Forced authentication does not reset the AuthnInstant
[java-idp.git] / doc / RELEASE-NOTES.txt
1 Changes in Release 2.2.1
2 =============================================
3 [SIDP-417] - Shib deployed to root web context, SSOProfileHandler forwards to "/null/AuthnEngine"
4 [SIDP-421] - Error logging SOAP queries
5 [SIDP-422] - aacli.sh Exception in thread "main" 
6 [SIDP-426] - Forced authentication does not reset the AuthnInstant 
7 [SIDP-427] - Incorrect handling of returned authn error in SSO profile handlers
8 [SIDP-428] - Address lifecycle issues around use of MetadataCredentialResolverFactory
9 [SIDP-431] - Typo in default attribute-resolver.xml
10 [SIDP-434] - More Typos in Default attribute-resolver.xml
11 [SIDP-432] - Set explicit caching headers on redirects
12 [SIDP-436] - Null AuthnContextClassRef causes NPE
13 [SIDP-447] - Fix for SIDP-417 missed RemoteUserLoginHandler
14 [SIDP-450] - NPE with AttributeQueryProfile when there are errors resolving attributes
15 [SIDP-453] - Session inactivity timeout being treated as a hard expiration time
16
17 Changes in Release 2.2.0
18 =============================================
19 [SIDP-416] - MetadataProviderObserver leak, new one added on every login
20 [SIDP-415] - SAML name identifier value not logged in audit log
21 [SIDP-413] - Change link of example login page
22 [SIDP-411] - Check for loginContext != null at login.jsp
23 [SIDP-409] - Pass IdP w/o authenticating
24 [SIDP-407] - Shibboleth SSO profile handler sets incorrect protocol string in outbound message context
25 [SIDP-403] - Use text/xml as the media type for returned metadata unless user agent request metadata media type
26 [SIDP-402] - Update 3rd party libraries for 2.2 release
27 [SIDP-397] - Remove any unit test that won't be fixed in the 2.X branch, fix the rest
28 [SIDP-396] - Previous session LoginHandler used even if authentication method has expired
29 [SIDP-392] - NullPointerException in LoginContext when authentication method information is null
30 [SIDP-388] - Add eduPersonAssurance attribute to attribute-resolver.xml config example
31 [SIDP-386] - Session indexes not cleared when session is destroyed
32 [SIDP-384] - Incorrect error message set for expired request in Shibboleth SSO Profile Handler
33 [SIDP-382] - Less verbose logging for failed attribute queries due to missing name-id
34 [SIDP-381] - Use duration notation for assertion lifetime in example config files
35 [SIDP-380] - Use of forwards between profile handlers and authentication engine causes problems for uApprove
36 [SIDP-379] - Usage of general AuthenticationException in UsernamePasswordLoginHandler
37 [SIDP-374] - Switch to use StaticBasicParserPool instead of BasicParserPool
38 [SIDP-373] - The SLF4J MDC state is not being properly cleared when request processing is done.
39 [SIDP-368] - Provide more acurate login error to servlet when Username/Password login authentication has failed.
40 [SIDP-369] - Allow to have cookie Domain set for login context cookie
41 [SIDP-365] - Expose uptime of IdP web application with status handler
42 [SIDP-362] - Only log exception message without stack trace for expired SAML messages
43 [SIDP-360] - Session isn't being set within the attribute request context during a SAML1 attribute query
44 [SIDP-359] - HttpServletHelper.getRelyingPartyConfirmationManager misnamed
45 [SIDP-355] - Idp reinstall from source overwrite some config files even when "no overwrite" is specified
46 [SIDP-301] - Remove use of events in SessionManager so that different StorageService implementations may be more easily used
47 [SIDP-288] - Improve consistency of XML configuration defaults/examples
48 [SIDP-275] - Using standard JAAS LoginException in UP LoginHandler servlet
49 [SC-63] - Use XML Schema duration syntax instead of integers for duration configuration options
50
51 Changes in Release 2.1.5
52 =============================================
53 [SIDP-353] - Default login.jsp crashes on anonymous RPs
54
55 Changes in Release 2.1.4
56 =============================================
57 [SIDP-340] - Default tc-config.xml causes TCNonPortableObjectError
58 [SIDP-342] - NameIdentifier encoder mix-up when the SP doesn't support the first NameIdentifier format
59 [SIDP-343] - AuthnInstant is updated even when authentication doesn't happen
60 [SIDP-348] - Remove Terracotta Configuration from IdP Install
61 [SIDP-249] - LoginContext is not removed from StorageService after Authentication Completes
62 [SIDP-350] - Installer does not remember installation directory when upgrading
63 [SIDP-351] - Attribute resolution errors shouldn't prevent valid authn statement being returned
64
65 Changes in Release 2.1.3
66 =============================================
67 [SIDP-244] - Error message on invalid ACS could be improved
68 [SIDP-247] - Log Exception in UP LoginHandler Servlet
69 [SIDP-258] - Authentication Engine does not check to ensure returned authenticaiton mechanism from Login Handler is acceptable to the SP
70 [SIDP-263] - Suggest adding defaultSigningCredentialRef to the AnonymousRelyingParty element in the default config
71 [SIDP-261] - IPAddressLoginHandler addresses comparison fails
72 [SIDP-265] - Distinguish requested AuthMethod and default AuthMethod
73 [SIDP-266] - General errors triggers error-404.jsp instead of error.jsp
74 [SIDP-271] - AuthenticationEngine doesn't correctly handle passive return from login servlet
75 [SIDP-276] - Example RDB Connector, quote principal
76 [SIDP-277] - Incorrect null check for request context in UsernamePasswordServlet
77 [SIDP-279] - IdP should log NameID for auditing
78 [SIDP-281] - Customize login.jsp appearance based on relying party
79 [SIDP-285] - Use $IDP_SCOPE$ to populate IdP scope in conf-tmpl\attribute-resolver.xml
80 [SIDP-291] - Update libs for 2.1.3 release
81 [SIDP-292] - login.jsp: wrong using of the attribute rowspan within the tag <td>
82 [SIDP-295] - If no cookies are supported/enabled in user agent (browser), display better error message
83 [SIDP-296] - Make LoginContext / IdP Session availabe through the public API
84 [SIDP-306] - Remove ClientCertAuth rule from SAML 2 SSO SecurityPolicy in relying-party.xml
85 [SIDP-310] - Change default relying-party.xml settings for SAML 2 profiles' encryptNameIds parameter from "conditional" to "never"
86 [SIDP-315] - Credential provided by UsernamePasswordLogin handler as attribute
87 [SIDP-318] - IdP erroneously logs many normal events as errors
88 [SIDP-322] - Exception thrown when SP requests a particular authentication method that is not configured
89 [SIDP-324] - Add additional information to Status handler
90
91 Changes in Release 2.1.2
92 =============================================
93 * Significant memory optimizations
94 [SIDP-260] - NPE in login-err.jsp
95 [SIDP-262] - MIME type on metadata profile handler is incorrect
96 [SIDP-267] - check if cookies are set on error.jsp
97 [SIDP-268] - Expose Metadata on entityID URL
98
99
100 Changes in Release 2.1.1
101 =============================================
102 [SIDP-248] - Signing code in profile handlers and encoders should not just check that a signing credential is supplied, but that a signing key is available in that credential.
103 [SIDP-249] - PreviousSession INFO message printed as ERROR message
104 [SIDP-250] - AuthenticationEngine::returnToAuthenticationEngine() static method called before servlet init() when clustered.
105 [SIDP-251[ - NPE when SAML1 Attribute Query Handler hit with GET request
106 [SIDP-252] - IdPSessionFilter throws ArrayIndexOutOfBoundsException on validation of unexpected cookie
107 [SIDP-257] - Previous session is used if the user has an existing session but the SP requests an authentication method that is not currently active.
108 [SIDP-259] - Installer does not remove old library versions from IDP_HOME/lib
109
110 Changes in Release 2.1.0
111 =============================================
112 [SIDP-20] - Cannot deploy on Windows. Spring and DOS device names?
113 [SIDP-164] - Option to make session cookie secure
114 [SIDP-165] - Support for SessionNotOnOrAfter
115 [SIDP-167] - Missing tags and incomplete login.jsp
116 [SIDP-170] - Attribute Filter refresh won't work with "resource:FileBackedHttpResource"
117 [SIDP-171] - Cannot deploy to directories in spaces in the names
118 [SIDP-172] - AACLI.BAT should check whether IDP_HOME is defined before testing whether it exists
119 [SIDP-175] - Security role name missing in web.xml
120 [SIDP-176] - useKeyTab should be set to true
121 [SIDP-181] - Released Attributes not logged when using SAML2
122 [SIDP-183] - make IdP session available to logging system
123 [SIDP-185] - NullPointerException after AttributeQuery when Security Rule fails
124 [SIDP-189] - NPE in AbstractSAML2ProfileHandler
125 [SIDP-194] - Installer can remember the wrong thing
126 [SIDP-196] - IdP continues to use old principal name after forced reauthentication
127 [SIDP-197] - Misleading error message for ValidationInfo element in relying-party.xml
128 [SIDP-199] - loss of login context when deploying the IdP to tomcat's ROOT context
129 [SIDP-201] - IdP sends SAML 1 authentication responses without audience conditions
130 [SIDP-202] - Saml2LoginContext unable to deserialize serialized AuthnRequest
131 [SIDP-203] - Insufficient information logged to track down errant users
132 [SIDP-206] - SessionManagerEntry's back reference to the SessionManager object interferes with clustering
133 [SIDP-209] - Enforce SAML 2 metadata SPSSODescriptor/@AuthnRequestsSigned
134 [SIDP-212] - Wrong confirmation method used with SAML 1.x artifact profile
135 [SIDP-214] - Installer needs to put (at least) bcprov onto the calsspath before it runs ant
136 [SIDP-215] - SHIB-JCE.jar missing from 2.1.0 kit
137 [SIDP-216] - Second of two signed sources of metadata fail after cache expiration
138 [SIDP-222] - Template engine used by LDAP and database connectors throw an NPE on startup
139 [SIDP-224] - Add version information in library JAR manifest and provide command line tool to view it
140 [SIDP-225] - Credential theft vulnerability in login.jsp
141 [SIDP-226] - Cross site scripting vulnerability
142 [SIDP-227] - Default relying-party.xml has SAML2-specific security policy rules included in SAML 1 security policies
143 [SIDP-228] - Improve error reporting in SAML 2 profile handlers when no encryption key is resolveable for the peer entity ID
144 [SIDP-229] - IdP Metadata changes to KeyDescriptor not fully flushed from IdP cache
145 [SIDP-230] - sanity check provided credentials
146 [SIDP-233] - Typo on operation name - public void setAuthenticationDurection(long duration)
147 [SIDP-237] - Re-run of install.sh does not create war again
148 [SIDP-242] - Cleanup StorageService entry classes