Ändringsinformation

Här hittar du information om kommande och genomförda ändringar i Sambis tekniska miljöer.

Beskrivning av processen för ändringshantering av Sambis gemensamma tekniska infrastruktur finns här: Sambis ändringsprocess

---

Kommande ändringar

Förändring av Sambis metadata – testperiod fram till 15 december 2019

Kortfattad beskrivning av ändringarna:

Följande ändringar kommer att införas för Sambis metadata:

• Införande av SNI (Server Name Indication)
• Införande av elementet KeyInfo för metadatats signaturinformation
• Ny IP-adress
• cacheDuration och validUntil har mer precisa tidsangivelser

Testning
För att säkerställa att era instanser fungerar efter Sambis ändring av metadata uppmanar vi att ni redan nu genomför tester. Testerna ska säkerställa att nya metadatat går att konsumera.

Det nya formatet på metadatat finns publicerat via länken nedan och gäller för både IdP och SP. Tester kan påbörjas nu och får utföras fram till och med den 15 december 2019. Meddela eventuella avvikelser via info@sambi.se. Inkommer inga rapporter förutsätter Sambi att testerna gått bra.

https://fed-sambi-fedreg-prod.iis-app.39cops.net/prod/md/metadata.xml

Ändringarna kommer att införas i Sambis samtliga miljöer:

• Trial
• Acceptans
• Produktion

Ändringarna kan ha påverkan på instanser* vid inläsning av metadata och bör därför testas. Uppladdning av metadata påverkas inte av ändringen.
*med ”instans” avses här IdP eller SP.

Övergång till det nya formatet
Sambi kommer 4 februari 2020 att peka om DNS mot en ny IP-adress som vi meddelar i god tid innan. Nuvarande IP-adress kommer att vara i drift till fram till den 17 mars 2020.

 

---

Servicefönster

Ett servicefönster innebär vanligen ingen påverkan på systemens tillgänglighet, men i vissa fall kan korta avbrott förekomma. Med korta avbrott avses mindre än tio minuter och vanligtvis betydligt kortare än så.* Samtliga servicefönster är förlagda mellan klockan 21:00 och 02:00.

*Tjänster som är konstruerade för att inte ha ett högt tillgänglighetsberoende (exempelvis metadataregister) kan i särskilda fall vara avstängda under hela servicefönstret utan särskild notifiering.

• 2019-01-09: System maintenance
• 2019-01-23: Network maintenance
• 2019-02-13: System maintenance
• 2019-02-27: Network maintenance
• 2019-03-13: System maintenance
• 2019-03-27: Network maintenance
• 2019-04-10: System maintenance
• 2019-04-24: Network maintenance
• 2019-05-08: System maintenance
• 2019-05-22: Network maintenance
• 2019-06-12: System maintenance
• 2019-06-26: Network maintenance
• 2019-07-10: System maintenance
• 2019-07-24: Network maintenance
• 2019-08-14: System maintenance
• 2019-08-28: Network maintenance
• 2019-09-11: System maintenance
• 2019-09-25: Network maintenance
• 2019-10-09: System maintenance
• 2019-10-23: Network maintenance
• 2019-11-13: System maintenance
• 2019-11-27: Network maintenance
• 2019-12-11: System maintenance
• 2019-12-18: Network maintenance

---

Genomförda ändringar

---

2019-05-14: Ny version (1.5) av Sambis attributsprofil

2018-01-24: Ändring av IP-adress för metadata och anvisningstjänst

2017-11-03: Ny version (1.2) av Sambis attributsprofil

2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]

2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]

2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall

2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se

2015-12-22: Tekniska krav version 1.51

2015-09-15: Buggrättning i validator – felaktigt larm för extensions

2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst

2015-03-31_1: Krav på attributtyp för NameFormat i validator

2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator

2015-02-18: Uppdatering av Sambis tekniska miljöer Trial, Acceptans och Produktion – justering av Reference URI

2015-02-12: Sambis testbädd avslutas – fortsatt testning sker i Trial

---

2019-05-14: Ny version (1.5) av Sambis attributsprofil

Sambis attributsprofil har uppdaterats till version 1.5.

Vad avser ändringsförslaget?

I version 1.4 av attributprofilen anges följande:

”Alla <AttributeValue> underelement MÅSTE, om inte annat är specificerat i tabellen, ha ett attribut av typ xsi:type=”xs:string” och kodas i UTF‌-8 teckenset.”

Ändrad skrivning i attributprofil version 1.5:

”Datatyp för underelementet <AttributeValue> är ”xs:string” med teckenset UTF‌-8, om inte annat är specificerat i tabellen, och FÅR deklareras explicit med xsi:type=”xs:string”.”

Förklaring till den nya skrivningen

Syftet med skrivningen är att beskriva vilken datatyp som gäller för attributen och samtidigt förtydliga att datatypen inte måste deklareras explicit i intyget (det senare är redundant mot SAML Core men kan behöva förtydligas i det här sammanhanget).

Varför behövs ändringen?

Kravet är hårdare än SAML Core ([https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf]) som anger följande (rad 1239):

”If the data content of an <AttributeValue> element is of an XML Schema simple type (such asxs:integer or xs:string), the datatype MAY be declared explicitly by means of an xsi:type declarationin the <AttributeValue> element.”

Nuvarande krav medför ökad komplexitet för visa IdP:er och ställer högre krav än SAML Core samtidigt som den reella nyttan med kravet är oklar.

Vem påverkas?

SP som idag kräver explicit typning av underelement.

Riskbedömning

Risken bedöms som låg då ändringen faller tillbaka på SAML Core och då ändringen av specifikationen inte får omedelbar effekt på integrationer i drift som eventuellt följer den gamla specifikationen. Det är känt att eHälsomyndigheten validerar typning i dagsläget och en dialog avseende den föreslagna ändringen pågår.

---

2018-01-24: Ändring av IP-adress för metadata och anvisningstjänst

Vad?

IP-adresser ändras för metadata och anvisningstjänst i Sambis produktionsmiljö.

När?

• 2018-01-24 10:00: Ompekning i DNS till de nya IP-adresser
• 2018-01-31: Nedstängning av ej aktiva IP-adresser

Hur?

Ompekning i DNS för de noder som publicerar metadata.

Vem påverkas?

Ingen instans bör påverkas då Sambi inte pekar på IP-adress utan hänvisar till DNS.

Om ni vill försäkra er om att ni har rätt IP-adresser kan ni starta om er tjänst innan de gamla IP-adresserna tas ut bruk. OBS TTL:en för DNS cachen är satt till 5 min vilket innebär att en omstart bör göras tidigast klockan 10:05 2018-01-24.

---

2017-11-03: Ny version (1.2) av Sambis attributsprofil

Sambis attributsprofil har uppdaterats till version 1.2.

Ändringen innefattar enbart tillägg och medför därför ingen ändring i anslutna system.

Syfte och bakgrund till ändringen finns här: 2017-10-24 Minnesanteckning SAMBI attributförvaltning

---

2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]

Vad?

Nyckel för signering av metadata uppgraderas för ökad säkerhet.

När?

2017-09-14

Hur?

1. Sambi publicerar den nya nyckeln. Nycklar hittar du här:

• Trial: https://www.sambi.se/certifikat-for-metadata-sambi-trial/
• Acceptans: https://www.sambi.se/certifikat-for-metadata-sambi-acceptans/

2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa

4. Sambi börjar signera med den nya nyckeln

5. Medlemmarna tar bort den gamla nyckeln

Vem påverkas?

Alla instanser som laddar Sambis aggregerade metadata i Trial- eller Acceptansmiljö.

OBS!

Se nedanstående information om kommande nyckelbyte i produktionsmiljön.

---

2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]

Vad?

Nyckel för signering av metadata uppgraderas för ökad säkerhet.

När?

2017-10-05

Hur?

1. Sambi publicerar den nya nyckeln. Nyckeln hittar du här: https://www.sambi.se/certifikat-for-metadata-sambi-produktion/

2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa

4. Sambi börjar signera med den nya nyckeln

5. Medlemmarna tar bort den gamla nyckeln

Vem påverkas?

Alla instanser som laddar Sambis aggregerade metadata i produktionsmiljön.

---

2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall

Vad?

Ändring av IP-adresser på de servrar som publicerar Sambis metadataregister och anvisningstjänster.

När?

2017-05-31.

Hur?

Nya servrar sätts upp för metadataregister och anvisningstjänster och DNS pekas om mot dessa.

Vem påverkas?

Förändringen ska inte leda till någon påverkan då FQDN alltid ska användas vid hämtning av metadata.

Ingen åtgärd krävs för anslutna medlemsimplementationer.

Övrig information

Lördagen 2017-06-10 kommer ingen uppdatering av metadataregistret att göras. Filen kommer dock att publiceras som vanligt och eftersom giltighetstiden är 72 timmar och ändringar inte genomförs under lördagar, får det ingen praktisk påverkan.

---

2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se

Vad?

Ändring av TLS-konfiguration på fed.sambi.se för ökad säkerhet.

När?

2017-05-31.

Hur?

3DES tas bort och starka diffie-hellmanparametrar genereras (openssl gendh -out dhparam.pem 4096).

Kryptouppsättningen och övrig konfiguration kommer att se ut ungefär som följande:

ssl on;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_stapling on;
ssl_stapling_verify on;

Vem påverkas?

Datorer med något av nedanstående kommer inte att fungera:

• Internet Explorer v.6 och v.8 som körs på Windows XP
• Java 6

Det innefattar klienter som nyttjar anvisningstjänsten, SAML-instanser som laddar metadata och klienter som använder validatorn.

---

2015-12-22: Tekniska krav version 1.51

Sambis tekniska krav har uppdaterats från version 1.4 till version 1.51 enligt tidigare avisering.

Implementationer som tillämpade version 1.4 vid ovan angivet datum FÅR använda version 1.4 fram till 2016-06-10. Därefter måste dispens sökas hos federationsoperatören om det föreligger särskilda hinder att gå över till version 1.51.

---

 2015-09-15: Buggrättning i validator  – felaktigt larm för extensions

Validatorn har tidigare gett felaktigt larm (nivå gul) för extensions. Detta är nu åtgärdat.

---

 2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst

Vad?
I nuvarande version kräver den centrala anvisningstjänsten exakt matchning av <equivalentEndpoint>. Efter ändringen kommer även subpaths som matchar path att tillåtas (ex. https://host/path/subpath kommer att accepteras där metadata matchar https://host/path/).

När?
Uppdateringen kommer att ske under kontorstid den 31 mars.

Hur?
Ändringen implementeras i anvisningstjänsten och det blir därmed möjligt att tillämpa subpaths under angiven path i metadata.

Vem påverkas?
Ändringen får ingen direkt påverkan på befintliga implementationer eftersom detta inte innebär några begränsningar av nuvarande tillämpning, utan istället ger möjlighet till mer specifika länkar för implementationer som tillämpar den centrala anvisningstjänsten.

Övrigt
Ändringen omfattar endast den centrala anvisningstjänsten och införs för samtliga tekniska miljöer inom Sambi. Lokala anvisningstjänster och andra former av identifiering av IdP berörs inte.

---

 2015-03-31_1: Krav på attributtyp för NameFormat i validator

Vad?
Validering av att attributtyp för <NameFormat> är av typen <urn:oasis:names:tc:SAML:2.0:attrname-format:uri> i enlighet med SAML2int.

När?
Uppdateringen kommer att ske under kontorstid den 31 mars.

Hur?
Ändringen implementeras i validatorn. Metadata som laddas upp efter ändringen måste uppfylla ovanstående krav.

Vem påverkas?
Befintlig metadata påverkas inte. Ändringen innebär att redan existerande krav kontrolleras i validatorn och påverkar därför inte instanser som uppfyller nuvarande regelverk. Metadata som laddas upp efter ändringen och som inte uppfyller ovanstående krav kommer inte att accepteras i valideringsprocessen.

Övrigt
Befintlig metadata i Trial har kontrollerats och organisationer med entiteter som inte uppfyller kravet har kontaktats för att ge klartecken till ändringen. Organisationer som redan uppfyller kraven i befintlig metadata har inte kontaktats.

---

2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator

Vad?

• Befintligt krav att <NameIDFormat> måste finnas i metadata tas bort
• Om <NameIDFormat> anges i metadata måste det anges i enlighet med den profil som arbetats fram inom Sambi vilket innebär följande:
  • IdP: <Transient> SKA anges
  • SP: <Transient> eller <Persistent> SKA anges
  • Fler format FÅR anges

När?
Uppdateringen kommer att ske under kontorstid den 18 februari.

Hur?
Ändringen implementeras i validatorn. Metadata för SP som laddas upp efter ändringen kommer att godkännas även om <NameIDFormat> saknas. Metadata som innehåller <NameIDFormat> måste följa angivna regler.

Vem påverkas?
Befintlig metadata påverkas inte. Då ändringen innebär sänkta krav för validering påverkar den endast metadata som innehåller <NameIDFormat> och som då måsta vara i enlighet med angivna regler.

Övrigt
NameIDFormat bör även fortsättningsvis anges i metadata då detta är rekommenderat (SHOULD) enligt Saml2Int. Man bör med andra ord ha goda skäl att utelämna detta, men det kommer inte längre att vara ett krav för att publicera metadata i Sambi.

---

2015-02-18: Uppdatering av Sambis tekniska miljöer Trial, Acceptans och Produktion – justering av Reference URI

Vad?
Reference URI är tom i nuvarande metadata, vilket inte är i enlighet med SAML-specifikationen och kommer att justeras med denna uppdatering.

När?
Uppdateringen kommer att ske under kontorstid den 18 februari.

Hur?
Uppdaterad metadata publiceras på befintliga URL:er i Sambis tekniska miljöer ”Trial”, ”Acceptans” och ”Produktion”. Vi kommer inte att publicera en testversion i förväg eftersom det inte finns några aktiva aktörer i ”Acceptans” eller ”Produktion”.

Vem påverkas?
Pågående tester i Trial kan eventuellt bli påverkade avseende inläsning av metadata.

Övrigt
Sambis testbädd kommer, i enlighet med tidigare information, att avslutas den 12 februari. Vi hänvisar istället till Sambis testmiljö (Trial) för testning.

---

2015-02-12: Sambis testbädd avslutas – fortsatt testning sker i Trial

Flytt från Sambis testbädd till Sambi Trial

• Den tekniska miljön ”Sambis testbädd” kommer att avslutas den 12 februari 2015.
• Testbäddens metadata har flyttats till den nya tekniska miljön ”Trial” där fortsatt testning kan genomföras. Länkar till trial finns på Sambis webbplats, under ”Teknik” https://www.sambi.se/teknik/
• Observera att viss metadata inte kunnat flyttas från testbädden. Det gäller metadata som laddades upp till testbädden i ett tidigt läge, och som inte uppfyller nuvarande metadatavalidering. Den som är berörd av detta behöver ladda upp ny metadata till trial-miljön enligt rutinen för uppladdning av metadata https://www.sambi.se/teknik/metadata/. Vi kommer att återkoppla till dem som är berörda av detta.

Du behöver göra följande:

• Du som har testverksamhet igång i testbädden behöver peka om systemen till trial. Om du inte har fått metadata flyttat till trial enligt informationen ovan så behöver du även ladda upp nytt metadata i trial.
• Du som är på väg att starta tester och som ännu inte anslutit till Sambis testbädd, ansluter istället till Trial enligt anvisningarna på https://www.sambi.se/teknik/

Förändring i federationsoperatörens signatur av metadata

• Den nuvarande signeringen innehåller avvikelser från standard och kommer att åtgärdas inom kort. Vi återkommer snart med mer information angående detta.