WAYFs nye metadata) leverer altid kun hver attributværdi i ét navneformat: i URI-formatet hvis dét er angivet for den modtagende SP inde i JANUS – ellers i basic name. SP'er som ikke har specificeret noget navneformat inde i JANUS, men som til trods forudsætter at attributterne leveres i URI-formatet, vil derfor ikke længere modtage de forventede attributter når de indlæser WAYFs nye metadata (som peger på WAYFs nye setup). Berørte tjenesteudbydere kan let løse problemet – ved at sætte AttributeNameFormat til uri inde i JANUS. Repetér evt. (nederste afsnit af) JANUS-quick quide'en.

WAYFs kontrakter med tjenesteudbyderne angiver kun de aftalte attributter i basic name-formatet; og som tjenesteudbyder kan man ikke forudsætte at ens tjeneste får leveret attributværdierne i URI-formatet medmindre man har angivet inde i JANUS at dét skal ske. Applikationer som forudsætter attributleverance i URI-formatet uden specifikation inde i JANUS, forlader sig på udokumenteret funktionalitet i WAYFs gamle setup.

Tip til skift af metadata i en ADFS sat op som claims provider mod WAYF

Inden man indlæser WAYFs nye metadata i sin ADFS, skal man have styr på følgende:

  • ADFS'ens setting SignedSamlRequestsRequired skal være sat til false.
  • Inde i JANUS skal flagene redirect.sign og redirect.validate være sat til false.
  • Hvis man importerer WAYFs metadata­signerings­certifikat (se nederst her) i sin keystore, skal man muligvis sørge for at ADFS'en ikke kontrollerer det certifikats chain eller root.

Tredje varslingsmail om metadataskiftet

Kære WAYF-kontaktperson!


WAYF har i de foregående uger varslet at tilsluttede tjenester og institutioner vil skulle skifte metadata på deres WAYF-servere her i maj 2016.

De nye WAYF-metadata er nu blevet offentliggjort på https://metadata.wayf.dk/wayf-metadata.xml og virker allerede nu med WAYF. De gamle metadata vil virke med WAYF til og med den 30. maj 2016. Din organisation har derfor 19 dage fra i dag til at få skiftet WAYF-metadata i jeres SAML2-server. Hvis I intet foretager jer, vil jeres WAYF-forbindelse den 31. maj 2016 holde op med at virke.

I skal konsultere jeres SAML2-softwares dokumentation for at finde ud af hvordan metadata skiftes/opdateres. WAYF kan ikke hjælpe med opdatering af specifikke SAML2-implementeringer, kun give følgende helt overordnede vejledning:

Hvis jeres WAYF-servers SAML2-software understøtter opdatering af metadata via en URL, skal I blot indtaste URL'en https://metadata.wayf.dk/wayf-metadata.xml det rigtige sted i jeres SAML2-softwares konfiguration – og evt. også aktivere en import-funktion.

Hvis jeres WAYF-servers SAML2-software ikke understøtter URL-baseret metadata-opdatering, så kan I i stedet downloade filen https://metadata.wayf.dk/wayf-metadata.xml og derpå håndkopiere XML'en herfra ind på det rette sted i jeres SAML2-softwares konfiguration. Vær opmærksom på at browsere ofte ændrer i XML'en når de viser XML-dokumenter.

Visse SAML2-implementeringer understøtter slet ikke indlæsning af XML-baserede metadata, men bruger et særligt internt format. Hvis jeres WAYF-server bruger sådan en SAML2-implementering, får I brug for manuelt at trække bestemte værdier ud af WAYFs nye metadata og indsætte dem på de rette steder i jeres SAML2-softwares konfiguration. For tjenesters (SP'ers) vedkommende drejer det sig i hvert fald om signeringscertifikatet (værdien af elementet ds:X509Certificate inde i md:IDPSSODescriptor'en) og om SSO-URL'en (værdien af Location i elementet md:SingleSignOnService).

Sørg for at kunne rulle tilbage til de gamle metadata hvis det indledningsvis skulle gå galt med de nye. De gamle metadata vil fungere til og med 30. maj 2016.

Særligt for institutioner – VIGTIGT: Hvis jeres WAYF-server er sat op til at verificere signatur på login-requests fra WAYF, er det afgørende vigtigt at I slår dette signaturtjek fra i jeres lokale konfiguration inden I skifter metadata. Hvis jeres server forventer at få signerede requests fra WAYF, vil jeres forbindelse ikke virke med de nye metadata.

Signering af metadata: Bemærk at WAYF-metadata er signeret med privatnøglen svarende til det certifikat som ses nederst på siden her. Med den offentlige nøgle i det certifikat vil I derfor kunne verificere at metadataene på https://metadata.wayf.dk/wayf-metadata.xml er udgivet af WAYF.


Mange venlige hilsner
WAYF-sekretariatet
WAYF

Mail om udskydelse af metadataskift

Kære WAYF-kontaktperson!

WAYF udskyder offentliggørelsen og idriftsættelsen af nye metadata, som ellers skulle være sket i dag. Vi forventer i stedet at være klar onsdag den 11. maj. Alle WAYFs tjenesteudbydere og institutioner vil få mail så snart de nye WAYF-metadata er parat.

Nyheder om WAYFs metadataskift i maj 2016 kan følges her, også som RSS.

Mange venlige hilsner
WAYF-sekretariatet
WAYF

Notification e-mail: BIRK feed to be signed with a different key

Dear WAYF Service Provider,

You receive this e-mail because WAYF has you registered as a technical contact for a SAML2 SP service connected to WAYF - Where Are You From, the Danish e-identity federation for research and higher education.

WAYF wants to notify you of a change in its technical setup that might require minor modification in the setup of your own SAML2 SP server:

If your SAML2 SP server regularly reads the IdP feed located at https://metadata.wayf.dk/birk-idp.xml, and upon reading that feed checks the signature of this XML document against WAYF's metadata signing certificate, you will need to begin using a different metadata signing certificate from WAYF against which to validate the signature. The new signing certificate will be released here. WAYF will begin signing the feed at https://metadata.wayf.dk/birk-idp.xml with the new certificate at 8:00 UTC on Wednesday, May 4, 2016.

If your SAML2 SP connecting to WAYF does not read the feed at https://metadata.wayf.dk/birk-idp.xml, you can safely ignore this notification e-mail.

Best regards,
WAYF Secretariat
WAYF

Anden varslingsmail om metadataskiftet

Vedrørende opdatering af WAYF-metadata, som annonceret 20. april 2016.


WAYF har for nyligt indført et nyt system til beskyttelse af kryptonøgler og har herefter oprettet nye kryptonøgler, som indgår i SAML-metadata. Da WAYF snart skifter til at bruge disse nye nøgler, er det nu nødvendigt for alle jer med tilslutninger til WAYF at foretage en opdatering af jeres lokale systemer.

Opgaven består i at få jeres lokale WAYF-SAML-server til at bruge WAYFs nye metadata. SAML2-metadata beskriver på teknisk niveau forbindelsen til WAYF, herunder også krypto-nøgler.

Der vil blive tale om en overgangsperiode på 21 dage i maj 2016, hvor I har mulighed for at foretage de nødvendige ændringer. Både det gamle og det nye sæt metadata vil fungere i denne tid.

Der er tale om en konfigurationsopdatering, og ikke en opdatering eller omkodning af jeres kørende systemer. I praksis skal jeres system hente det nye WAYF-metadata fra en url.

For at den kryptografiske signatur af det nye metadata kan verificeres, skal I også opdatere WAYFs certifikat til signering af metadata. Certifikatet vil blive tilsendt med e-mail ved annonceringen af den nye url til hentning af metadata den 9. maj 2016.

Det er WAYFs anbefaling, at lokale systemer automatisk opdaterer WAYFs metadata hver sjette time. Som led i opbygningen af beredskab for katastrofesituationer kan det ses som en mulighed for genopretning, at man simpelthen udskifter alt metadata for WAYF, hvilket igen vil kræve at alle opdaterer lokalt. Løbende opdatering af metadata kan synes at være en overforsigtig tilgang, men vi tænker at det ligesåvel kan indarbejdes nu, hvor alle skal foretage ændringer alligevel.

Alternativt kan man manuelt copy-paste indholdet fra WAYFs metadata-url til sin lokale WAYF-konfiguration, men det fraråder vi, fordi dét i beredskabssituationer vil kræve manuel indgriben.


Vigtige datoer:

  • 9. maj 2016 kl. 10.00: Nyt WAYF-metadata offentliggøres og sættes i drift, kører i parallel med det gamle indtil 30. maj 2016 kl 10.00.
  • 30. maj 2016 kl. 10.00: Gammelt WAYF-metadata tages ud af drift. WAYF-baseret login til systemer som ikke er opdaterede med det nye metadata, vil ikke længere fungere.


Herunder, til inspiration, en samling links om redigering af metadata i almindelige SAML-implementeringer:


Mange venlige hilsner
WAYF-sekretariatet
WAYF

Første varslingsmail om metadataskiftet

Til rette vedkommende angående Jeres forbindelse til WAYF - Where Are You From.

(Hvis en anden modtager i Jeres organisation er mere passende, send gerne besked med navn, email og telefonnummer til Denne emailadresse er beskyttet mod programmer som samler emailadresser. Du skal aktivere javascript for at kunne se adressen. )

Hermed sendes varsel om ændringer i den tekniske forbindelse til WAYF, som omfatter alle tilsluttede web-tjenester såvel som institutioner.

En detaljeret beskrivelse af hvad der skal gøres følger per email i næste uge. Denne email har alene til formål at forberede Jer på, at der bør afsættes tid til at gennemføre ændringer i ret nær fremtid.

Ændringerne kan foretages i tidsrummet 9. maj til 30. maj 2016.

Baggrunden for ændringerne er, at WAYF har idriftsat et HSM-system (Hardware Security Module) til håndtering af kryptografiske nøgler. HSM-systemet kører allerede med WAYF’s gamle nøgler, som nu skal udskiftes.

Skiftet af nøgler betyder, at alle tilsluttede tjenester og institutioner skal hente nyt metadata om WAYF, for dermed at skifte over til driftopsætningen med de nye nøgler.

Opgaven består i at opdatere SAML metadata for WAYF, dette gælder både for tilsluttede web-tjenester og institutioner.

Det skal nævnes at WAYF i samme ombæring holder op med checke signaturen på SAML authentication request, og dermed kommer bedre i overénsstemmelse med praksis for tilsvarende systemer i udlandet uden at det mindsker sikkerheden for de tilsluttede tjenester.

WAYF vil også fjerne den nuværende dobbelt-signering, således at kun SAML-respons’er signeres, og ikke også SAML-assertion’en, som det sker i dag.

Vi gør for en ordens skyld opmærksom på, at WAYF ikke har noget formelt ansvar for Jeres lokale SAML-installationer, f.eks. simpleSAMLphp eller ADFS. Dog vil vi gøre hvad vi kan for at være behjælpelige med at få alle ændringer i hus. Alle henvendelser i denne forbindelse bedes ske via email og sendes til Denne emailadresse er beskyttet mod programmer som samler emailadresser. Du skal aktivere javascript for at kunne se adressen. .

Med venlig hilsen

David Simonsen
Chef for WAYF - Where Are You From

WAYF skifter signeringscertifikat i 2016

I maj 2016 går WAYF over til at bruge et nyt signeringscertifikat i sin SAML2-datakommunikation med tilsluttede tjenester og institutioner.

Det indebærer for tjenesterne og institutionerne at de i maj vil skulle justere opsætningen af deres WAYF-systemer: De skal indarbejde det nye signeringscertifikat i deres setup.

Her på siden vil WAYF løbende informere WAYF-ansvarlige teknikere fra tjenester og institutioner om hvordan de skal forholde sig når WAYF skifter sit signeringscertifikat. Vil vi løbende publicere tips, tricks og guides baseret på vores erfaringer fra WAYFs seneste skift af signeringscertifikat (april 2012).

Ud over at offentliggøre al relevant information her på siden vil WAYF også varsle tjenesteudbyderne og institutionerne via e-mail, i god tid.

Baggrunden for at certifikatet ikke, som først planlagt, skiftes i 2017, men allerede i 2016, er at WAYF her i foråret af 2016 har idriftsat et hardware security module (HSM) som signeringskomponent i sit setup og i samme ombæring har fremstillet et nyt RSA-nøglepar og udstedt et nyt signeringscertifikat -- som WAYF vil idriftsætte i maj 2016. Fremover vil al signering af SAML2-data fra WAYFs servere ske i HSM'et. Heri er den nye privatnøgle genereret og placeret, og den vil aldrig kunne eksponeres — i modsætning til en privatnøgle på en almindelig server.

WAYF – Where Are You From
Asmussens Allé, bygning 305
2800 Kgs. Lyngby

www.wayf.dk
sekretariat@wayf.dk

line
You are here