digitalcourage.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
Diese Instanz wird betrieben von Digitalcourage e.V. für die Allgemeinheit. Damit wir das nachhaltig tun können, erheben wir einen jährlichen Vorausbeitrag von 1€/Monat per SEPA-Lastschrifteinzug.

Server stats:

812
active users

#SAML

1 post1 participant0 posts today

Guten Morgen! Am 11. Juni findet wieder meine ganztägige Keycloak-Schulung statt und es gibt noch ein paar freie Plätze. Die Zielgruppe sind Admin*s, die den von @univention ausgelieferten Keycloak in Verbindung mit UCS einsetzen. SSO-Vorkenntnisse sind nicht nötig. Falls noch jemand teilnehmen möchte, sind hier die Details zur Anmeldung:

univention.de/training/keycloa

UniventionKeycloak Technikschulung | UniventionDie Schulung richtet sich an UCS-Nutzer mit Linux-Grundkenntnissen und fokussiert sich auf die praktische Anwendung von Keycloak.

Kennt sich jemand mit #SAML aus?

Ich hab das Problem, dass ich mich in #Friendica mittels SAML auf keycloak authentifiziere.
Und ich muss mich oft bei jedem Blick auf die Webapp anmelden... 10, 15x am Tag.
Das nervt.

Mein Browser ist #Vanadium auf #GrapheneOS

Verwirft Vanadium das Saml-Ticket?
Muss ich in den Client-Settings auf Keycloak drehen?
Ist das normal bei Saml?

Die OIDC-Logins vom selben keycloak-Server (Peertube, Nextcloud, Mobilizon) bleiben über Wochen und Monate aufrecht...

I became a maintainer of a popular #SAML library for Node.js, "node-saml", which in turn uses "xml-crypto", which in turn is based on XML signatures.

If you are still using SAML for #SSO, be aware there has been string of SAML vulnerabilities related to the fundamentals of how it works and there are likely to be more. You are advised to OIDC instead.

In this thread, I'll discuss some of weaknesses in SAML that have come up repeatedly. 🧵

Long shot, but: As my project for #eh22 I was thinking about extending our #Keycloak configuration auditor with some checks for #SAML-based authentication. However, I know next to nothing about SAML and am a bit lost, to be honest. If anyone is at #eh22 who has some knowledge about SAML security and common misconfigurations (on the server or client side), and wants to collaborate to create some checks for #kcwarden (github.com/iteratec/kcwarden), hit me up.

GitHubGitHub - iteratec/kcwarden: Keycloak Configuration AuditorKeycloak Configuration Auditor. Contribute to iteratec/kcwarden development by creating an account on GitHub.

I'm sure there is a simple, totally obvious reason (no trusted central authority problem?) but it seems kind of strange to me that the #Fediverse doesn't allow me to truly use a single login across services via some kind of #FIDO compliant magic, considering that almost everyone is an #infosec person and/or developer. Admittedly, I haven't thought about this too deeply. Also, where's passkey support? #saml #sso

Learnings am Wegesrand: Für die Signierung und Verschlüsselung von #SAML-Metadaten nutzt man wegen der häufigen Rotationen und fehlender Automatisierungsmöglichkeit bei Kommunikationspartnern ja meist keine Letsencrypt-Zertifikate. Gestern dachte ich, ach für diesen kurzen Test geht’s mal. Und dann habe ich lange nach dem Fehler gesucht und gemerkt, dass Letsencrypt inzwischen EC-Schlüssel statt RSA generiert,mit denen der #Shibboleth SP nicht signieren kann. #til #sso #singlesignon

In Eurem UCS läuft nach der Keycloak-Anbindung die Portal-Session ständig ab? Jeder Client kann in Keycloak eine eigene Session Lifetime haben, unabhängig von den globalen Token Lifetime im Realm.

So stellt Ihr 10 Stunden ein:

univention-keycloak saml/sp update portal.example.org/univention/ '{"attributes": {"saml.assertion.lifespan": "36000"}}'

In der Oberfläche: Clients -> Portal -> Reiter "Erweitert" -> Runterscrollen -> "Assertion Lifespan".