Ändringsinformation

Här hittar du information om kommande och genomförda ändringar i Sambis tekniska miljöer.

Beskrivning av processen för ändringshantering av Sambis gemensamma tekniska infrastruktur finns här: Sambis ändringsprocess

---

Kommande ändringar

2018-01-24: Ändring av IP-adress för metadata och anvisningstjänst

Vad?

IP-adresser ändras för metadata och anvisningstjänst i Sambis produktionsmiljö.

När?

• 2018-01-24 10:00: Ompekning i DNS till de nya IP-adresser
• 2018-01-31: Nedstängning av ej aktiva IP-adresser

Hur?

Ompekning i DNS för de noder som publicerar metadata.

Vem påverkas?

Ingen instans bör påverkas då Sambi inte pekar på IP-adress utan hänvisar till DNS.

Om ni vill försäkra er om att ni har rätt IP-adresser kan ni starta om er tjänst innan de gamla IP-adresserna tas ut bruk. OBS TTL:en för DNS cachen är satt till 5 min vilket innebär att en omstart bör göras tidigast klockan 10:05 2018-01-24.

---

Servicefönster

Ett servicefönster innebär vanligen ingen påverkan på systemens tillgänglighet, men i vissa fall kan korta avbrott förekomma. Med korta avbrott avses mindre än tio minuter och vanligtvis betydligt kortare än så.* Samtliga servicefönster är förlagda mellan klockan 21:00 och 02:00.

*Tjänster som är konstruerade för att inte ha ett högt tillgänglighetsberoende (exempelvis metadataregister) kan i särskilda fall vara avstängda under hela servicefönstret utan särskild notifiering.

• 2018-01-10: system maintenance
• 2018-01-24: network maintenance
• 2018-02-07: system maintenance
• 2018-02-28: network maintenance
• 2018-03-07: system maintenance
• 2018-03-28: network maintenance
• 2018-04-11: system maintenance
• 2018-04-25: network maintenance
• 2018-05-16: system maintenance
• 2018-05-23: network maintenance
• 2018-06-13: system maintenance
• 2018-07-11: system maintenance
• 2018-08-08: system maintenance
• 2018-08-22: network maintenance
• 2018-09-12: system maintenance
• 2018-09-26: network maintenance
• 2018-10-10: system maintenance
• 2018-10-24: network maintenance
• 2018-11-07: system maintenance
• 2018-11-28: network maintenance
• 2018-12-12: system maintenance

---

Ändringsstopp

• Måndagar kl 01:00-09:00 görs inga ändringar utan att verifiera att berörda organisationer har beredskap för ändringen.
• Ändringsstopp från 2018-06-08 kl 00:01 till 2018-08-13 kl 09:00
• Ändringsstopp från 2018-12-14 kl 00:01 till 2019-01-13 kl 23:59

---

Genomförda ändringar

---

2017-11-03: Ny version (1.2) av Sambis attributsprofil

2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]

2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]

2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall

2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se

2015-12-22: Tekniska krav version 1.51

2015-09-15: Buggrättning i validator – felaktigt larm för extensions

2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst

2015-03-31_1: Krav på attributtyp för NameFormat i validator

2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator

2015-02-18: Uppdatering av Sambis tekniska miljöer Trial, Acceptans och Produktion – justering av Reference URI

2015-02-12: Sambis testbädd avslutas – fortsatt testning sker i Trial

---

2017-11-03: Ny version (1.2) av Sambis attributsprofil

Sambis attributsprofil har uppdaterats till version 1.2.

Ändringen innefattar enbart tillägg och medför därför ingen ändring i anslutna system.

Syfte och bakgrund till ändringen finns här: 2017-10-24 Minnesanteckning SAMBI attributförvaltning

---

2017-09-14: Byte av signeringsnyckel i Sambis aggregerade metadata [Trial- och Acceptansmiljö]

Vad?

Nyckel för signering av metadata uppgraderas för ökad säkerhet.

När?

2017-09-14

Hur?

1. Sambi publicerar den nya nyckeln. Nycklar hittar du här:

• Trial: https://www.sambi.se/certifikat-for-metadata-sambi-trial/
• Acceptans: https://www.sambi.se/certifikat-for-metadata-sambi-acceptans/

2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa

4. Sambi börjar signera med den nya nyckeln

5. Medlemmarna tar bort den gamla nyckeln

Vem påverkas?

Alla instanser som laddar Sambis aggregerade metadata i Trial- eller Acceptansmiljö.

OBS!

Se nedanstående information om kommande nyckelbyte i produktionsmiljön.

---

2017-10-05: Byte av signeringsnyckel i Sambis aggregerade metadata [Produktionsmiljö]

Vad?

Nyckel för signering av metadata uppgraderas för ökad säkerhet.

När?

2017-10-05

Hur?

1. Sambi publicerar den nya nyckeln. Nyckeln hittar du här: https://www.sambi.se/certifikat-for-metadata-sambi-produktion/

2. Medlemmarna lägger till den nya nyckeln. Om det inte går att validera signaturen med den första nyckeln ska mjukvaran automatisk prova nästa

4. Sambi börjar signera med den nya nyckeln

5. Medlemmarna tar bort den gamla nyckeln

Vem påverkas?

Alla instanser som laddar Sambis aggregerade metadata i produktionsmiljön.

---

2017-05-31 och 2017-06-10: Akut ändring med anledning av planerat strömbortfall

Vad?

Ändring av IP-adresser på de servrar som publicerar Sambis metadataregister och anvisningstjänster.

När?

2017-05-31.

Hur?

Nya servrar sätts upp för metadataregister och anvisningstjänster och DNS pekas om mot dessa.

Vem påverkas?

Förändringen ska inte leda till någon påverkan då FQDN alltid ska användas vid hämtning av metadata.

Ingen åtgärd krävs för anslutna medlemsimplementationer.

Övrig information

Lördagen 2017-06-10 kommer ingen uppdatering av metadataregistret att göras. Filen kommer dock att publiceras som vanligt och eftersom giltighetstiden är 72 timmar och ändringar inte genomförs under lördagar, får det ingen praktisk påverkan.

---

2017-05-31: Ändring av TLS-konfiguration på fed.sambi.se

Vad?

Ändring av TLS-konfiguration på fed.sambi.se för ökad säkerhet.

När?

2017-05-31.

Hur?

3DES tas bort och starka diffie-hellmanparametrar genereras (openssl gendh -out dhparam.pem 4096).

Kryptouppsättningen och övrig konfiguration kommer att se ut ungefär som följande:

ssl on;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_stapling on;
ssl_stapling_verify on;

Vem påverkas?

Datorer med något av nedanstående kommer inte att fungera:

• Internet Explorer v.6 och v.8 som körs på Windows XP
• Java 6

Det innefattar klienter som nyttjar anvisningstjänsten, SAML-instanser som laddar metadata och klienter som använder validatorn.

---

2015-12-22: Tekniska krav version 1.51

Sambis tekniska krav har uppdaterats från version 1.4 till version 1.51 enligt tidigare avisering.

Implementationer som tillämpade version 1.4 vid ovan angivet datum FÅR använda version 1.4 fram till 2016-06-10. Därefter måste dispens sökas hos federationsoperatören om det föreligger särskilda hinder att gå över till version 1.51.

---

 2015-09-15: Buggrättning i validator  – felaktigt larm för extensions

Validatorn har tidigare gett felaktigt larm (nivå gul) för extensions. Detta är nu åtgärdat.

---

 2015-03-31_2: Möjlighet till subpaths vid tillämpning av central anvisningstjänst

Vad?
I nuvarande version kräver den centrala anvisningstjänsten exakt matchning av <equivalentEndpoint>. Efter ändringen kommer även subpaths som matchar path att tillåtas (ex. https://host/path/subpath kommer att accepteras där metadata matchar https://host/path/).

När?
Uppdateringen kommer att ske under kontorstid den 31 mars.

Hur?
Ändringen implementeras i anvisningstjänsten och det blir därmed möjligt att tillämpa subpaths under angiven path i metadata.

Vem påverkas?
Ändringen får ingen direkt påverkan på befintliga implementationer eftersom detta inte innebär några begränsningar av nuvarande tillämpning, utan istället ger möjlighet till mer specifika länkar för implementationer som tillämpar den centrala anvisningstjänsten.

Övrigt
Ändringen omfattar endast den centrala anvisningstjänsten och införs för samtliga tekniska miljöer inom Sambi. Lokala anvisningstjänster och andra former av identifiering av IdP berörs inte.

---

 2015-03-31_1: Krav på attributtyp för NameFormat i validator

Vad?
Validering av att attributtyp för <NameFormat> är av typen <urn:oasis:names:tc:SAML:2.0:attrname-format:uri> i enlighet med SAML2int.

När?
Uppdateringen kommer att ske under kontorstid den 31 mars.

Hur?
Ändringen implementeras i validatorn. Metadata som laddas upp efter ändringen måste uppfylla ovanstående krav.

Vem påverkas?
Befintlig metadata påverkas inte. Ändringen innebär att redan existerande krav kontrolleras i validatorn och påverkar därför inte instanser som uppfyller nuvarande regelverk. Metadata som laddas upp efter ändringen och som inte uppfyller ovanstående krav kommer inte att accepteras i valideringsprocessen.

Övrigt
Befintlig metadata i Trial har kontrollerats och organisationer med entiteter som inte uppfyller kravet har kontaktats för att ge klartecken till ändringen. Organisationer som redan uppfyller kraven i befintlig metadata har inte kontaktats.

---

2015-02-18_2: Krav på NameIDFormat tas bort i Sambis validator

Vad?

• Befintligt krav att <NameIDFormat> måste finnas i metadata tas bort
• Om <NameIDFormat> anges i metadata måste det anges i enlighet med den profil som arbetats fram inom Sambi vilket innebär följande:
  • IdP: <Transient> SKA anges
  • SP: <Transient> eller <Persistent> SKA anges
  • Fler format FÅR anges

När?
Uppdateringen kommer att ske under kontorstid den 18 februari.

Hur?
Ändringen implementeras i validatorn. Metadata för SP som laddas upp efter ändringen kommer att godkännas även om <NameIDFormat> saknas. Metadata som innehåller <NameIDFormat> måste följa angivna regler.

Vem påverkas?
Befintlig metadata påverkas inte. Då ändringen innebär sänkta krav för validering påverkar den endast metadata som innehåller <NameIDFormat> och som då måsta vara i enlighet med angivna regler.

Övrigt
NameIDFormat bör även fortsättningsvis anges i metadata då detta är rekommenderat (SHOULD) enligt Saml2Int. Man bör med andra ord ha goda skäl att utelämna detta, men det kommer inte längre att vara ett krav för att publicera metadata i Sambi.

---

2015-02-18: Uppdatering av Sambis tekniska miljöer Trial, Acceptans och Produktion – justering av Reference URI

Vad?
Reference URI är tom i nuvarande metadata, vilket inte är i enlighet med SAML-specifikationen och kommer att justeras med denna uppdatering.

När?
Uppdateringen kommer att ske under kontorstid den 18 februari.

Hur?
Uppdaterad metadata publiceras på befintliga URL:er i Sambis tekniska miljöer ”Trial”, ”Acceptans” och ”Produktion”. Vi kommer inte att publicera en testversion i förväg eftersom det inte finns några aktiva aktörer i ”Acceptans” eller ”Produktion”.

Vem påverkas?
Pågående tester i Trial kan eventuellt bli påverkade avseende inläsning av metadata.

Övrigt
Sambis testbädd kommer, i enlighet med tidigare information, att avslutas den 12 februari. Vi hänvisar istället till Sambis testmiljö (Trial) för testning.

---

2015-02-12: Sambis testbädd avslutas – fortsatt testning sker i Trial

Flytt från Sambis testbädd till Sambi Trial

• Den tekniska miljön ”Sambis testbädd” kommer att avslutas den 12 februari 2015.
• Testbäddens metadata har flyttats till den nya tekniska miljön ”Trial” där fortsatt testning kan genomföras. Länkar till trial finns på Sambis webbplats, under ”Teknik” https://www.sambi.se/teknik/
• Observera att viss metadata inte kunnat flyttas från testbädden. Det gäller metadata som laddades upp till testbädden i ett tidigt läge, och som inte uppfyller nuvarande metadatavalidering. Den som är berörd av detta behöver ladda upp ny metadata till trial-miljön enligt rutinen för uppladdning av metadata https://www.sambi.se/teknik/metadata/. Vi kommer att återkoppla till dem som är berörda av detta.

Du behöver göra följande:

• Du som har testverksamhet igång i testbädden behöver peka om systemen till trial. Om du inte har fått metadata flyttat till trial enligt informationen ovan så behöver du även ladda upp nytt metadata i trial.
• Du som är på väg att starta tester och som ännu inte anslutit till Sambis testbädd, ansluter istället till Trial enligt anvisningarna på https://www.sambi.se/teknik/

Förändring i federationsoperatörens signatur av metadata

• Den nuvarande signeringen innehåller avvikelser från standard och kommer att åtgärdas inom kort. Vi återkommer snart med mer information angående detta.