doc/RELEASE.txt

   1 Release Notes
   2
   3 Shibboleth Native SP
   4 2.3.1
   5
   6 NOTE: The shibboleth2.xml configuration format in this release
   7 is fully compatible with the 2.1 and 2.2 releases, but there are some small
   8 changes required to eliminate various warnings about deprecated options.
   9
  10 List of issues addressed by this release:
  11 https://bugs.internet2.edu/jira/browse/SSPCPP/fixforversion/10271
  12
  13 Fully Supported
  14
  15 - SAML 1.0, 1.1, 2.0 Single Sign-On
  16         - Shibboleth 1.x request profile
  17         - 1.x POST/Artifact profiles
  18         - 2.0 HTTP-Redirect/POST/POST-SimpleSign/Artifact/PAOS bindings
  19
  20 - SAML 1.0, 1.1, 2.0 Attribute Query via Attribute Resolver plugin
  21         - SAML SOAP binding
  22
  23 - SAML 2.0 Single Logout
  24     - HTTP-Redirect/POST/POST-SimpleSign/Artifact bindings
  25     - Front and back-channel application notification of logout
  26     - Race detection of late arriving assertions
  27
  28 - SAML 2.0 NameID Management (IdP-initiated only)
  29     - HTTP-Redirect/POST/POST-SimpleSign/Artifact bindings
  30     - Front and back-channel application notification of changes
  31
  32 - ADFS WS-Federation Support
  33     - SSO and SLO
  34     - experimental support for SAML 2.0 assertions
  35
  36 - Shibboleth WAYF and SAML DS protocols for IdP Discovery
  37
  38 - Metadata Providers
  39         - Bulk resolution via local file, or URL with local file backup
  40         - Dynamic resolution and caching based on entityID
  41         - Filtering based on whitelist, blacklist, or signature verification
  42         - Support for enhanced PKI processing in transport and signature verification
  43
  44 - Metadata Generation Handler
  45     - Generates and optionally signs SAML metadata based on SP configuration
  46
  47 - Status Handler
  48     - Reports on status and configuration of SP
  49
  50 - Session Handler
  51     - Dumps information about an active session
  52
  53 - Trust Engines
  54         - Explicit key and PKIX engines via metadata, superset compatible with 1.3
  55         - PKIX trust engine with static root list
  56
  57 - Configurable per-endpoint Security Policy rules
  58         - Replay and freshness detection
  59         - XML signing
  60         - Simple "blob" signing
  61         - TLS X.509 certificate authentication
  62         - SAML condition handling
  63
  64 - Client transport authentication to SOAP endpoints via libcurl
  65         - TLS X.509 client certificates
  66         - Basic-Auth
  67         - Digest-Auth (untested)
  68         - NTLM (untested)
  69
  70 - Encryption
  71         - All incoming SAML 2 encrypted element types (Assertion, NameID, Attribute)
  72         - Optional outgoing encryption of NameID in requests and responses
  73
  74 - Attributes
  75         - Decoding and exporting SAML 1 and 2 attributes
  76                 - Strings
  77                 - Value/scope pairs (legacy and value@scope syntaxes supported)
  78                 - NameIDs
  79         - XML to base64-encoded XML
  80                 - DOM to internal data structure
  81                 - KeyInfo-based data, including metadata-derived KeyDescriptors
  82                 - Metadata EntityAttributes extension "tags"
  83
  84 - Attribute Filtering
  85         - Policy language compatible with IdP filtering, except that references
  86                 only work within policy files, not across them
  87         - Rules based on, attribute issuer, requester, scope, and value, authentication
  88                 method, based on exact string and regular expressions.
  89     - Boolean functions supporting AND, OR, and NOT for use in composing rules
  90     - Wildcard rules allowing all unspecified attributes through with no filtering
  91
  92 - Assertion Export
  93         - Oversized header replaced with Shib-Assertion-Count and Shib-Assertion-NN headers
  94                 containing local URL to fetch SAML assertion using HTTP GET
  95
  96 - Enhanced Spoofing Detection
  97         - Detects and blocks client headers that would match known attribute headers
  98         - Key-based mechanism to handle internal server redirection while maintaining protection
  99
 100 - ODBC Clustering Support
 101         - Tested against a few different servers with various drivers
 102
 103 - RequestMap enhancements
 104     - Regular expression matching for hosts and paths
 105     - Query string parameter matching
 106
 107 - Error handling enhancements
 108     - Reporting of SAML status errors
 109     - Optional redirection to custom error handler
 110
 111 - Form POST data preservation
 112     - Support on Apache for preserving URL-encoded form data across SSO
 113
 114 - Apache module enhancements
 115     - "OR" coexistence with other authorization modules
 116     - htaccess-based override of any valid RequestMap property
 117
 118 - Command line tools
 119     - samlsign for manual XML signing and verification
 120     - mdquery for interrogating via metadata configuration
 121     - resolvertest for exercising attribute extraction, filtering, and resolution
 122
 123 - Migrating 1.3 core configuration file
 124     - Stylesheet can handle some common options