• Created by Unknown User (grim.skarsgard), last modified on 2019 04 23

Dokumenthistorik

DatumVersionNamnFörändring
  


0.1
Grim Skarsgård
Utkast



1. IdP 1.0.4 Release notes

Releasedatum:  

2. Förändringar

2.1. Ändringar

  1. Bättre felhantering i quartz-modulerna.
    1. Quartz-modulerna återupprättar nu anslutning till MongoDB när databasen finns tillgänglig igen.
  2. Bättre möjligheter att konfigurera HSA-anslutningen (relevant för regionala installationer av IdP)
    1. Möjlighet att stänga av anrop mot HSA-kontraktet GetAdminCredentialsForPersonIncludingProtectedPerson ifall den anslutna attributkällan inte stödjer det.
    2. Möjlighet att konfigurera parametrar i SOAP-anropen mot HSA
      1. searchBase
      2. LogicalAddress
      3. Profile
  3. Städade bort onödiga attribut i OIDC ID Token
    1. IdP lägger inte längre till jti-attributet i ID Token
    2. IdP lägger inte längre alltid till sig själv i audience i ID Token
  4. Förbättrat felhantering om användaren råkat hamna i felaktigt state genom att t.ex. backa i browsern till ett mellanläge i inloggningsflödet. Användare skall inte längre hamna på en default-felsida utan redirectas tillbaka till SP om möjligt, annars visas en IdP-specifik sida med felmeddelande.
  5. Tagit bort thumbprint (x5t#S256) för publika certifikat som IdP presenterar på ”jwks_uri”-endpointen.

2.2. Felrättningar

  1. Rättade en bugg där IdP inte kunde hämta AttributeConsumingService från SP-metadata eller hämtade fel service om SP angav önskat service-index i sitt AuthnRequest men index i metadata inte började på 0.
  2. Rättade en bugg där logout requests i OIDC som saknade id_token_hint resulterade i en NullPointerException.
    1. Det går nu att logga ut korrekt även utan en id_token_hint.
    2. Däremot så krävs att en id_token_hint skickas med för att IdP skall kunna göra en redirect tillbaka till SP. Dokumentationen (OIDC-Profil) uppdaterad.
  3. Om logout requests i OIDC inte resulterar i en redirect tillbaka till SP så visas istället en sida med utloggningsbekräftelse hos IdP.
  4. Det gick att få SSO mot IdP även efter utloggning och urdraget kort, så länge browsern fortfarande var öppen, p.g.a. att mTLS-sessionen fortfarande var aktiv (sessionen där IdP fick certifikatet från SITHS-kortet).
    1. IdP invaliderar nu mTLS-sessionen efter lyckad autentisering.
  5. I klientregistreringen av OIDC-klienter i Admin-gui så trimmas nu strängar i input-fälten till att ta bort onödiga blanksteg i början och slutet på strängen.
    1. Avsaknaden av trimning ledde bland annat till att Redirect URI:er som klistrades in kunde ha extra blanksteg i slutet, vilket ledde till felaktigt beteende.



  • No labels

Publik Information