Här hittar du information om kommande och genomförda ändringar i Sambis tekniska miljöer.
Beskrivning av processen för ändringshantering av Sambis gemensamma tekniska infrastruktur finns här: Sambis ändringsprocess
Förändring av Sambis metadata och anvisningstjänst
Efter testperioden kommer nu Sambi att genomföra förändringar som rör metadata och anvisningstjänsten den 18 februari. Som vi meddelat i tidigare nyhetsbrev vill vi göra er uppmärksamma på följande:
Vad: Följande ändringar kommer att införas för Sambis metadata:
När: 18 februari 2019 kl. 10.00
Varför: Sambi kommer att använda Content Delivery Network (CDN) för publicering av anvisningstjänsten och för metadata för att ytterligare förbättra tillgängligheten. CDN är ett nätverk av servrar som levererar statisk information. CDN gör att åtkomsten av materialet sker snabbare då det hämtas ifrån den CDN-server som är närmast besökaren i världen. Vi har även uppdaterat vårt interna system för hantering av metadata och kommer att kunna erbjuda medlemmar självbetjäning av metadata.
Hur: Följande åtgärder krävs av er:
I och med flytten till CDN kommer Amazons certifikatsutgivare användas för webservercertifikaten. Om er IdP eller SP kräver vitlistning av tillåtna certifikatsutgivare innan metadata kan hämtas behöver vitlistningen ske i samband med omstarten av er produkt för att den fortsatt ska kunna konsumera metadatat. Om er produkt litar på WebTrust-certifikatsutgivare behöver ni inte vidta denna åtgärd.
Vid frågor kontakta oss på info@sambi.se
Förändring av Sambis metadata – testperiod fram till 15 december 2019
Kortfattad beskrivning av ändringarna:
Följande ändringar kommer att införas för Sambis metadata:
Testning
För att säkerställa att era instanser fungerar efter Sambis ändring av metadata uppmanar vi att ni redan nu genomför tester. Testerna ska säkerställa att nya metadatat går att konsumera.
Det nya formatet på metadatat finns publicerat via länken nedan och gäller för både IdP och SP. Tester kan påbörjas nu och får utföras fram till och med den 15 december 2019. Meddela eventuella avvikelser via info@sambi.se. Inkommer inga rapporter förutsätter Sambi att testerna gått bra.
https://fed-sambi-fedreg-prod.iis-app.39cops.net/prod/md/metadata.xml
Ändringarna kommer att införas i Sambis samtliga miljöer:
Ändringarna kan ha påverkan på instanser* vid inläsning av metadata och bör därför testas. Uppladdning av metadata påverkas inte av ändringen.
*med ”instans” avses här IdP eller SP.
Övergång till det nya formatet
Sambi kommer i mitten av februari 2020 att peka om DNS mot en ny IP-adress som vi meddelar i god tid innan. Nuvarande IP-adress kommer att vara i drift till fram till den 17 mars 2020.
Ett servicefönster innebär vanligen ingen påverkan på systemens tillgänglighet, men i vissa fall kan korta avbrott förekomma. Med korta avbrott avses mindre än tio minuter och vanligtvis betydligt kortare än så.* Samtliga servicefönster är förlagda mellan klockan 21:00 och 02:00.
*Tjänster som är konstruerade för att inte ha ett högt tillgänglighetsberoende (exempelvis metadataregister) kan i särskilda fall vara avstängda under hela servicefönstret utan särskild notifiering.
Onsdag 8 januari klockan 21.00 – 02.00 (CET)
Onsdag 22 januari klockan 21.00 – 02.00 (CET)
Onsdag 5 februari klockan 21.00 – 02.00 (CET)
Onsdag 19 februari klockan 21.00 – 02.00 (CET)
Onsdag 4 mars klockan 21.00 – 02.00 (CET)
Onsdag 18 mars klockan 21.00 – 02.00 (CET)
Onsdag 8 april klockan 21.00 – 02.00 (CEST)
Onsdag 22 april klockan 21.00 – 02.00 (CEST)
Onsdag 6 maj klockan 21.00 – 02.00 (CEST)
Onsdag 27 maj klockan 21.00 – 02.00 (CEST)
Onsdag 3 juni klockan 21.00 – 02.00 (CEST)
Onsdag 17 juni klockan 21.00 – 02.00 (CEST)
Onsdag 8 juli klockan 21.00 – 02.00 (CEST)
Onsdag 22 juli klockan 21.00 – 02.00 (CEST)
Onsdag 5 augusti klockan 21.00 – 02.00 (CEST)
Onsdag 19 augusti klockan 21.00 – 02.00 (CEST)
Onsdag 2 september klockan 21.00 – 02.00 (CEST)
Onsdag 16 september klockan 21.00 – 02.00 (CEST)
Onsdag 7 oktober klockan 21.00 – 02.00 (CEST)
Onsdag 21 oktober klockan 21.00 – 02.00 (CEST)
Onsdag 4 november klockan 21.00 – 02.00 (CET)
Onsdag 18 november klockan 21.00 – 02.00 (CET)
Onsdag 2 december klockan 21.00 – 02.00 (CET)
Onsdag 16 december klockan 21.00 – 02.00 (CET)
2019-05-14: Ny version (1.5) av Sambis attributsprofil
2018-01-24: Ändring av IP-adress för metadata och anvisningstjänst
2017-11-03: Ny version (1.2) av Sambis attributsprofil
2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]
2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]
2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall
2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se
2015-12-22: Tekniska krav version 1.51
2015-09-15: Buggrättning i validator – felaktigt larm för extensions
2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst
2015-03-31_1: Krav på attributtyp för NameFormat i validator
2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator
2015-02-12: Sambis testbädd avslutas – fortsatt testning sker i Trial
2019-05-14: Ny version (1.5) av Sambis attributsprofil
Sambis attributsprofil har uppdaterats till version 1.5.
Vad avser ändringsförslaget?
I version 1.4 av attributprofilen anges följande:
”Alla <AttributeValue> underelement MÅSTE, om inte annat är specificerat i tabellen, ha ett attribut av typ xsi:type=”xs:string” och kodas i UTF-8 teckenset.”
Ändrad skrivning i attributprofil version 1.5:
”Datatyp för underelementet <AttributeValue> är ”xs:string” med teckenset UTF-8, om inte annat är specificerat i tabellen, och FÅR deklareras explicit med xsi:type=”xs:string”.”
Förklaring till den nya skrivningen
Syftet med skrivningen är att beskriva vilken datatyp som gäller för attributen och samtidigt förtydliga att datatypen inte måste deklareras explicit i intyget (det senare är redundant mot SAML Core men kan behöva förtydligas i det här sammanhanget).
Varför behövs ändringen?
Kravet är hårdare än SAML Core ([https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf]) som anger följande (rad 1239):
”If the data content of an <AttributeValue> element is of an XML Schema simple type (such asxs:integer or xs:string), the datatype MAY be declared explicitly by means of an xsi:type declarationin the <AttributeValue> element.”
Nuvarande krav medför ökad komplexitet för visa IdP:er och ställer högre krav än SAML Core samtidigt som den reella nyttan med kravet är oklar.
Vem påverkas?
SP som idag kräver explicit typning av underelement.
Riskbedömning
Risken bedöms som låg då ändringen faller tillbaka på SAML Core och då ändringen av specifikationen inte får omedelbar effekt på integrationer i drift som eventuellt följer den gamla specifikationen. Det är känt att eHälsomyndigheten validerar typning i dagsläget och en dialog avseende den föreslagna ändringen pågår.
2018-01-24: Ändring av IP-adress för metadata och anvisningstjänst
Vad?
IP-adresser ändras för metadata och anvisningstjänst i Sambis produktionsmiljö.
När?
Hur?
Ompekning i DNS för de noder som publicerar metadata.
Vem påverkas?
Ingen instans bör påverkas då Sambi inte pekar på IP-adress utan hänvisar till DNS.
Om ni vill försäkra er om att ni har rätt IP-adresser kan ni starta om er tjänst innan de gamla IP-adresserna tas ut bruk. OBS TTL:en för DNS cachen är satt till 5 min vilket innebär att en omstart bör göras tidigast klockan 10:05 2018-01-24.
2017-11-03: Ny version (1.2) av Sambis attributsprofil
Sambis attributsprofil har uppdaterats till version 1.2.
Ändringen innefattar enbart tillägg och medför därför ingen ändring i anslutna system.
Syfte och bakgrund till ändringen finns här: 2017-10-24 Minnesanteckning SAMBI attributförvaltning
2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]
Vad?
Nyckel för signering av metadata uppgraderas för ökad säkerhet.
När?
2017-09-14
Hur?
1. Sambi publicerar den nya nyckeln. Nycklar hittar du här:
2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa
4. Sambi börjar signera med den nya nyckeln
5. Medlemmarna tar bort den gamla nyckeln
Vem påverkas?
Alla instanser som laddar Sambis aggregerade metadata i Trial- eller Acceptansmiljö.
OBS!
Se nedanstående information om kommande nyckelbyte i produktionsmiljön.
2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]
Vad?
Nyckel för signering av metadata uppgraderas för ökad säkerhet.
När?
2017-10-05
Hur?
1. Sambi publicerar den nya nyckeln. Nyckeln hittar du här: https://www.sambi.se/certifikat-for-metadata-sambi-produktion/
2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa
4. Sambi börjar signera med den nya nyckeln
5. Medlemmarna tar bort den gamla nyckeln
Vem påverkas?
Alla instanser som laddar Sambis aggregerade metadata i produktionsmiljön.
2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall
Vad?
Ändring av IP-adresser på de servrar som publicerar Sambis metadataregister och anvisningstjänster.
När?
2017-05-31.
Hur?
Nya servrar sätts upp för metadataregister och anvisningstjänster och DNS pekas om mot dessa.
Vem påverkas?
Förändringen ska inte leda till någon påverkan då FQDN alltid ska användas vid hämtning av metadata.
Ingen åtgärd krävs för anslutna medlemsimplementationer.
Övrig information
Lördagen 2017-06-10 kommer ingen uppdatering av metadataregistret att göras. Filen kommer dock att publiceras som vanligt och eftersom giltighetstiden är 72 timmar och ändringar inte genomförs under lördagar, får det ingen praktisk påverkan.
2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se
Vad?
Ändring av TLS-konfiguration på fed.sambi.se för ökad säkerhet.
När?
2017-05-31.
Hur?
3DES tas bort och starka diffie-hellmanparametrar genereras (openssl gendh -out dhparam.pem 4096).
Kryptouppsättningen och övrig konfiguration kommer att se ut ungefär som följande:
ssl on;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_stapling on;
ssl_stapling_verify on;
Vem påverkas?
Datorer med något av nedanstående kommer inte att fungera:
Det innefattar klienter som nyttjar anvisningstjänsten, SAML-instanser som laddar metadata och klienter som använder validatorn.
2015-12-22: Tekniska krav version 1.51
Sambis tekniska krav har uppdaterats från version 1.4 till version 1.51 enligt tidigare avisering.
Implementationer som tillämpade version 1.4 vid ovan angivet datum FÅR använda version 1.4 fram till 2016-06-10. Därefter måste dispens sökas hos federationsoperatören om det föreligger särskilda hinder att gå över till version 1.51.
2015-09-15: Buggrättning i validator – felaktigt larm för extensions
Validatorn har tidigare gett felaktigt larm (nivå gul) för extensions. Detta är nu åtgärdat.
2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst
Vad?
I nuvarande version kräver den centrala anvisningstjänsten exakt matchning av <equivalentEndpoint>. Efter ändringen kommer även subpaths som matchar path att tillåtas (ex. https://host/path/subpath kommer att accepteras där metadata matchar https://host/path/).
När?
Uppdateringen kommer att ske under kontorstid den 31 mars.
Hur?
Ändringen implementeras i anvisningstjänsten och det blir därmed möjligt att tillämpa subpaths under angiven path i metadata.
Vem påverkas?
Ändringen får ingen direkt påverkan på befintliga implementationer eftersom detta inte innebär några begränsningar av nuvarande tillämpning, utan istället ger möjlighet till mer specifika länkar för implementationer som tillämpar den centrala anvisningstjänsten.
Övrigt
Ändringen omfattar endast den centrala anvisningstjänsten och införs för samtliga tekniska miljöer inom Sambi. Lokala anvisningstjänster och andra former av identifiering av IdP berörs inte.
2015-03-31_1: Krav på attributtyp för NameFormat i validator
Vad?
Validering av att attributtyp för <NameFormat> är av typen <urn:oasis:names:tc:SAML:2.0:attrname-format:uri> i enlighet med SAML2int.
När?
Uppdateringen kommer att ske under kontorstid den 31 mars.
Hur?
Ändringen implementeras i validatorn. Metadata som laddas upp efter ändringen måste uppfylla ovanstående krav.
Vem påverkas?
Befintlig metadata påverkas inte. Ändringen innebär att redan existerande krav kontrolleras i validatorn och påverkar därför inte instanser som uppfyller nuvarande regelverk. Metadata som laddas upp efter ändringen och som inte uppfyller ovanstående krav kommer inte att accepteras i valideringsprocessen.
Övrigt
Befintlig metadata i Trial har kontrollerats och organisationer med entiteter som inte uppfyller kravet har kontaktats för att ge klartecken till ändringen. Organisationer som redan uppfyller kraven i befintlig metadata har inte kontaktats.
2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator
Vad?
När?
Uppdateringen kommer att ske under kontorstid den 18 februari.
Hur?
Ändringen implementeras i validatorn. Metadata för SP som laddas upp efter ändringen kommer att godkännas även om <NameIDFormat> saknas. Metadata som innehåller <NameIDFormat> måste följa angivna regler.
Vem påverkas?
Befintlig metadata påverkas inte. Då ändringen innebär sänkta krav för validering påverkar den endast metadata som innehåller <NameIDFormat> och som då måsta vara i enlighet med angivna regler.
Övrigt
NameIDFormat bör även fortsättningsvis anges i metadata då detta är rekommenderat (SHOULD) enligt Saml2Int. Man bör med andra ord ha goda skäl att utelämna detta, men det kommer inte längre att vara ett krav för att publicera metadata i Sambi.
Vad?
Reference URI är tom i nuvarande metadata, vilket inte är i enlighet med SAML-specifikationen och kommer att justeras med denna uppdatering.
När?
Uppdateringen kommer att ske under kontorstid den 18 februari.
Hur?
Uppdaterad metadata publiceras på befintliga URL:er i Sambis tekniska miljöer ”Trial”, ”Acceptans” och ”Produktion”. Vi kommer inte att publicera en testversion i förväg eftersom det inte finns några aktiva aktörer i ”Acceptans” eller ”Produktion”.
Vem påverkas?
Pågående tester i Trial kan eventuellt bli påverkade avseende inläsning av metadata.
Övrigt
Sambis testbädd kommer, i enlighet med tidigare information, att avslutas den 12 februari. Vi hänvisar istället till Sambis testmiljö (Trial) för testning.
Flytt från Sambis testbädd till Sambi Trial
Du behöver göra följande:
Förändring i federationsoperatörens signatur av metadata