Service Providers must update the SURFconext SAML metadata before December the 13th, 2023. Failing to do so will break the SAML login. If you only have OpenID Connect RP's in use, this does not apply to you.

SURFconext is transitioning to a new SAML signing key. All service providers must update their configuration and use the new key by December the 13th, 2023. The five-year-old key will then be removed. Until that time, the old key can be used.

The new SAML signing key is published along with a corresponding SingleSignOn-location - you need to update both at the same time. They can be found in the SURFconext SAML metadata. The new metadata will be available from the 12th of June 2023 onward. This change can be implemented with ease and without significant downtime in most SP software.

The SURFconext SAML metadata also has a signed version. The key used for signing is replaced as well as the URL of the signed metadata. SP's that use the SURFconext metadata to periodically and automatically update their configuration and verify this signature must also replace the certificate used to validate the metadata must use the new URL's. The metadata signing certificate and the CA certificate, or metadata Certificate Authority certificate, you can use to validate our signature can be found on

Identity providers don't have to do anything.


Alle Service Providers moeten de  SURFconext SAML metadata updaten  voor 13 december 2023. Als u alleen OpenID Connect RP's in gebruik hebt, hoeft u niets te doen.

SURFconext stapt over op een nieuwe SAML signing key. Alle serviceproviders moeten hun configuratie aanpassen en de nieuwe sleutel gebruiken vóór 13 december 2023. De vijf jaar oude sleutel wordt daarna verwijderd. Tot die tijd kan de oude sleutel gebruikt worden.

De nieuwe SAML signing key wordt gepubliceerd samen met een nieuwe single-sign-on URL, deze zijn onlosmakelijk verbonden en dienen tegelijk bijgewerkt te worden. Ze zijn beide te vinden in de SURFconext SAML-metadata. De nieuwe metadata is beschikbaar vanaf 12 juni 2023. Deze wijziging kan eenvoudig en zonder significante downtime worden doorgevoerd in de meeste SP-software.

De SURFconext SAML-metadata heeft ook een ondertekende versie. De sleutel die wordt gebruikt voor de ondertekening wordt vervangen, evenals de URL van de ondertekende metadata. SP's die de SURFconext-metadata gebruiken om hun configuratie periodiek en automatisch bij te werken en deze handtekening te verifiëren, moeten ook het certificaat vervangen dat wordt gebruikt om de metadata te valideren, en ze moeten de nieuwe URL's gebruiken. Het metadata-ondertekeningscertificaat en het CA-certificaat (Certificaatautoriteit voor metadata) dat je kunt gebruiken om onze handtekening te valideren, zijn te vinden op

Identity providers hoeven niets te doen.

  • No labels