| ... | ... | @@ -2,18 +2,18 @@ |
|
|
|
|
|
|
|
## 2016-04-20 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/124|w16]], demo Jenkins
|
|
|
|
* Done: [w16](https://forge.switch.ch/versions/124), demo Jenkins
|
|
|
|
* Prévenir quand il y a quelque chose à installer sur IdP de test
|
|
|
|
* Demo MFA sur IdP UniL
|
|
|
|
* Quel choix d'écrans pour la première implémentation? ED -> le plus simple
|
|
|
|
|
|
|
|
## 2016-05-04 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/125|w18]]
|
|
|
|
* Demo: [[https://ci.ed.switch.ch/jenkins/|Jenkins]], [[https://mfa-dev.ed.switch.ch/idp/|IdP dev]]
|
|
|
|
* Design MFA pour IdP 3.3 [[https://shibboleth.net/pipermail/dev/2016-April/008171.html|MFA enhancements in 3.3]] [[https://issues.shibboleth.net/jira/browse/IDP-962|IDP-962]]
|
|
|
|
* Done: [w18](https://forge.switch.ch/versions/125)
|
|
|
|
* Demo: [Jenkins](https://ci.ed.switch.ch/jenkins/), [IdP dev](https://mfa-dev.ed.switch.ch/idp/)
|
|
|
|
* Design MFA pour IdP 3.3 [MFA enhancements in 3.3](https://shibboleth.net/pipermail/dev/2016-April/008171.html) [IDP-962](https://issues.shibboleth.net/jira/browse/IDP-962)
|
|
|
|
* Quelle version de base? 3.2 ou 3.3-dev?
|
|
|
|
* Quelle méthode de déploiement (pour UniGE)? [[https://forge.switch.ch/issues/3664|3664]]
|
|
|
|
* Quelle méthode de déploiement (pour UniGE)? [3664](https://forge.switch.ch/issues/3664)
|
|
|
|
|
|
|
|
### 3.2 ou 3.3? ###
|
|
|
|
|
| ... | ... | @@ -34,14 +34,14 @@ Une mise à jour de l'IdP du projet Swiss edu-ID en version 3.2 est prévue d'ic |
|
|
|
|
|
|
|
#### Proposition ####
|
|
|
|
|
|
|
|
Je commence le développement d'un premier login flow très simple en me basant sur la version **3.2** (voir [[https://forge.switch.ch/issues/3674|3674]]). On refera le point sur l'état de la 3.3 à la prochaine réunion.
|
|
|
|
Je commence le développement d'un premier login flow très simple en me basant sur la version **3.2** (voir [3674](https://forge.switch.ch/issues/3674)). On refera le point sur l'état de la 3.3 à la prochaine réunion.
|
|
|
|
|
|
|
|
### Prochains développements ###
|
|
|
|
|
|
|
|
Roadmap: [[https://forge.switch.ch/versions/128|w22]]
|
|
|
|
Roadmap: [w22](https://forge.switch.ch/versions/128)
|
|
|
|
|
|
|
|
* [[https://forge.switch.ch/issues/3674|3674]] Login flow with one form
|
|
|
|
* [[https://forge.switch.ch/issues/3686|3686]] Review state of IdP 3.3
|
|
|
|
* [3674](https://forge.switch.ch/issues/3674) Login flow with one form
|
|
|
|
* [3686](https://forge.switch.ch/issues/3686) Review state of IdP 3.3
|
|
|
|
|
|
|
|
### Prochaine réunion ###
|
|
|
|
|
| ... | ... | @@ -49,79 +49,79 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
## 2016-06-01 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/128|w22]]
|
|
|
|
* Demo: [[https://attribute-viewer.aai.switch.ch/Shibboleth.sso/Login?entityID=https://mfa-dev.ed.switch.ch/idp/shibboleth&target=https://attribute-viewer.aai.switch.ch/aai/&authnContextClassRef=https://mfa-dev.ed.switch.ch/idp/mfa/simple|simple flow]]
|
|
|
|
* Done: [w22](https://forge.switch.ch/versions/128)
|
|
|
|
* Demo: [simple flow](https://attribute-viewer.aai.switch.ch/Shibboleth.sso/Login?entityID=https://mfa-dev.ed.switch.ch/idp/shibboleth&target=https://attribute-viewer.aai.switch.ch/aai/&authnContextClassRef=https://mfa-dev.ed.switch.ch/idp/mfa/simple)
|
|
|
|
* État version 3.3: implémentation avance mais pas terminée, pas de date de sortie -> reste avec 3.2
|
|
|
|
* TODO: fournir des instructions d'installation pour l'IdP (au minimum liste des fichiers/changements)
|
|
|
|
|
|
|
|
## 2016-06-15 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/129|w24]]
|
|
|
|
* Done: [w24](https://forge.switch.ch/versions/129)
|
|
|
|
* Direction: login avec deux écrans 1) username/password (initial authn) 2) OTP
|
|
|
|
|
|
|
|
## 2016-06-29 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/130|w26]]
|
|
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Demo SP]]
|
|
|
|
* Done: [w26](https://forge.switch.ch/versions/130)
|
|
|
|
* Demo: [Demo SP](https://mfa-dev.ed.switch.ch/index.html)
|
|
|
|
|
|
|
|
* Support forceAuthn pour flow MFA
|
|
|
|
* Documenter les directives Shibboleth/Apache autour de authNContextClass
|
|
|
|
|
|
|
|
## 2016-07-13 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/131|w28]]
|
|
|
|
* Done: [w28](https://forge.switch.ch/versions/131)
|
|
|
|
* Établir liste des tâches restantes
|
|
|
|
|
|
|
|
## 2016-07-27 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/132|w30]]
|
|
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Simple flow sans erreur]]
|
|
|
|
* État version 3.3: implémentation terminée et [[https://wiki.shibboleth.net/confluence/display/IDP30/MultiFactorAuthnConfiguration|documentée]]
|
|
|
|
* Done: [w30](https://forge.switch.ch/versions/132)
|
|
|
|
* Demo: [Simple flow sans erreur](https://mfa-dev.ed.switch.ch/index.html)
|
|
|
|
* État version 3.3: implémentation terminée et [documentée](https://wiki.shibboleth.net/confluence/display/IDP30/MultiFactorAuthnConfiguration)
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
|
|
* ED: [[https://forge.switch.ch/issues/3695|initial + simple flows]]
|
|
|
|
* ED: [initial + simple flows](https://forge.switch.ch/issues/3695)
|
|
|
|
* PLH: partage spécifications/procédures
|
|
|
|
* AHU: résumé échanges RADIUS
|
|
|
|
* DP/CB: tests nouveau code
|
|
|
|
|
|
|
|
## 2016-08-10 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/133|w32]]
|
|
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|Password + Simple flows]]
|
|
|
|
* Done: [w32](https://forge.switch.ch/versions/133)
|
|
|
|
* ED: demo [Password + Simple flows](https://mfa-dev.ed.switch.ch/index.html)
|
|
|
|
* PLH: [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf) mises à disposition du groupe
|
|
|
|
* AHU: [Radius authentication server](toolbox_archive/description_of_a_radius_authentication_test_server)
|
|
|
|
* DP: code installé et testé
|
|
|
|
* Produit [[https://www.netiq.com/products/self-service-password-reset/|Self Service Password Reset]] mentionné comme possible solution d'enrôlement.
|
|
|
|
* Le NIST cesse de recommander le SMS comme "out of band verifier", voir [[https://pages.nist.gov/800-63-3/sp800-63b.html#out-of-band|5.1.3.2. Out of Band Verifiers]] dans //DRAFT NIST Special Publication 800-63B Digital Authentication Guideline//.
|
|
|
|
* Produit [Self Service Password Reset](https://www.netiq.com/products/self-service-password-reset/) mentionné comme possible solution d'enrôlement.
|
|
|
|
* Le NIST cesse de recommander le SMS comme "out of band verifier", voir [5.1.3.2. Out of Band Verifiers](https://pages.nist.gov/800-63-3/sp800-63b.html#out-of-band) dans //DRAFT NIST Special Publication 800-63B Digital Authentication Guideline//.
|
|
|
|
* Quelle direction: RADIUS ou flow 1 écran? -> RADIUS
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
|
|
* ED: commence développement partie RADIUS [[https://forge.switch.ch/versions/134|w34]]
|
|
|
|
* ED: commence développement partie RADIUS [w34](https://forge.switch.ch/versions/134)
|
|
|
|
* PLH ouvert au feedback sur les [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf)
|
|
|
|
* DP/CB: tests nouveau code
|
|
|
|
|
|
|
|
### Questions ###
|
|
|
|
|
|
|
|
* Pourrait-on envisager une authnContextClassRef commune à plusieurs institutions pour signifier l'usage d'une authentification forte (sans qu'elle soit liée à une technologie en particulier)? -> Oui, c'est ce qu'a défini le [[https://spaces.internet2.edu/display/MIPWG/MFA+Interoperability+Profile+Working+Group+Home|MFA Interoperability Profile Working Group]] avec le [[https://spaces.internet2.edu/display/MIPWG/Final+Products+of+the+MFA+Interoperability+Profile+Working+Group|InCommon MFA Profile]].
|
|
|
|
* Pourrait-on envisager une authnContextClassRef commune à plusieurs institutions pour signifier l'usage d'une authentification forte (sans qu'elle soit liée à une technologie en particulier)? -> Oui, c'est ce qu'a défini le [MFA Interoperability Profile Working Group](https://spaces.internet2.edu/display/MIPWG/MFA+Interoperability+Profile+Working+Group+Home) avec le [InCommon MFA Profile](https://spaces.internet2.edu/display/MIPWG/Final+Products+of+the+MFA+Interoperability+Profile+Working+Group).
|
|
|
|
* Quelle authnContextClassRef est demandée par le SP lors du renouvellement d'une session expirée? -> La configuration de la protection de l'URL demandée s'applique et détermine la classe.
|
|
|
|
* Quels sont les différents réglages de durée de session sur le SP en fonction de la méthode d'authentification? -> Il n'y a pas de réglage par méthode d'authentification sur le SP. Les timeouts sur l'élément [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions|Sessions]]: ''lifetime'', ''timeout'' et ''maxTimeSinceAuthn'' s'appliquent à toutes les méthodes.
|
|
|
|
* Quels sont les différents réglages de durée de session sur le SP en fonction de la méthode d'authentification? -> Il n'y a pas de réglage par méthode d'authentification sur le SP. Les timeouts sur l'élément [Sessions](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions): ''lifetime'', ''timeout'' et ''maxTimeSinceAuthn'' s'appliquent à toutes les méthodes.
|
|
|
|
|
|
|
|
## 2016-08-24 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/134|w34]]
|
|
|
|
* ED: seulement essai + nettoyage minimal de TinyRadius [[https://github.com/edysli/TinyRadius]]
|
|
|
|
* Done: [w34](https://forge.switch.ch/versions/134)
|
|
|
|
* ED: seulement essai + nettoyage minimal de TinyRadius https://github.com/edysli/TinyRadius
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
|
|
* ED: vacances 26.8-2.9 donc pas grand chose...
|
|
|
|
|
|
|
|
## 2016-09-07 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/136|w36]]
|
|
|
|
* Done: [w36](https://forge.switch.ch/versions/136)
|
|
|
|
* ED: début modification simple flow pour valider les OTP
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
|
|
* ED: suite validation OTP
|
|
|
|
|
|
|
|
## 2016-09-21 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/137|w38]]
|
|
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|login complet avec OTP]]
|
|
|
|
* Done: [w38](https://forge.switch.ch/versions/137)
|
|
|
|
* ED: demo [login complet avec OTP](https://mfa-dev.ed.switch.ch/index.html)
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
|
|
* ED: ? (voir propositions) + absence 4-13.10 -> prochaine réunion 19.10
|
|
|
|
|
| ... | ... | @@ -129,8 +129,8 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
### Done ###
|
|
|
|
|
|
|
|
* [[https://forge.switch.ch/versions/139|w42]]
|
|
|
|
* Nouveau dépôt Git [[https://gitlab.switch.ch/etienne.dysli-metref/idpv3-mfa.git]]
|
|
|
|
* [w42](https://forge.switch.ch/versions/139)
|
|
|
|
* Nouveau dépôt Git https://gitlab.switch.ch/edu-id/idpv3-mfa.git
|
|
|
|
* UniGE
|
|
|
|
* la partie MFA pour l'IdP a été installée sur nos IdPs de lab et de test.
|
|
|
|
* le formulaire d'entrée du second facteur (simple-form.vm, cf. message de Pierre Lehmann) a été customisé (en particulier l'input pour le code OTP n'est plus de type "password").
|
| ... | ... | @@ -159,7 +159,7 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
## 2016-11-02 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/140|w44]]
|
|
|
|
* Done: [w44](https://forge.switch.ch/versions/140)
|
|
|
|
* ED: rien (packages Debian)
|
|
|
|
* UniGE: développement procédure enrôlement pour Google Authenticator
|
|
|
|
* Discuté:
|
| ... | ... | @@ -167,7 +167,7 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
## 2016-11-16 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/141|w46]]
|
|
|
|
* Done: [w46](https://forge.switch.ch/versions/141)
|
|
|
|
* ED: message d'erreur sur page OTP, variables dans templates Velocity, comportement SP lors de changement de authnContextClassRef
|
|
|
|
* PLH: séance avec client (RH) -> Les applications RH seront entièrement protégées par MFA (pas de mélange dans une session). Ces applications seront regroupées dans un onglet du portail, lui-même protégé par MFA (SP supplémentaire).
|
|
|
|
* PLH, AHU: continuent développement des procédures d'enrôlement
|
| ... | ... | @@ -176,7 +176,7 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
## 2016-11-30 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/142|w48]]
|
|
|
|
* Done: [w48](https://forge.switch.ch/versions/142)
|
|
|
|
* ED: bouton SMS avec message, flow et authnClassRef renommés
|
|
|
|
* PLH: procédure d'enrôlement
|
|
|
|
* Qui fait quoi les deux prochaines semaines?
|
| ... | ... | @@ -185,12 +185,12 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
|
|
|
|
|
|
## 2016-12-14 ##
|
|
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/143|w50]]
|
|
|
|
* Done: [w50](https://forge.switch.ch/versions/143)
|
|
|
|
* ED: renommé "send sms" en "request sms" dans les messages et le code
|
|
|
|
* ED: publication version 1.0.0
|
|
|
|
* CB: version 1.0.0 installée en test, démo
|
|
|
|
* Suite du projet en décembre et janvier? première réunion le 11.1.2017 pour voir si d'autres sont nécessaires
|
|
|
|
Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" sur la page: si l'utilisateur appuie sur ''entrée'' dans le champ OTP, un SMS est envoyé au lieu de soumettre le code OTP. Le premier élément ''<input type="submit">'' dans l'élément ''form'' est pris comme action par défaut (voir HTML5 [[https://www.w3.org/TR/html5/forms.html#implicit-submission|implicit submission]]). Une solution pourrait être de dupliquer l'élément ''form'' pour que le bouton "demander sms" soit seul dans un formulaire.
|
|
|
|
Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" sur la page: si l'utilisateur appuie sur ''entrée'' dans le champ OTP, un SMS est envoyé au lieu de soumettre le code OTP. Le premier élément ''<input type="submit">'' dans l'élément ''form'' est pris comme action par défaut (voir HTML5 [implicit submission](https://www.w3.org/TR/html5/forms.html#implicit-submission)). Une solution pourrait être de dupliquer l'élément ''form'' pour que le bouton "demander sms" soit seul dans un formulaire.
|
|
|
|
|
|
|
|
## 2017-01-11 ##
|
|
|
|
|
| ... | ... | @@ -209,7 +209,7 @@ Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" su |
|
|
|
|
|
|
|
### Lien à la place d'un bouton pour l'envoi d'un SMS ###
|
|
|
|
|
|
|
|
Il faut remplacer l'élément ''<button type=submit .../>'' par un lien pointant vers la même URL que le formulaire avec le paramètre ''_eventId'', c'est-à-dire: <code><a href="${flowExecutionUrl}&_eventId=requestsmsotp">...</a></code>Voir à ce sujet la documentation de Spring Webflow [[http://docs.spring.io/spring-webflow/docs/2.4.x/reference/htmlsingle/#webflow-event-link|11.6.3. Using a HTML link to signal an event]]. La variable ''${flowExecutionUrl}'' est automatiquement remplacée.
|
|
|
|
Il faut remplacer l'élément ''<button type=submit .../>'' par un lien pointant vers la même URL que le formulaire avec le paramètre ''_eventId'', c'est-à-dire: <code><a href="${flowExecutionUrl}&_eventId=requestsmsotp">...</a></code>Voir à ce sujet la documentation de Spring Webflow [11.6.3. Using a HTML link to signal an event](http://docs.spring.io/spring-webflow/docs/2.4.x/reference/htmlsingle/#webflow-event-link). La variable ''${flowExecutionUrl}'' est automatiquement remplacée.
|
|
|
|
|
|
|
|
## 2017-03-08 ##
|
|
|
|
|
| ... | ... | |
