Migration Shibboleth SP2 vers Shibboleth SP3
Documentation de référence : https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2
Bien que les étapes de migration soient relativement claires, il est indispensable d'effectuer d'abord toutes les opérations et les tests associés soient effectués sur un environnement différent de la production.
La migration de Shibboleth SP2 vers SP3 est prévue pour être la plus facile possible.
Il y a cependant un certains nombre de points sur lesquels il faut faire attention :
- Fichier
attribute-map.xml
: Si ce fichier n'a jamais été modifié sur votre installation, la mise à jour par RPM va installer une nouvelle version. Cependant la version SP2 de Shibboleth contenait une erreur sur l'attribut eduPersonTargetedID. Dans ce cas, l'utilisation du nouveau fichierattribute-map.xml
peut rendre inopérant un SP qui utiliserait cet ancien format erroné. Afin d'éviter ce désagrément, il suffit d'éditer le fichierattribute-map.xml
existant et d'y ajouter un commentaire (cela empêchera la mise à jour du fichier via RPM) - Lors d'un premier démarrage, vérifiez bien les warnings présents dans les logs au sujet des fonctionnalités obsolètes et corrigez-les. Une chose importante à faire est de changer l'espace de nom XML (~la syntaxe) du fichier
shibboleth2.xml
:- Remplacez :
<SPConfig xmlns="**urn:mace:shibboleth:2.0:native:sp:config**" xmlns:conf="**urn:mace:shibboleth:2.0:native:sp:config**" clockSkew="180">
- Par :
<SPConfig xmlns="**urn:mace:shibboleth:3.0:native:sp:config**" xmlns:conf="**urn:mace:shibboleth:3.0:native:sp:config**" clockSkew="180">
- Le changement de syntaxe impacte uniquement le paramétrage des fournisseurs de données :
- Les attributs
uri
etfile
sont respectivement remplacés parurl
etpath
:
- SP2
<MetadataProvider type="XML" **uri**="http://federation.org/federation-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> <MetadataFilter type="Signature" certificate="fedsigner.pem"/> </MetadataProvider> <MetadataProvider type="XML" **file**="idp-metadata.xml"/>
- SP3
<MetadataProvider type="XML" **url**="http://federation.org/federation-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> <MetadataFilter type="Signature" certificate="fedsigner.pem"/> </MetadataProvider> <MetadataProvider type="XML" **path**="idp-metadata.xml"/>