Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3upgrade [2019/04/02 10:01] – [Überblick über die Konfigurationsänderungen ab IdP v3.4.0 - Vorbereitung auf IdP v4.x] Silke Meyer
+++ de:shibidp3upgrade [2019/05/22 13:06] – [Überblick über die Konfigurationsänderungen ab IdP v3.4.0 - Vorbereitung auf IdP v4.x] Silke Meyer
@@ Zeile 32: / Zeile 32: @@
 ==== Überblick über die Konfigurationsänderungen ab IdP v3.4.0 - Vorbereitung auf IdP v4.x ====
-Englischsprachige Quelle im offiziellen Shibboleth-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/DeprecatedIdPV4
-Ab IdP v3.4.0 werden Konfigurationsparameter als veraltet geloggt, die in Version 4.x nicht mehr vorkommen werden. An dieser Stelle sammeln wir fortlaufend die Änderungen. Für die vollständigen [[https://wiki.shibboleth.net/confluence/display/IDP30/ReleaseNotes#ReleaseNotes-3.4.0(October10,2018) | Release Notes]] sei auf das Shibboleth-Wiki verwiesen.
+Ab IdP v3.4.0 werden Konfigurationsparameter als veraltet geloggt, die in Version 4.x nicht mehr vorkommen werden. An dieser Stelle sammeln wir fortlaufend die wichtigsten Änderungen. Das erklärte Ziel der Shibboleth-Entwickler*innen ist es, dass eine mitgepflegte Konfiguration nach einem Upgrade auf IdP v4.x fehlerfrei startet. Die jeweiligen vollständigen [[https://wiki.shibboleth.net/confluence/display/IDP30/ReleaseNotes#ReleaseNotes-3.4.0(October10,2018) | Release Notes]] sind wie immer im Shibboleth-Wiki. Dort finden Sie ebenfalls eine vollständige [[https://wiki.shibboleth.net/confluence/display/IDP30/DeprecatedIdPV4|Übersicht über abgekündigte Konfigurationsdirektiven (DeprecatedIdPV4)]].
 === conf/idp.properties ===
@@ Zeile 43: / Zeile 42: @@
   - Änderung der folgenden zwei Direktiven:
     * ''idp.consent.userStorageKey'' ersetzen durch ''idp.consent.attribute-release.userStorageKey''
-    * ''idp.consent.userStorageKeyAttribute'' ersetzen durch ''idp.consent.attribute-release.userStorageKeyAttribute''<code>
+    * ''idp.consent.userStorageKeyAttribute'' ersetzen durch ''idp.consent.attribute-release.userStorageKeyAttribute''<file xml conf/idp.properties>
-    * # Beispiel:
+# Beispiel:
+[...]
 idp.consent.attribute-release.userStorageKey = shibboleth.consent.PrincipalConsentStorageKey
 idp.consent.attribute-release.userStorageKeyAttribute = %{idp.persistentId.sourceAttribute}
 idp.consent.terms-of-use.userStorageKey = shibboleth.consent.PrincipalConsentStorageKey
 idp.consent.terms-of-use.userStorageKeyAttribute = %{idp.persistentId.sourceAttribute}
-</code>
+[...]
+</file>
 === conf/c14n/subject-c14n.xml ===
 Der LegacyPrincipalConnector wird entfernt (oder zumindest auskommentiert):
 <file xml conf/c14n/subject-c14n.xml>
+[...]
         <!--
         This is installed to support the old mechanism of using PrincipalConnectors in the attribute resolver
@@ Zeile 60: / Zeile 62: @@
         -->
         <!-- <ref bean="c14n/LegacyPrincipalConnector" /> -->
+[...]
 </file>
-=== conf/attribute-resolver.xml (ab 3.4.2) ===
+=== conf/attribute-resolver.xml ===
   - Im Attribute Resolver wird die ''Dependency''-Direktive ersetzt.
     * Wenn die Dependency sich auf einen Data Connector bezieht, wird ab IdP v3.4.2 stattdessen ''InputDataConnector'' verwendet. Bei jedem InputDataConnector muss das zu holende Attribut mit ''attributeNames'' mit angegeben werden. Damit wird die ''sourceAttributeID'' ersetzt.<file xml conf/attribute-resolver.xml>
-# bis IdP v3.4.1:
+# bis IdP v3.3.x:
+    [...]
     <AttributeDefinition id="mail" xsi:type="Simple" sourceAttributeID="mail">
         <Dependency ref="myLDAP" />
@@ Zeile 74: / Zeile 78: @@
         <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
     </AttributeDefinition>
+    [...]
-# ab IdP v3.4.2:
+# ab IdP v3.4.x:
+    [...]
     <AttributeDefinition id="mail" xsi:type="Simple">
         <InputDataConnector ref="myLDAP" attributeNames="mail"/>
@@ Zeile 84: / Zeile 90: @@
         <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false"/>
     </AttributeDefinition>
+    [...]
 </file>
     * Wenn die Dependency sich auf ein anderes Attribut bezieht, das in conf/attribute-resolver.xml definiert wird, wird stattdessen ''InputAttributeDefinition'' verwendet.<file xml conf/attribute-resolver.xml>
+    [...]
     <AttributeDefinition id="uid" xsi:type="PrincipalName">
         <DisplayName xml:lang="en">User Name</DisplayName>
@@ Zeile 102: / Zeile 110: @@
         <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" />
     </AttributeDefinition>
+    [...]
 </file>
+=== metadata/idp-metadata.xml mit Ablaufdatum ===
+Ab Shib IdP v3.4.x steht nach einer Neuinstallation ein Ablaufdatum in den IdP-Metadaten (metadata/idp-metadata.xml), das entfernt werden muss. Im folgenden Beispiel muss ''validUntil="2019-05-22T11:01:10.621Z"'' gelöscht werden.<file xml metadata/idp-metadata.xml>
+<?xml version="1.0" encoding="UTF-8"?>
+<!--
+     This is example metadata only. Do *NOT* supply it as is without review,
+     and do *NOT* provide it in real time to your partners.
+     This metadata is not dynamic - it will not change as your configuration changes.
+-->
+<EntityDescriptor  xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xml="http://www.w3.org/XML/1998/namespace" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:req-attr="urn:oasis:names:tc:SAML:protocol:ext:req-attr" validUntil="2019-05-22T11:01:10.621Z" entityID="https://localhost.localdomain/idp/shibboleth">
+[...]
+</file>

archiv