[upki-fed:112] Shibboleth IdP OIDC OPプラグインv4.3.0/OIDC RP Authentication Proxyプラグインv2.3.0リリースについて
12 views
Skip to first unread message
学認事務局
Jul 9, 2025, 10:22:09 PMJul 9
to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。
2025/6/23にShibboleth ProjectよりShibboleth IdP OIDC OPプラグインv4.3.0及び
OIDC RP Authentication Proxyプラグインv2.3.0がリリースされました。両リリース
には、OIDC commons libraryとOIDC config moduleの新バージョンが付属しており、
これらが必要となります。詳細は下記リンク先をご参照ください[1][2][3][4]。
主なトピックスは下記の通りです。
- OIDC OPプラグイン
- Private Key JWT client authenticationに対するAudience Injection Attack[5]への対策
- Administrative tokenの失効
- アカウント侵害が発生した場合にIdPで既存のトークンを破棄する機能です。
- Audit loggingの改善
- authn/OAuth2Client flowでもAudit loggingがサポートされるようになりました。
- OIDC RP Authentication Proxyプラグイン
- Audience Injection Attack[5]のリスクを軽減するためのオプションの導入
- RPの属性デコード機能におけるバグ修正
- このバグにより、エイリアス化されたIdP属性が失われる可能性があります。
また、OIDC Common Libraryをv3.3.0にアップグレードした直後に、以前は存在しなかった
OIDCStringAttributeTranscoderのWARNINGログが表示されるようになったという報告が
ありますが、現時点では無視して問題ありません。[6]
[1] https://shibboleth.net/pipermail/announce/2025-June/000350.html
[2] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/OPReleaseNotes
[3] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OIDCRelyingPartyAuthnConfigurationReleaseNotes
[4] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3232137218/OIDCCommonReleaseNotes
[5] https://eprint.iacr.org/2025/629.pdf
[6] https://marc.info/?l=shibboleth-users&m=175083989613008&w=2
===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================
--
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。
2025/6/23にShibboleth ProjectよりShibboleth IdP OIDC OPプラグインv4.3.0及び
OIDC RP Authentication Proxyプラグインv2.3.0がリリースされました。両リリース
には、OIDC commons libraryとOIDC config moduleの新バージョンが付属しており、
これらが必要となります。詳細は下記リンク先をご参照ください[1][2][3][4]。
主なトピックスは下記の通りです。
- OIDC OPプラグイン
- Private Key JWT client authenticationに対するAudience Injection Attack[5]への対策
- Administrative tokenの失効
- アカウント侵害が発生した場合にIdPで既存のトークンを破棄する機能です。
- Audit loggingの改善
- authn/OAuth2Client flowでもAudit loggingがサポートされるようになりました。
- OIDC RP Authentication Proxyプラグイン
- Audience Injection Attack[5]のリスクを軽減するためのオプションの導入
- RPの属性デコード機能におけるバグ修正
- このバグにより、エイリアス化されたIdP属性が失われる可能性があります。
また、OIDC Common Libraryをv3.3.0にアップグレードした直後に、以前は存在しなかった
OIDCStringAttributeTranscoderのWARNINGログが表示されるようになったという報告が
ありますが、現時点では無視して問題ありません。[6]
[1] https://shibboleth.net/pipermail/announce/2025-June/000350.html
[2] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/OPReleaseNotes
[3] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OIDCRelyingPartyAuthnConfigurationReleaseNotes
[4] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3232137218/OIDCCommonReleaseNotes
[5] https://eprint.iacr.org/2025/629.pdf
[6] https://marc.info/?l=shibboleth-users&m=175083989613008&w=2
===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================
--
Reply all
Reply to author
Forward
0 new messages