Med början sommaren 2014 kommer vi successivt att byta ut den sida där man väljer sitt lärosäte vid inloggning inom SWAMID, även kallad Discovery Service (DS). Nuvarande "gula" sida med rullmeny ersätts av en modernare sida med sökgränssnitt.

Connect-tjänsten har bytt Discovery Service (11/8), Box kommer att byta under kommande vecka.

För övriga tjänster som använder ds.sunet.se så kommer bytet att ske sist, planerat om två veckor.

Den nya DS-tjänsten väljer automatiskt IdP åt dig baserat på SP:ns domän, dvs om du går till medarbetarportalen.gu.se kommer SP:n att automatiskt att föreslå GUs IdP.

Du kan nu också spara ditt lärosäte - OM du sparat och senare vill återställa ditt val så görs detta på http://md.nordu.net/reset

 

mvh operations

Valter

 

Heartbleed

OpenSSL används i många system som är anslutna till SWAMID. Detta är SWAMID operations rekommendation av hur heartbleed skall hanteras i SWAMID:

Det finns normalt 2 nycklar i en SP eller IdP: en nyckel för den webserver som utgör användargränssnittet för tjänsten eller IdPn och en nyckel som används mellan IdPer eller SPer. Denna andra nyckel (federationsnyckeln) är den som finns i federationsmetadata. SWAMIDs rekommendation är att dessa nycklar bör vara olika: federationsnyckeln kan med fördel associeras med ett sk självsignerat certifikat som inkluderas i metadata. De som satt upp sin SP eller IdP enligt denna rekommendation behöver normalt inte byta federations-nyckeln utom i följande två fall:

  1. En shibboleth idp som uppsatt så att apache hanterar SSL för port 8443 *och* om apache använder en sårbar openssl så bör IdPns federationsnyckel bytas. Förklaringen är att port 8443 använder federationsnyckeln för TLS och om man konfigurerat sin apache att hantera denna port och (tex via ajp) skicka vidare trafiken till shibboleth IdPn så kommer federationsnyckeln att vara tillgänglig för apache-processen och alltså potentiellt blivit exponerad i en heartbleed-attack. Denna port används för SOAP-bindings för AttributeResponse.
  2. En simplesamlphp som kör i mod_php så ska den nycklas om oavsett om det är en SP eller IdP om openssl-versionen är sårbar.

Kontrollera på din OS-distributionsleverantörs hemsida om din installerade version av openssl är sårbar. Har du byggt och kompilerat openssl får du själv kontrollera sårbarheten. De versioner av openssl som levererats av openssl är sårbara i version 1.0.1- 1.0.1f och 1.0.2beta

MSDNAA+SWAMID=Sant

Sedan ett par veckor tillbaka går det att använda SWAMID för att logga in på MSDNAA/ELMS. Läs mer om hur du ansluter din IdP till MSDNAA. För att ansluta till MSDNAA krävs att din IdP är med i SWAMID 2.0.

From http://shibboleth.internet2.edu/secadv/secadv_20111024.txt:

A flaw exists in the algorithms specified by the XML Encryption
standard that can lead to exposure of personal information under
certain circumstances.

There is no simple fix for this issue, so deployers are encouraged
to consider their use of certain software features and possibly
make changes to their configurations if circumstances warrant,
as described below.

The impact for SWAMID is limited since most SPs already use HTTPS. Those SPs that do not today use HTTPS are strongly encouraged to do so as soon as possible.