Informasjon om utfallet for innlogging via ID-porten

Innlogging via ID-porten på Feide var utilgjengelig fra ca kl. 05.00 frem til kl. 11.20 tirsdag 29. oktober.

Årsaken til utfallet var en endring hos ID-portens OIDC-grensenitt i kombinasjon med en feil i en programvaremodul vi benytter i Feide. Programvaremodulen vi benytter hadde en feil der den ikke fulgte OIDC-spesifikasjonen nøyaktig. Dette har tidligere fungert uten problemer mot ID-porten, men ikke etter kl 05.00 i morges.

Vi har endret koden hos oss slik at integrasjonen mot ID-porten fungerer igjen, men skal også sende endringen vi har gjort til leverandøren av modulen slik at de får oppdatert koden ‘oppstøms’ til å være i henhold til OIDC-spesifikasjonen.

Tekniske detaljer

OIDC-spesifikasjonen[1] sier at URL-er skal være normalisert slik at det ikke er doble ‘/’ i URL-en når man spør etter konfigurasjonen til motparten. Modulen vi benytter i Feide for OIDC[2] normaliserte ikke URL-en. URL-en har inntil i natt fungert fint mot ID-porten og vi var ikke derfor klar over at feilen var der. Vi har endret koden lokalt hos oss til å følge spesifikasjonen, og sendt en endringsforespørsel til Cirrius Identity[3].

Vi vet ikke ennå om endringen i ID-portengrensesnittet var en bevisst eller ubevisst innstramming fra Difi sin side.

Ikke lenger fungerende URL som modulen brukte: 
https://oidc.difi.no/idporten-oidc-provider//.well-known/openid-configuration

Fungerende URL, etter spesifikasjonen, som vi nå benytter:
https://oidc.difi.no/idporten-oidc-provider/.well-known/openid-configuration

[1] https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderConfigurationRequest
[2] https://github.com/cirrusidentity/simplesamlphp-module-authoauth2
[3] https://github.com/cirrusidentity/simplesamlphp-module-authoauth2/pull/27