| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:shibidp:upgrade [2021/09/08 09:02] – [Upgrades innerhalb der Produktlinie IdP 4.x] Versionsnummern aktualisiert für 4.1.x Silke Meyer | de:shibidp:upgrade [2021/09/14 16:41] – neuer Abschnitt Umstellung auf Registry Silke Meyer |
|---|
| Laut der [[https://wiki.shibboleth.net/confluence/display/IDP4/Upgrading|Shibboleth-Dokumentation]] soll der IdP 4.0.x direkt auf einen funktionsfähigen IdP Version 3.4.6, 3.4.7 oder 3.4.8 installiert werden! Man erhält //kein// fehlerfrei funktionierendes System, wenn man die Version 4.x separat installiert und die Konfiguration eines 3er-IdP einfach in die neue Installation hineinkopiert (z.B. doppelte Attribute). Es ist natürlich möglich, die geprüften Inhalte in eine Neuinstallation zu übertragen. | Laut der [[https://wiki.shibboleth.net/confluence/display/IDP4/Upgrading|Shibboleth-Dokumentation]] soll der IdP 4.0.x direkt auf einen funktionsfähigen IdP Version 3.4.6, 3.4.7 oder 3.4.8 installiert werden! Man erhält //kein// fehlerfrei funktionierendes System, wenn man die Version 4.x separat installiert und die Konfiguration eines 3er-IdP einfach in die neue Installation hineinkopiert (z.B. doppelte Attribute). Es ist natürlich möglich, die geprüften Inhalte in eine Neuinstallation zu übertragen. |
| |
| **Anmerkung zu 4.1.x:** Nach dem Aufbau dieser Dokumentationsseite ist die IdP-Version 4.1.x erschienen. **Es ist möglich, auf diese Version zu aktualisieren** (getestet mit einem Upgrade von 3.4.8 über 4.0.1 auf 4.1.0). Ab 4.1.x enthält der IdP jedoch einige grundsätzliche Änderungen und viele Vereinfachungen. **Das Aufräumen einer aktualisierten Installation ist sehr [[https://wiki.shibboleth.net/confluence/display/KB/Example+4.1+Upgrade|kleinteilig]]** und aufwändig. Wir empfehlen daher bei einem Upgrade auf 4.1.x einen neuen IdP aufzusetzen. Die Upgrade-Deadline am 30.06.2021 bleibt bestehen. | **Anmerkung zu 4.1.x:** Nach dem Aufbau dieser Dokumentationsseite ist die IdP-Version 4.1.x erschienen. Es ist möglich, auf gewohnte Weise auf diese Version zu aktualisieren. **Ab 4.1.x enthält der IdP jedoch einige grundsätzliche Änderungen und viele Vereinfachungen. Das Aufräumen einer aktualisierten Installation ist sehr [[https://wiki.shibboleth.net/confluence/display/KB/Example+4.1+Upgrade|kleinteilig]], fehleranfällig und aufwändig. Wir empfehlen daher bei einem Upgrade auf 4.1.x einen neuen IdP aufzusetzen.** |
| |
| ===== Vortrag ===== | ===== Vortrag ===== |
| ==== Aktualisierung des Verschlüsselungsalgorithmus ==== | ==== Aktualisierung des Verschlüsselungsalgorithmus ==== |
| Ein von 3.4.x aktualisierter Shibboleth-IdP verhält sich in Bezug auf den gewählten Verschlüsselungsalgorithmus so wie vor dem Upgrade. Der Algorithmus, der bisher zum Einsatz kam, gilt jedoch nicht mehr als sicher. Bitte schauen Sie sich die unter [[de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus]] gezeigten Möglichkeiten an. Wir zeigen dort einen empfohlenen Weg mit dem neueren Algorithmus AES-GCM und Ausnahmen für SPs, die den Algorithmus noch nicht kennen. | Ein von 3.4.x aktualisierter Shibboleth-IdP verhält sich in Bezug auf den gewählten Verschlüsselungsalgorithmus so wie vor dem Upgrade. Der Algorithmus, der bisher zum Einsatz kam, gilt jedoch nicht mehr als sicher. Bitte schauen Sie sich die unter [[de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus]] gezeigten Möglichkeiten an. Wir zeigen dort einen empfohlenen Weg mit dem neueren Algorithmus AES-GCM und Ausnahmen für SPs, die den Algorithmus noch nicht kennen. |
| | |
| | ==== Umstellung auf die Nutzung der Attribute Registry (optional) ==== |
| | |
| | Ab der Version 4.x kommt der IdP mit der neu eingeführten [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1272054306/AttributeRegistryConfiguration|Attribute Registry]]. Sie können Ihre Datei ''conf/attribute-resolver.xml'' deutlich vereinfachen, wenn Sie auf die Registry umstellen. Außerdem bietet der IdP dann die Möglichkeit, Attribute direkt zu nutzen (zu "exportieren"), die in Ihrem IdM dieselbe ID haben wir in der Attribute Registry. Dadurch können Sie eventuell etliche Attributdefinitionen komplett loswerden. Die Schritte: |
| | * Alle im Resolver definierten Attribute, die nach außen übermittelt werden sollen (die also nicht nur eine Dependency für eine andere Attributdefinition sind), müssen in der Attribute Registry (unterhalb von ''conf/attributes'' existieren. In der Registry müssen die jeweiligen Transcoding-Regeln und Kurzbeschreibungen stehen. Ist dies der Fall, können Sie die betreffenden Zeilen aus dem Resolver entfernen. |
| | * Wenn Sie beim DataConnector "exportAttributes" nutzen, müssen Sie sicherstellen, dass bei allen Attributdefinitionen, die von diesen "exportierten" Attributen abhängen, jetzt InputDataConnector statt InputAttributDefinition stehen muss. |
| | * Aktivieren Sie die Registry verwenden soll, indem Sie ''conf/services.xml'' editieren und folgenden Abschnitt shibboleth.AttributeRegistryResources einkommentieren:<file xml /opt/shibboleth-idp/conf/services.xml> <util:list id ="shibboleth.AttributeRegistryResources"> |
| | <value>%{idp.home}/conf/attribute-registry.xml</value> |
| | <value>%{idp.home}/conf/attributes/default-rules.xml</value> |
| | <value>%{idp.home}/conf/attribute-resolver.xml</value> |
| | </util:list> |
| | </file> |
| |
| ==== Deprecation Warnings ab 4.0.1 ==== | ==== Deprecation Warnings ab 4.0.1 ==== |