Skip to content

Change-Log

5.0.39

  • Korrektur eines Fehlers, bei dem der name-Claim für Tokens mehrfach ausgestellt wurde.
  • Korrektur eines Fehlers bei der Validierung der CMI Server URL in der Mandanten-Konfiguration.

5.0.37

  • Korrektur eines Fehlers, bei dem für Named Admins der zweite Faktor im STS angefordert wurde, obwohl die Authentifizierung bereits über den dedizierten Identity Provider (inkl. MFA) erfolgt.
  • Aktualisierung des Pakets CMI.Configuration.EtcdCache auf Version 2.4.10. Die Tracing-Source des ETCD-Configuration-Providers wird neu für OpenTelemetry registriert.

5.0.31

  • Hardening: Die Benutzeridentifikation bei externer Authentifizierung wurde gehärtet. Leere oder ungültige IdClaimType-Konfigurationen werden nun frühzeitig abgewiesen. Für den Named-Admin-Provider wird der konfigurierte IdClaimType strikt erzwungen (kein Fallback). Für reguläre Provider wird bei fehlendem Claim auf das Standard-Verhalten (sub/NameIdentifier) zurückgefallen.

5.0.29

  • Korrektur eines Fehlers, bei dem die Client-Konfiguration nach einem Hot-Reload nicht aktualisiert wurde.

5.0.28

  • Korrektur eines Fehlers, bei dem die Optionen externer Identity Provider nicht mandantenspezifisch isoliert wurden.

5.0.0

  • Beta-Feature Named Admins hinzugefügt.
  • Ein Anzeigename kann für Identity Provider festgelegt werden.
  • Hot-Reload von Konfiguration aktiviert & Konfiguration kann via ETCD geladen werden.
  • Aktualisieren diverser Abhängigkeiten.

Breaking Changes:

  • Upgrade von ASP.NET Core 8 auf ASP.NET Core 10. Die Systemvoraussetzungen wurden angepasst. Die ASP.NET Core 10 Runtime wird benötigt.
  • Upgrade von Duende IdentityServer auf Version 7.4. Ein Client kann die Grant-Flows authorization_code und client_credential nicht mehr gleichzeitig verwenden, wenn der authorization_code-Flow kein Client Secret verwendet soll. Ein Client Secret ist für den client_credential-Flow in jedem Fall erforderlich. Es wird empfohlen, zwei getrennte Clients zu konfigurieren.

Es gibt eine Migrationsanleitung für das Update von Version 4.X auf 5.0.

4.3.15

  • ISDS-228: Sicherheitsverbesserung zur Verhinderung von mandantenübergreifender Token-Ausstellung.

4.3.6

  • Auf dem Root-Path ("/") des CMI STS werden ab sofort einige Security-Header gesetzt.

4.3.2

  • Update der Duende Identity Server Lizenz.

4.3.0

  • Dokumentation für den neuen Desktop-Client mit Refresh Token erstellt und als Standard hinterlegt.
  • Im Discovery-Endpoint (openid-configuration) wird die zu verwendende Client-Konfiguration (ClientSecret und GrantType) für den Desktop-Client angegeben.
  • Es gibt eine Migrationsanleitung für das Update von Version 4.0 - 4.2 auf 4.3.

4.2.4

  • Dokumentation erweitert um die Lebenszeit von Refresh Tokens.

4.2.1

4.1.1

  • UI-Performance optimiert und nicht benötigten JavaScript-Code entfernt.
  • Umgehungslösung für das fehlerhafte Cache-Verhalten von statischen Dateien der WebView2 (Desktop Client) beim Update von CMI STS 3 auf 4.

4.0.24

  • Korrektur eines Fehlers beim Setzen von CSP-Headern, bei dem die CSP-Optionen des ersten verwendeten Mandanten für alle Mandanten verwendet werden. Der Fehler hatte nur Einfluss, wenn CSP-Optionen auf Mandanten-Ebene spezifiziert wurden.
  • Aktualisieren diverser Abhängigkeiten.
  • Ergänzungen der Dokumentation.

4.0.13

  • Das Eingabefeld für den 2. Faktor wird nun als normales Textfeld dargestellt.

4.0.8

  • Korrektur eines Fehlers im Login-Dialog, welcher zu einer Parameter Pollution führt.
  • Aktualisieren diverser Abhängigkeiten.
  • Ergänzungen an der Dokumentation.

4.0.4

  • Erweitertes "Auth-Cookie"-Debugging.

4.0.3

  • Korrektur für CVE-2024-39694.
  • Aktualisieren diverser Abhängigkeiten.

4.0.2

  • Korrekturen an der Dokumentation.

4.0.1

  • OPS24-201: Aktualisieren vom Duende Identity Server auf 7.0.3.
  • Aktualisieren diverser Abhängigkeiten.
  • Diverse Ergänzungen und Verbesserungen an der Dokumentation.

Breaking Changes:

  • OPS24-201: Upgrade von ASP.NET Core 6 auf ASP.NET Core 8. Die Systemvoraussetzungen wurden angepasst. Die ASP.NET Core 8 Runtime wird benötigt.
  • Windows-Authentication wird nicht mehr unterstützt. Ein OpenID Connect oder WS Federation IDP wird benötigt. Für Windows-Umgebungen eignet sich:
  • Die ab Release 3.6.1 als veraltet geltenden Sektionsnamen DistributedCache und PersistedGrantStore in der Konfiguration werden nicht mehr unterstützt. Stattdessen müssen die Sektionsnamen auf FileDistributedCache und FilePersistedGrantStore geändert werden.

Es gibt eine Migrationsanleitung für das Update von Version 3.X auf 4.0.

3.10.1

  • OPS25-18: An den CMI Server werden erweiterte Kontext-Informationen über den Anmelde-Prozess übermittelt. Auf dieser Basis kann der CMI Server differenzierte Entscheidungen bezüglich der Reaktion auf Authentifizierungsanfragen treffen.
  • OPS25-18: Der On Behalf Of Grant signalisiert dem CMI Server, dass ein möglicherweise unvollständiges Claim-Set über den Benutzer vorliegt.

3.9.10

  • OPS24-88: Performance-Optimierung beim Laden der Client-Konfiguration.

3.9.9

  • Ein Fehler wurde behoben, bei dem nicht alle Claims berücksichtigt wurden, die von einem Identity Provider über den UserInfo-Endpunkt angeboten werden.
  • ST7-388: Das Passwort-Feld besitzt eine Schaltfläche, um das Passwort anzuzeigen.
  • Diverse Ergänzungen und Verbesserungen an der Dokumentation.

3.9.1

  • OpenTelemetry ist in den CMI STS integriert. Telemetrie ist standardmässig deaktiviert.
  • Diverse Ergänzungen und Verbesserungen an der Dokumentation.
  • Diverse kleine Fehlerbehebungen.
  • Aktualisieren diverser Abhängigkeiten.

3.8.1

3.7.13

  • Migration auf das Package CMI.Infrastructure.MultiTenancy. Es sind keine Konfigurationsänderungen erforderlich.

3.7.11

  • Aktualisieren diverser Abhängigkeiten.
  • Migration auf die Packages CMI.Infrastructure.DataProtection und CMI.Infrastructure.ForwardedHeaders. Die Konfiguration für den skalierten Betrieb bleibt unverändert.

3.7.10

  • Troubleshooting aktualisiert.

3.7.6

  • Validierungen und Debug-Log-Meldungen für IDP- und OTP-Selektoren ergänzt.
  • Ein Fehler wurde behoben, bei dem die Angabe von Netzwerkbereichen nicht optional war, obwohl dies so dokumentiert und vorgesehen ist.
  • Dokumentation für Push Service 3.0 mit CMI Server Release 23 angepasst.

3.7.5

  • Eine fehlende Abhängigkeit hinzugefügt, die für das Ausführen von Health-Checks erforderlich ist.

3.7.4

  • ST3-1111: Aktualisieren diverser Client- und Server-Bibliotheken.
  • Kleinere Ergänzungen an der Dokumentation.

3.7.1

  • Die Konfigurationsoptionen RestrictDiagnosticsToLocalhost und MsIdentityModelShowPII sind nun unter der Sektion Diagnostic zusammengefasst und nicht mehr in der Konfigurationswurzelsektion. Da diese Optionen lediglich der Diagnose dienen und keinen funktionalen Einfluss haben, wurde kein rückwärtskompatibles Verhalten implementiert. Werden diese Optionen im bestehenden CMI STS Setup verwendet, muss die Konfiguration nach dem Update angepasst werden.
  • Um den Support für Integrationsprobleme zwischen CMI STS und Identity Providern zu vereinfachen, kann die Diagnose-Option EnableIdpIdentityDiagnostic aktiviert werden. Die vom Identity Provider ausgestellten Claims können 3 Stunden lang vom betroffenen Benutzer auf der Diagnostics-Seite abgerufen werden.

3.6.2

  • ST4-1101: Aktualisieren vom Duende Identity Server 6.0.4 auf 6.1.6 und der Duende Lizenz.
  • Aktualisieren diverser Abhängigkeiten.
  • Kleinere Korrekturen an der Dokumentation.

3.6.1

  • ST4-1101: Die InMemory-Datenbank Redis wird als Implementierung für den Persisted Grant Store und Distributed Cache unterstützt. Sie sollte verwendet werden, wenn eine hohe Last auf den CMI STS erwartet wird.
  • ST4-1101: Die Sektionsnamen DistributedCache und PersistedGrantStore in der Konfiguration gelten als veraltet, werden jedoch noch ausgewertet. Stattdessen sollten die Sektionsnamen FileDistributedCache und FilePersistedGrantStore verwendet werden.

3.5.2

  • ST4-1101: Ein Problem behoben, bei dem die für den Distributed Cache Health Check erzeugten Test-IDs nicht eindeutig waren, wenn dieser Health Check oft und in kurzer Zeit durchgeführt wurde.
  • ST4-1101: Der dateibasierte Distributed Cache verwendet eine Retry-Policy für das Laden von Cache-Daten, um auszugleichen, dass es beim NFS und SMB Protokoll Verzögerungen bei der Bereitstellung von neu erstellten Dateien geben kann. Innerhalb von 300 ms wird bis zu dreimal versucht, eine angeforderte Datei zu laden, bevor ein "cache miss" angenommen wird. Das macht den dateibasierten Distributed Cache für hohe Lastszenarien ungeeignet.

3.5.1

Es gibt eine Migrationsanleitung für das Update von Version 3.0-3.4 auf 3.5.

  • AZ-285: Das nicht mehr weiterentwickelte IdentityServer 4 Framework wird nicht mehr verwendet. Stattdessen wird das Nachfolgerframework Duende IdentityServer 6 eingesetzt.
  • AZ-285: Upgrade von ASP.NET Core 3.1 auf ASP.NET Core 6.0. Die Systemvoraussetzungen wurden angepasst. Die ASP.NET Core 6 Runtime wird benötigt.
  • Die bisherige manuelle Schlüsselverwaltung zur Tokensignierung gilt als veraltet. Stattdessen wird der Wechsel auf die automatische Schlüsselverwaltung empfohlen. Das bestehende Schlüsselmaterial wird nach dem Update zur Rückwärtskompatibilität weiterhin verwendet. Zur vollständigen Aktivierung der automatischen Schlüsselverwaltung sind weitere Schritte durch den Administrator erforderlich.

3.4.1

  • Das Sliding Cookie kann bei Bedarf deaktiviert werden.
  • Ein Problem wurde behoben, bei dem das CMI Logo nicht angezeigt wurde, wenn die Basis-URL des CMI STS Pfad-Segmente beinhaltet hat.

3.3.1

  • Fehler in der Dokumentation bereinigt und Präzisierungen eingefügt.
  • Die Cookie Chunk Size ist konfigurierbar.
  • Die Claim-Transformation, die mit Version 3.1.1 deaktiviert wurde, kann optional aktiviert werden.
  • SCV2-685: Die Anmeldung des Desktop Clients im nicht interaktiven Modus ist dokumentiert (Passwort-Flow). Der Passwort-Flow ist seit Version 3.0.1 verwendbar.
  • Probleme mit dem Dependency-Management wurden behoben, die beim Betrieb unter Linux die Verwendung von IDPs verhinderten.
  • ST1-693: Die Frame-Ancestors des CSP-Response-Headers können konfiguriert werden.
  • AZ-280: Wenn für den Benutzer (nach der Filterung durch Selektoren) mindestens ein IDP zur Verfügung steht, wird die BuiltIn-Login-Maske nicht angezeigt. Stattdessen wird das BuiltIn-Login bei den IDPs als mögliche Login-Methode angezeigt.
  • Ein alternatives Verzeichnis kann konfiguriert werden, aus dem SVG-Dateien für die IDP-Auswahl auf der Login-Maske geladen werden sollen.

3.2.1

  • ST4-744: Client-Anwendungen können bei Bedarf die automatische Wahl der IDPs unterdrücken und alle Authentifizierungsschemas anzeigen lassen. Damit wird der "Anmelden als"-Workflow abgedeckt.
  • Ein Fehler beim Einlesen der Selektor-Konfiguration wurde behoben, bei dem der Provider "metatool" (CMI Server BuiltIn Login) als ungültiger Provider abgelehnt wurde.

3.1.1

  • ST4-649: Eine unerwünschte Claim-Transformation wird nicht mehr durchgeführt. Hat ein Idp einen Claim-Type zum Beispiel mit dem Wert email geliefert, wurde eine Transformation auf den Typ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress durchgeführt und so an den CMI Server gesendet. Das erschwert die Konfiguration von Feld- und Gruppenmapping. Durch die Korrektur werden Claims nun ohne Änderungen an den CMI Server weitergereicht.
  • Präzisere Fehler-Logeinträge bei Problemen mit dem Signing-Zertifikat.
  • Diverse Korrekturen und Ergänzungen an der Dokumentation, u.a.:
  • Grant Types
  • Breaking-Changes zwischen CMI STS 2 und CMI STS 3
  • Aktualisierte Empfehlungen zur Konfiguration von Clients
  • Korrekturen am Layout.
  • Es sind Health-Check-Endpunkte verfügbar.

3.0.2

  • Die Dokumentation wurde ausgebaut und vervollständigt.
  • Die französischen Übersetzungen wurden vervollständigt.
  • Die Gross- und Kleinschreibung des Mandanten in der URL ist nicht mehr relevant.

3.0.1

  • Erster Release der für produktive Zwecke verfügbar ist.