KNF:Wijzigingen: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
 
(21 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
* ELO protocol uitgefaseerd voor Identity Providers
 
* 01-09-2020 Aselect protocol uitgefaseerd voor Service Providers
 
* 01-09-2020 uitschakelen digicodes.
 
* 24-02-2020 TLS1.1 is uigeschakeld. https://developers.wiki.kennisnet.nl/index.php?title=KNF:TLS1.2
 
   
  +
===Wijzigingen nieuwe platform===
SameSite Cookie
 
  +
====Wijzigen SAML metadata====
  +
Op het nieuwe platform wordt de SAML metadata van Service Provider en Identity Providers '''niet''' automatisch ververst.
  +
Neem daarom vooraf contact op met Kennisnet wanneer de SAML metadata van de koppeling gaat wijzigen.
  +
  +
====SAML signing====
  +
Entree Federatie maakt gebruik van self signing certificaten voor XML signing. XML signing is een onderdeel van het SAML protocol.
  +
Entree Federatie gaat op het nieuwe platform alle berichten ondertekenen met een SHA-2 certificaat (op het oude platform is dat SHA-1).
  +
  +
====Realm scoping====
  +
Bij scoping vraagt de SP aan Entree Federatie om in te loggen met een bepaalde IdP. Indien een SP een onbekende realm of EntityID meestuurt, krijgt de gebruiker op het nieuwe platform een foutmelding.
  +
  +
Op het oude platform krijgt de gebruiker het WAYF.
  +
  +
====Signed assertions====
  +
* Signed assertions: Op het nieuwe platform is de attribute statement binnen het SAML response signed. Op het oude platform was dit niet zo.
  +
* Signed response: De volledige authenticatie response is signed. Dit is standaard en kan op verzoek voor test-koppelingen worden uitgezet.
  +
  +
====Attributen====
  +
Attributen worden doorgestuurd zoals ontvangen door het nieuwe platform. Als deze leeg worden opgestuurd naar het nieuwe platform dan worden de attributen ook leeg doorgestuurd naar de SP.
  +
  +
Op het oude platform worden lege attributen niet doorgestuurd.
  +
  +
===Wijzigingen===
  +
* 18-10-2023 [[KNF:SSOnotification#Realm_meesturen_in_SSO_noticatie|Realm in SSO notificatie]]
  +
  +
* 24-05-2023
  +
# De Entree Federatie diensten catalogus is gekoppeld aan het OpenConext platform (https://catalogus.entree.kennisnet.nl/)
  +
# Alle scholen kunnen vanaf heden inloggen in MEF met eHerkenning
  +
# Gebruiksstatistieken voor scholen in Mijn Entree Federatie (alleen beschikbaar voor scholen waarvan de IdP gemigreerd is)
  +
# De metadata van SAML koppelingen wordt automatisch ververst, alleen het certificaat wordt ververst.
  +
# De realms van test koppelingen voor realm scoping worden nu juist geïmporteerd
  +
  +
* 04-05-2023: SSO Notificatie staging en SSO Query Staging beschikbaar
  +
* 25-04-2023: SSO Notificatie is nu confederatief
  +
* 14-03-2023: Fix voor het issue met meerdere @ in een uid.
  +
  +
 
* 01-09-2020: ELO protocol uitgefaseerd voor Identity Providers
 
* 01-09-2020: Aselect protocol uitgefaseerd voor Service Providers
 
* 01-09-2020: uitschakelen digicodes.
 
* 24-02-2020: TLS1.1 is uigeschakeld. https://developers.wiki.kennisnet.nl/index.php?title=KNF:TLS1.2
  +
 
====SameSite Cookie====
 
Vanaf Chrome versie 80 wijziging in SameSite cookie https://www.chromium.org/updates/same-site
 
Vanaf Chrome versie 80 wijziging in SameSite cookie https://www.chromium.org/updates/same-site
   

Huidige versie van 31 okt 2023 om 15:39

Wijzigingen nieuwe platform

Wijzigen SAML metadata

Op het nieuwe platform wordt de SAML metadata van Service Provider en Identity Providers niet automatisch ververst. Neem daarom vooraf contact op met Kennisnet wanneer de SAML metadata van de koppeling gaat wijzigen.

SAML signing

Entree Federatie maakt gebruik van self signing certificaten voor XML signing. XML signing is een onderdeel van het SAML protocol. Entree Federatie gaat op het nieuwe platform alle berichten ondertekenen met een SHA-2 certificaat (op het oude platform is dat SHA-1).

Realm scoping

Bij scoping vraagt de SP aan Entree Federatie om in te loggen met een bepaalde IdP. Indien een SP een onbekende realm of EntityID meestuurt, krijgt de gebruiker op het nieuwe platform een foutmelding.

Op het oude platform krijgt de gebruiker het WAYF.

Signed assertions

  • Signed assertions: Op het nieuwe platform is de attribute statement binnen het SAML response signed. Op het oude platform was dit niet zo.
  • Signed response: De volledige authenticatie response is signed. Dit is standaard en kan op verzoek voor test-koppelingen worden uitgezet.

Attributen

Attributen worden doorgestuurd zoals ontvangen door het nieuwe platform. Als deze leeg worden opgestuurd naar het nieuwe platform dan worden de attributen ook leeg doorgestuurd naar de SP.

Op het oude platform worden lege attributen niet doorgestuurd.

Wijzigingen

  • 24-05-2023
  1. De Entree Federatie diensten catalogus is gekoppeld aan het OpenConext platform (https://catalogus.entree.kennisnet.nl/)
  2. Alle scholen kunnen vanaf heden inloggen in MEF met eHerkenning
  3. Gebruiksstatistieken voor scholen in Mijn Entree Federatie (alleen beschikbaar voor scholen waarvan de IdP gemigreerd is)
  4. De metadata van SAML koppelingen wordt automatisch ververst, alleen het certificaat wordt ververst.
  5. De realms van test koppelingen voor realm scoping worden nu juist geïmporteerd
  • 04-05-2023: SSO Notificatie staging en SSO Query Staging beschikbaar
  • 25-04-2023: SSO Notificatie is nu confederatief
  • 14-03-2023: Fix voor het issue met meerdere @ in een uid.


SameSite Cookie

Vanaf Chrome versie 80 wijziging in SameSite cookie https://www.chromium.org/updates/same-site

Entree Federatie heeft een aanpassing gedaan, zodat deze cookies nog steeds gebruikt kunnen worden.

Hier staat een overzicht van https://www.chromium.org/updates/same-site/incompatible-clients