...
Under våren går certifikaten som används för signering av metadata och meddelanden i Ineras IdP ut. Certifikaten och nycklarna byts därför ut.
De nya certifikaten kommer som tidigare att vara utfärdade av följande SITHS-certifikatNotera att det också är ett annat utfärande certifikat från SITHS än tidigare:
- För PRODUKTION: SITHS e-id Function CA v1
- För TEST/QA: TEST SITHS e-id Function CA v1
Tidsplan för certifikatsbyten
| Datum | Miljö | Aktivitet |
|---|---|---|
|
| TEST/QA | Publicering av nytt metadata för anslutna SP:s (se nedan) |
Klockan 11:00 | TEST/QA | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
|
| PRODUKTION | Publicering av nytt metadata för anslutna SP:s (se nedan) |
Klockan 11:00 | PRODUKTION | Byte av IdP:ns certifikat och nyckel för signering av biljetter. |
| Ankare | ||||
|---|---|---|---|---|
|
IdP SAML Metadata
...
| Miljö | Publicering av nytt metadata med dubbla certifikat (steg 2) | Certifikatsbyte - metadata publiceras åter med endast ett certifikat (steg 5) | |
|---|---|---|---|
TEST/QA | Veckodag, datum, tidpunkt?? | Veckodag, datum, tidpunkt??
| Klockan 11:00 |
PRODUKTION | Veckodag, datum, tidpunkt?? | Veckodag, datum, tidpunkt??
| Klockan 11:00 |
Utförande på er SP
- Innan datum för Publicering av nytt metadata med dubbla certifikat: Säkerställ Säkerställ att er SP är förberedd för metadata med dubbla certifikat/KeyDescriptors innan ni går till punkt 2.
- Observera att om detta stöd inte finns eller införs måste SP:n byta metadata i samma stund som IdP:n byter certifikatet.
- En SP utan detta stöd kan dock fortsätta att använda sitt gamla IdP-metadata tills dess att IdP:n byter certifikatet. - Mellan datum för Publicering av nytt metadata med dubbla certifikat och Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att klara av både det gamla och nya certifikatet och få en sömlös övergång.
- Nedladdningslänkar för aktuell IdP hittas i listan över Adresser för nerladdning av metadata nedan. - Efter datum för Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att endast ha det nya certifikatet i IdP:ns metadata (uppstädning).
...
- Test: https://idp.ineratest.org/saml
- QA/Stage: https://idp.ineraqa.org/saml
- Produktion: https://idp.inera.se/saml
| Observera |
|---|
Vissa .NET-bibliotek validerar inte metadata ovan p.g.a. en skillnad i kanonisering av xml när det kommer till namespace-deklarationen xmlns:xml. IdP använder OpenSAML som i sin tur använder Apache Santuario vars kanonisering skiljer sig från den som utförs av .NET System.Security.Cryptography.Xml.SignedXml.CheckSignature() Om er tjänst inte validerar IdP-metadata från länkarna ovan så finns modifierat metadata tillgängligt för nerladdning nedan. Den enda skillnaden är att namespace-deklarationerna |
- Test: idp-metadata_test_remove_ns.xml
- QA/Stage: idp-metadata_qa_remove_ns.xml
- Produktion: idp-metadata_prod_remove_ns.xml
OIDC RP-information
I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP:ns nycklar, som används för signering, automatiskt i bakgrunden. Även här kommer dubbla nycklar att publiceras enligt tidsplanen ovan så att RP:n kan få en sömlös övergång till den nya nyckeln.
...