...
Innehåll:
| Innehållsförteckning |
|---|
| Info | ||
|---|---|---|
| ||
Certifikatsbytet är utfört och publicerat metadata innehåller nu endast det nya certifikatet som nu används för signering av utfärdad biljett. Ladda ner den nya metadata-filen ifall ni vill "städa upp" efter certifikatsbytet (steg 6 i strategibilden nedan). SAML: https://idp.inera.se/saml |
...
| Observera |
|---|
Eftersom det nya certifikatet kommer med en förnyad nyckel för signering av SAML-biljetten så kommer IdP:ns metadata att förändras vilket detta att påverkar alla tjänster (SP:ar/RP) som använder autentiseringstjänstenIdP. SP/RP måste se till att ladda ner den nya nyckeln. För SAML-SP betyder det att byta ut IdP-metadata. För OIDC-RP måste förvaltaren kontrollera rutinen för att byta ut denna och vidta åtgärder ifall byte inte sker automatiskt. Läs om strategin för bytet nedan om du ansvarar för en SP och längst ner på sidan för RP/OIDC-information! |
Under sommaren i test och september i produktion går certifikaten som används för signering ut för IdP:n och byts därför ut.
De nya certifikaten kommer fortfarande att vara utfärdade av SITHS och vara av typen SITHS Type 3 CA v1??.
Tidsplan för certifikatsbyten
| Datum | Miljö | Aktivitet |
|---|---|---|
| TEST/QA | Publicering av nytt metadata för anslutna SP:s (se nedan) |
| TEST/QA | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
| PRODUKTION | Publicering av nytt metadata för anslutna SP:s (se nedan) |
| PRODUKTION | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
| Ankare | ||||
|---|---|---|---|---|
|
IdP SAML Metadata
| Info | ||
|---|---|---|
| ||
INFORMATION TILL DEM DE SOM ANSVARAR FÖR EN SERVICE PROVIDER (SP), ELLER RELAYING PARTY (RP), ANSLUTEN TILL INERAS IdP |
Nyckeln som ligger i certifikatet i befintligt metadata som används av Autentiseringstjänsten (IdP:n) för signering av SAML-biljetten/OIDC tokens kommer att förnyas i samband med certifikatsbytet. Därför förväntas alla Service Providers (SP:ar) anslutna till Säkerhetstjänsters IdP ladda ner och byta ut metadata för denna enligt informationen i detta dokument.
...
Alla SP:ar förväntas stödja dubbla KeyDescriptors i IdP:ns metadata och ha verifierat detta innan arbetet med certifikatsbytet påbörjas. Detta enligt SP-kraven i IdPns SAML-Profil (
).
En SP som inte har stöd för dubbla KeyDescriptors i IdP:ns metadata kommer att vara tvungen att byta ut sitt metadata i samma stund som IdP:n byter certifikat för att kunna verifiera signeringen av SAML-biljetten efter bytet.
...
| Miljö | Publicering av nytt metadata med dubbla certifikat .(steg 2) | Certifikatsbyte - metadata publiceras åter med endast ett certifikat (steg 5) |
|---|---|---|
TEST/QA | Måndag: | Onsdag: |
PRODUKTION | Torsdag: | Onsdag: |
...
- Innan datum för Publicering av nytt metadata med dubbla certifikat: Säkerställ att er SP är förberedd för metadata med dubbla certifikat/KeyDescriptors.
- Observera att om detta stöd inte finns eller införs måste SP:n byta metadata i samma stund som IdP:n byter certifikatet.
- En SP utan detta stöd kan dock fortsätta att använda sitt gamla IdP-metadata tills dess att IdP:n byter certifikatet. - Mellan datum för Publicering av nytt metadata med dubbla certifikat och Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att klara av både det gamla och nya certifikatet och få en sömlös övergång.
- Nedladdningslänkar för aktuell IdP hittas i listan över Adresser för nerladdning av metadata nedan. - Efter datum för Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att endast ha det nya certifikatet i IdP:ns metadata (uppstädning).
Adresser för nerladdning av metadata
- Test: https://idp.ineratest.org/saml
- QA/Stage: https://idp.ineraqa.org/saml
- Produktion: https://idp.inera.se/saml
| Observera |
|---|
Vid publiceringen av nytt metadata har en bugg identifierats vilket resulterar i att signaturen i den nedladdade metadata-filen i vissa applikationer inte kan valideras. |
Tillfällig metadata för nedladdning
- Test: idp-metadata-test.xml
- QA/Stage: idp-metadata-qa.xml
- Produktion: idp-metadata-prod.xml
OIDC RP-information
I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP:ns nycklar, som används för signering, automatiskt i bakgrunden. Även här kommer dubbla nycklar att publiceras enligt tidsplanen ovan så att RP:n kan få en sömlös övergång till den nya nyckeln.
Ansvaret ligger dock på den förvaltning som ansvarar för RP:n att säkerställa att funktionalitet finns för att automatiskt hämta båda nycklarna eller vidta manuella åtgärder för att byta ut IdP:ns certifikat.
Adresser för nerladdning av signeringsnycklar (OIDC)
- Test: https://idp.ineratest.org/oidc/jwks.json
- QA/Stage: https://idp.ineraqa.org/oidc/jwks.json
- Produktion: https://idp.inera.se/oidc/jwks.json
För frågor kontakta Ineras Kundservice
...