Välkomna tillbaka efter en välbehövlig vila över helgerna. I slutet på förra året beslutade SWAMID Board of Trustees om nya versioner av tillitsprofilerna med mindre ändringar.

I tillitsprofilerna har det sedan den stora uppdateringen 2020 funnits beskrivet att alla organisationer med identitetsutgivare (IdP) i SWAMID årligen måste validera att det som är beskrivet i organisationens Identity Management Practice Statement (IMPS) fortfarande är korrekt. På samma sätt som vi redan har gjort för den tekniska metadatan kommer vi under första kvartalet i år införa krav på att markera i metadataverktyget att valideringen har genomförts. Om inte valideringen genomförs kommer det efter påminnelser innebära organisationens identitetsutfärdare tillfälligt blir avregistrerad från SWAMID tills valideringen är genomförd.

När ni går in på er IdP på https://metadata.swamid.se/admin/ och fäller ut IMPS-fliken så ser ni aktuell status och det är även här ni validerar att den fortfarande är korrekt. Om ni inte hittar den senaste versionen av er IMPS så har vi en PDF-kopia i vårt arkiv.

Om det står att er IMPS godkändes av Board of Trustees ("Accepted by Board of Trustees") före 2021-01-01 måste ni särskilt gå igenom och kontrollera att alla avsnitt i aktuella tillitsprofiler är beskrivna, om inte måste ni skicka in en uppdatering och få den godkänd. Det kommer framöver inte gå att validera att IMPSen fortfarande gäller om den inte är godkänd efter 2020-12-31. Detta för att säkerställa att alla ändringar som genomfördes i den större uppdateringen 2020 av tillitsprofilerna finns beskrivet i IMPSen.

För alla er som uppdaterat er IMPS efter 2020-12-31 rekommenderar vi att ni uppdaterar er IMPS med de mindre förändringar som beslutades i slutet på förra året vid nästa uppdatering. Vi kommer under 2026-27 kräva uppdatering för dessa ändringar i era IMPSer.

Pål Axelsson

I slutet av 2024 släpptes en ny version av ADFS Toolkit, v2.3.0.

Några nyheter i denna version är:

• Support för f-ticks (anonymiserad statistik över inloggningar som kan skickas till SWAMID och eduGAIN - https://f-ticks.edugain.org/)
• Support för egna Access Control Policies
• ADFS Toolkit Store korrigerar automatiskt otillåtna tecken i subject-id och ersätter dem med en URL-enkodad version
• Uppdateringen av ADFS Toolkit har förenklats genom att vi skapat en cmdlet för uppdatering: Update-ADFSTk

Som vanligt kan ni hitta och följa koden på github: https://github.com/fedtools/adfstoolkit

Vi har också uppdaterat wikin med ny dokumentation: https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+ADFS+Toolkit

Ta gärna en titt på den innan ni uppgraderar. Och som vanligt, har ni några frågor – hör av er till Operations!

Johan Peterson och Tommy Larsson

I slutet av hösten 2024 öppnade en viktig tjänst avsedd för både forskare på lärosätena och fritidsforskare. För forskare på lärosäten används eduGAIN och därmed SWAMID för inloggning och de har lite speciella krav på attributrelease. Eftersom detta är en EU-tjänst som innehåller EU-finansierade resurser finns det stor sannolikhet att ni har forskare som vill använda de fria resurserna på EOSC EU Node. Det är därför bra om ni som IdP-administratörer på universitet och högskolorna läser genom nedanstående och funderar på hur ni kan genomföra korrekt attributrelease.

Vad är EOSC EU Node?
EOSC EU Node är en plattform som främst stödjer tvärvetenskaplig och multinationell forskning och främjar användningen av FAIR (Findable, Accessible, Interoperable, Reusable) data och kompletterande tjänster i Europa och utanför. Inom denna miljö kan forskare hitta lättanvända verktyg och det mycket behövda stödet för att både individuellt och kollektivt planera, genomföra, sprida och utvärdera sina typiska forskningsarbetsflöden och resultat över EOSC-ekosystemet.

Dessutom är EOSC EU Node en plattform som underlättar skapandet av EOSC Federation, enligt systemet av systemarkitekturprincipen för federerade forskningsinfrastrukturer. Den syftar till att tillhandahålla en teknisk och administrativ ritning och interoperabilitetsram för andra potentiella infrastruktursnodkandidater att etableras. EOSC EU Node kan erkännas som den första europeiska noden av EOSC Federation som främjas av Europeiska kommissionen som en operativ plattform i produktion.

Speciella krav för attributrelease
För forskare, och fritidsforskare, i Europa med intresse för tvärvetenskaplig och multinationell datadriven öppen vetenskap, har EOSC EU Node skapats för att de ska kunna hitta och få tillgång till interoperabla och återanvändbara data, publikationer, programvara och tjänster över de federerade, nationella, regionala och tematiska kluster och ekosystem. EOSC EU Node-plattformen ger användaren inte bara tillgång till ett brett utbud av forskningsresultat, utan tillåter också användaren att implementera och genomföra forskningsarbetsflöden som kan upptäckas och publiceras om inom samma plattform.

De hanterade tjänsterna i EOSC EU Node bygger på FAIR-dataprinciperna som gör data och tjänster sökbara, tillgängliga, interoperabla och återanvändbara. Alla tjänster tillhandahålls i en kompatibel, oberoende och säker molnbaserad miljö som är utformad och drivs i enlighet med EU:s dataskyddsförordning (GDPR) för att förhindra obehörig åtkomst till resurser och följer informationsstyrningsstandarder. Forskare har möjlighet att implementera och genomföra sina arbetsflöden på EOSC EU Node som kan upptäckas och publiceras om för att förbättra sökbarheten av forskningsresultat.

Krediter är den virtuella valutan inom EOSC EU Node som användas för att konsumera utvalda tjänster enligt användarens behörigheter och behov.

Krediter har inget monetärt värde och används för närvarande uteslutande i EOSC EU Node för att möjliggöra rättvis, transparent och jämlik tillgång till dess tjänster och resurser för det europeiska forskarsamhället.

Hur får en forskare rätt mängd krediter?
Krediter tillhandahålls gratis (vid användningstillfället) av Europeiska kommissionen första gången användaren loggar in och förnyas automatiskt var tredje månad. Den exakta mängden krediter en användare får, samt tillgångsnivån till olika tjänster, bestäms automatiskt baserat på den affilieringsinformation som delas av din hemorganisation.

Hur tilldelas krediter och hur kan de användas?

• 500 krediter, som fylls på var tredje månad, och har tillgång till alla EOSC EU Node-tjänster om användaren är knuten som fakultetsmedlem till en organisation som är registrerad i EU27 eller ett Horizon Europe-anslutet land via eduGAIN.

  • eduPersonScopedAffliation: faculty@domän

• 100 krediter, som fylls på var tredje månad, och har tillgång till ett urval av EOSC EU Nodes applikationstjänster (File Sync & Share, Interaktiva Anteckningsböcker för Små miljöer, Tjänst för stora filöverföringar) om anställd vid en organisation som är registrerad i EU27 eller ett Horizon Europe-anslutet land via eduGAIN.
  • eduPersonScopedAffliation: employee@domän
• Inga krediter även om användaren har skrivskyddad tillgång till EOSC EU Node-tjänsterna i alla andra fall av lyckad autentisering via eduGAIN.
  • Avsaknad av ovanstående värden för eduPersonScopedAffiliation.

Krav för tilldelning av faculty i eduPersonScopedAffiliation
När vi i SWAMID tillsammans med andra akademiska identitetsfederationer har försökt tolka kraven för EOSC EU Node och hur krediter tilldelas har vi kommit fram till att följande personer kan tilldelas värdet faculty@domain i eduPersonScopedAffliation:

• Anställda vid organisationen som har akademisk forskning i tjänsten.
• Anställda vid organisationen som har doktorerat.
• Övriga verksamma (personer som inte är anställda men agerar som sådana) och som uppfyller motsvarande som ovanstående två punkter.

Det är väldigt viktigt att endast de personer som uppfyller ovanstående krav tilldelas faculty oberoende av tjänst. För gruppen lärare bör man gå tillbaka till definitionerna i högskolelagen och högskoleförordningen för att se vilka grupper uppfyller kraven i ovanstående punktlista. På wikisidan Rätt semantik för eduPersonScopedAffiliation finns SWAMIDs rekommenderade hantering av affiliering beskriven.

Pål Axelsson

SWAMIDs testfederation stängdes av 2024-09-18. Testmiljön är ersatt med SWAMID QA-miljö.

Adresser till verktyg i SWAMIDs QA-miljö:

• Metadataverktyget: https://metadata.qa.swamid.se/
• Metadata via MDQ (nya modellen): https://mds.swamid.se/qa/
• Metadata via aggregat (gamla modellen): https://mds.swamid.se/qa/md/
• Hänvisningstjänst: https://ds.qa.swamid.se/ds
• Release-check: https://release-check.qa.swamid.se/.

SWAMIDs alla instruktioner för både identitetsutfärdare och tjänster går att använda men ni behöver byta aktuella URLar enligt ovan i konfigurationsfilerna.

Mer och aktuell information publiceras på wikisidan SAML QA Best Current Practice.

Pål Axelsson

Inom SWAMID är det många organisationer som använder Shibboleth Identity Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är det dags att uppgradera till en nyare huvudversion eftersom den tidigare huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl alltid viktigt att endast använda aktuella och underhållna versioner av programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För er som använder Shibboleth Identity Provider finns det två sätt att hantera att näst senaste huvudversion blir End-of-Life, antingen genom att uppgradera till version 5, att byta till annan programvara än Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit, eller att byta till Sunets nya tjänst eduID Connect¹ som lanseras senare i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut senast under november 2024 och genomför helst arbetet i god tid. Vi uppmanar er därför att aktivt delta på webinar och diskussionsmöten under våren.

Uppgraderingar av huvudversioner innebär alltid mer arbete än uppgradering inom samma huvudversion och det är därför särskilt viktigt att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er information om hur ni både förbereder och genomför uppgraderingen på ett bra sätt via webinar och öppna diskussionsmöten.

¹ eduID Connect är en avgiftsbelagd tjänst som använder eduID för användarkonton och ett administrativt gränssnitt för att koppla dessa till organisationen.

SWAMID finns som stöd i uppdateringen

För att underlätta arbetet med att uppdatera från äldre versioner kommer SWAMID Operations att genomföra två olika arrangemang, dels ett inledande webinar som beskriver uppdateringsprocessen och därefter öppna mötestillfällen varannan vecka under våren där vi hjälper varandra i uppdateringsprocessen. Detta betyder att vi inte kommer att ha något hackaton där alla gör jobbet på plats. Orsaken till detta är att vi alla har olika förutsättningar och är på olika plats i uppgraderingsprocessen redan nu.

Webinar om uppgradering till Shibboleth IdP v5

Öppna diskussionsmöten om frågor som dyker upp på vägen

Vad händer om vi inte uppgraderar i tid?

I SWAMID teknologiprofil för SAML2 WebSSO under avsnitt 5.4 finns kraven på den federativa programvaran för identitetsutfärdare beskriven och krav 5.4.11 definierar att medlemsorganisationer ej får använda programvara som inte längre underhålls eller innehåller kända säkerhetsproblem. Detta innebär att alla som idag använder Shibboleth IdP version 4 eller tidigare måste uppdatera innan 1 september 2024. Om inte uppdatering genomförs i god ordning kommer SWAMID Operations att föreslå SWAMID Board of Trustees att fatta beslut om att organisationens identitetsutfärdare avregistreras från SWAMID 2024-12-01. Detta kommer innebära, efter beslut har fattats, att organisationens användare inte kommer att kunna logga in i tjänster anslutna till SWAMID förrän uppgraderingen är gjord. Denna process beskrivs kortfattat i SWAMIDs policy under avsnitt 6.3.

Viktigt om uppdateringsprocessen

Om ni inte redan använder Shibboleth 4.3.1 uppdatera till denna version! Detta för att både få rätt konfiguration och rätt varningsmeddelanden i loggar. Samma metod för uppdatering ska användas som nedan. Observera att varningsmeddelandet om stödet för eduPersonTargetId är felaktigt skrivet och är i avvecklat i version 5.

Shibboleth Consortium beskriver i release-notes för IdP v5, ReleaseNotes - Identity Provider 5, att befintliga konfigurationsfiler bara kan användas om uppgraderingen görs i befintlig installation. Följ anvisningarna och installera inte den nya versionen separat för att därefter försöka använda de gamla konfigurationsfilerna. IdP:n behöver istället uppgraderas "på plats" genom att använda en installationskatalog som innehåller en kopia av en tidigare fungerande konfiguration av V4.3.1.

Vidare skriver de att plugins behöver uppdateras innan själva IdP:n uppgraderas och att plugins också ska uppdateras efteråt. Detta eftersom stora interna förändringar skett mellan v4 och v5. Uppgradera och testa alla plugins innan IdP-uppgraderingen påbörjas, och uppdatera åter alla plugins efter IdP-uppgraderingen slutförts, innan IdP:n startas. Installationsprogrammet varnar om detta och rapporterar vilka plugins som behöver en uppdatering.

SWAMID Operations
Pål Axelsson och Paul Scott