...
Innehåll:
| Innehållsförteckning |
|---|
...
| Info | ||
|---|---|---|
| ||
| Observera | ||
Eftersom det nya certifikatet kommer med en förnyad nyckel för signering av SAML-biljetten så kommer detta att påverkar alla tjänster (SP/RP) som använder IdP. SP/RP måste se till att ladda ner den nya nyckeln. För SAML-SP betyder det att byta ut IdP-metadata. För OIDC-RP måste förvaltaren kontrollera rutinen för att byta ut denna och vidta åtgärder ifall byte inte sker automatiskt. Läs om strategin för bytet nedan om du ansvarar för en SAML-SP och längst ner på sidan för RP/OIDC-information! |
Under våren går certifikaten som används för signering ut för av metadata och meddelanden från IdP:n ut och byts därför ut.
De nya certifikaten kommer som tidigare att vara utfärdade av SITHS och vara av typen följande SITHS-certifikat:
- För PRODUKTION: SITHS e-id Function CA v1
- För TEST/QA: TEST SITHS e-id Function CA v1
...
Tidsplan för certifikatsbyten
| Datum | Miljö | Aktivitet |
|---|---|---|
?? | TEST/QA | Publicering av nytt metadata för anslutna SP:s (se nedan) |
?? | TEST/QA | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
?? | PRODUKTION | Publicering av nytt metadata för anslutna SP:s (se nedan) |
?? | PRODUKTION | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
...
Nyckeln som ligger i certifikatet i befintligt metadata som används av Autentiseringstjänsten ( IdP :n) för signering av SAML-biljetten/OIDC tokens kommer att förnyas i samband med certifikatsbytet. Därför förväntas alla Service Providers (SP:ar) anslutna till Säkerhetstjänsters IdP ladda IdP ladda ner och byta ut metadata för denna enligt informationen i detta dokument.
...
| Miljö | Publicering av nytt metadata med dubbla certifikat (steg 2) | Certifikatsbyte - metadata publiceras åter med endast ett certifikat (steg 5) | ||
|---|---|---|---|---|
TEST/QA | Måndag: | Onsdag: | Veckodag, datum, tidpunkt?? | Veckodag, datum, tidpunkt?? |
PRODUKTION | Torsdag: | Onsdag: | Veckodag, datum, tidpunkt?? | Veckodag, datum, tidpunkt?? |
Utförande på er SP
- Innan datum för Publicering av nytt metadata med dubbla certifikat: Säkerställ att er SP är förberedd för metadata med dubbla certifikat/KeyDescriptors.
- Observera att om detta stöd inte finns eller införs måste SP:n byta metadata i samma stund som IdP:n byter certifikatet.
- En SP utan detta stöd kan dock fortsätta att använda sitt gamla IdP-metadata tills dess att IdP:n byter certifikatet. - Mellan datum för Publicering av nytt metadata med dubbla certifikat och Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att klara av både det gamla och nya certifikatet och få en sömlös övergång.
- Nedladdningslänkar för aktuell IdP hittas i listan över Adresser för nerladdning av metadata nedan. - Efter datum för Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att endast ha det nya certifikatet i IdP:ns metadata (uppstädning).
...
- Test: https://idp.ineratest.org/saml
- QA/Stage: https://idp.ineraqa.org/saml
- Produktion: https://idp.inera.se/saml
| Observera |
|---|
Vid publiceringen av nytt metadata har en bugg identifierats vilket resulterar i att signaturen i den nedladdade metadata-filen i vissa applikationer inte kan valideras. |
Tillfällig metadata för nedladdning
- Test: idp-metadata-test.xml
- QA/Stage: idp-metadata-qa.xml
- Produktion: idp-metadata-prod.xml
OIDC RP-information
I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP:ns nycklar, som används för signering, automatiskt i bakgrunden. Även här kommer dubbla nycklar att publiceras enligt tidsplanen ovan så att RP:n kan få en sömlös övergång till den nya nyckeln.
Ansvaret Ansvaret ligger dock på den förvaltning som ansvarar för RP:n att säkerställa att funktionalitet finns för att automatiskt hämta båda nycklarna eller vidta manuella åtgärder för att byta ut IdP:ns certifikatden tilltrodda publika IdP-nyckeln.
Adresser för nerladdning av signeringsnycklar (OIDC)
...