Migration Shibboleth SP2 vers Shibboleth SP3


Documentation de référence : https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2

Bien que les étapes de migration soient relativement claires, il est indispensable d'effectuer d'abord toutes les opérations et les tests associés soient effectués sur un environnement différent de la production.

La migration de Shibboleth SP2 vers SP3 est prévue pour être la plus facile possible.


Il y a cependant un certains nombre de points sur lesquels il faut faire attention :

  • Fichier attribute-map.xml : Si ce fichier n'a jamais été modifié sur votre installation, la mise à jour par RPM va installer une nouvelle version. Cependant la version SP2 de Shibboleth contenait une erreur sur l'attribut eduPersonTargetedID. Dans ce cas, l'utilisation du nouveau fichier attribute-map.xml peut rendre inopérant un SP qui utiliserait cet ancien format erroné. Afin d'éviter ce désagrément, il suffit d'éditer le fichier attribute-map.xml existant et d'y ajouter un commentaire (cela empêchera la mise à jour du fichier via RPM)
  • Lors d'un premier démarrage, vérifiez bien les warnings présents dans les logs au sujet des fonctionnalités obsolètes et corrigez-les. Une chose importante à faire est de changer l'espace de nom XML (~la syntaxe) du fichier shibboleth2.xml :
    • Remplacez :
  <SPConfig xmlns="**urn:mace:shibboleth:2.0:native:sp:config**"
      xmlns:conf="**urn:mace:shibboleth:2.0:native:sp:config**"
      clockSkew="180">
  • Par :
  <SPConfig xmlns="**urn:mace:shibboleth:3.0:native:sp:config**"
      xmlns:conf="**urn:mace:shibboleth:3.0:native:sp:config**"
      clockSkew="180">
  • Le changement de syntaxe impacte uniquement le paramétrage des fournisseurs de données :
    • Les attributs uri et file sont respectivement remplacés par url et path :
SP2
  <MetadataProvider type="XML" **uri**="http://federation.org/federation-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
      <MetadataFilter type="Signature" certificate="fedsigner.pem"/>
  </MetadataProvider>
 
  <MetadataProvider type="XML" **file**="idp-metadata.xml"/>


SP3
  <MetadataProvider type="XML" **url**="http://federation.org/federation-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
      <MetadataFilter type="Signature" certificate="fedsigner.pem"/>
  </MetadataProvider>
 
 
  <MetadataProvider type="XML" **path**="idp-metadata.xml"/>
  • Dernière modification : 2019/07/08 10:35