| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:shibidp:upgrade [2022/04/07 09:57] – Entfernen der Instruktionen für 3er-IdPs Silke Meyer | de:shibidp:upgrade [2023/06/12 08:26] – [Umstellung auf die Nutzung der Attribute Registry (optional)] Silke Meyer |
|---|
| ====== Upgrade auf Shibboleth IdP 4.x ====== | ====== Upgrades von Shibboleth IdP 4.x ====== |
| |
| <callout color="#ff9900" title="Empfehlung: Neuinstallation der Version 4.1.x"> | <callout color="#ff9900" title="Empfehlung: Neuinstallation der Version 4.1.x"> |
| |
| |
| | ===== Ihre Anpassungen und IdP-Upgrades ===== |
| Was geschieht mit den Änderungen am eigenen IdP? | Dateien in folgenden Ordnern werden bei Upgrades nicht überschrieben: ''./conf'', ''./views'', ''./messages'' und ''./edit-webapp''. Hier sollten Sie also Ihre Konfigurationen, Views oder Templates untergebracht haben. |
| * Dateien im Ordner ''idp.home/system'' werden (schon immer) bei Upgrades überschrieben. Dies war nie der Ort für eigene Anpassungen - sollten Sie doch Anpassungen vorgenommen haben, übertragen Sie sie bitte an die entsprechenden Stellen in den anderen Ordnern. | |
| * Dateien in folgenden Ordnern werden bei Upgrades nicht überschrieben: ''./conf'', ''./views'', ''./messages'' und ''./edit-webapp''. Hier sollten Sie also Ihre Konfigurationen, Views oder Templates untergebracht haben. | |
| |
| ===== Mitpflegen der Konfiguration im IdP 4.x ===== | ===== Mitpflegen der Konfiguration im IdP 4.x ===== |
| |
| ==== Auslagern von Secrets (optional) ==== | ==== Auslagern von Secrets (empfohlen) ==== |
| |
| In einer Neuinstallation von Shibboleth IdP 4.x werden IdP-interne Secrets in der separaten Datei ''secrets.properties'' gespeichert. Informationen wie LDAP-Bind- oder Datenbank-Credentials sind durch die Zugangsbeschränkungen dieser neuen Datei besser geschützt. Wir empfehlen, das auch bei aktualisierten IdPs nachzuziehen und die entsprechenden Informationen aus ''idp.properties'', ''ldap.properties'' oder ''global.xml'' auszulagern. | In einer Neuinstallation von Shibboleth IdP 4.x werden IdP-interne Secrets in der separaten Datei ''secrets.properties'' gespeichert. Informationen wie LDAP-Bind- oder Datenbank-Credentials sind durch die Zugangsbeschränkungen dieser neuen Datei besser geschützt. Wir empfehlen, das auch bei aktualisierten IdPs nachzuziehen und die entsprechenden Informationen aus ''idp.properties'', ''ldap.properties'' oder ''global.xml'' auszulagern. |
| Ein von 3.4.x aktualisierter Shibboleth-IdP verhält sich in Bezug auf den gewählten Verschlüsselungsalgorithmus so wie vor dem Upgrade. Der Algorithmus, der bisher zum Einsatz kam, gilt jedoch nicht mehr als sicher. Bitte schauen Sie sich die unter [[de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus]] gezeigten Möglichkeiten an. Wir zeigen dort einen empfohlenen Weg mit dem neueren Algorithmus AES-GCM und Ausnahmen für SPs, die den Algorithmus noch nicht kennen. | Ein von 3.4.x aktualisierter Shibboleth-IdP verhält sich in Bezug auf den gewählten Verschlüsselungsalgorithmus so wie vor dem Upgrade. Der Algorithmus, der bisher zum Einsatz kam, gilt jedoch nicht mehr als sicher. Bitte schauen Sie sich die unter [[de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus]] gezeigten Möglichkeiten an. Wir zeigen dort einen empfohlenen Weg mit dem neueren Algorithmus AES-GCM und Ausnahmen für SPs, die den Algorithmus noch nicht kennen. |
| |
| ==== Umstellung auf die Nutzung der Attribute Registry (optional) ==== | ==== Umstellung auf die Nutzung der Attribute Registry (empfohlen) ==== |
| |
| Ab der Version 4.x kommt der IdP mit der neu eingeführten [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1272054306/AttributeRegistryConfiguration|Attribute Registry]]. Sie können Ihre Datei ''conf/attribute-resolver.xml'' deutlich vereinfachen, wenn Sie auf die Registry umstellen. Außerdem bietet der IdP dann die Möglichkeit, Attribute direkt zu nutzen (zu "exportieren"), die in Ihrem IdM dieselbe ID haben wir in der Attribute Registry. Dadurch können Sie eventuell etliche Attributdefinitionen komplett loswerden. Die Schritte: | Ab der Version 4.x kommt der IdP mit der neu eingeführten [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1272054306/AttributeRegistryConfiguration|Attribute Registry]]. Sie können Ihre Datei ''conf/attribute-resolver.xml'' deutlich vereinfachen, wenn Sie auf die Registry umstellen. Außerdem bietet der IdP dann die Möglichkeit, Attribute direkt zu nutzen (zu "exportieren"), die in Ihrem IdM dieselbe ID haben wir in der Attribute Registry. Dadurch können Sie eventuell etliche Attributdefinitionen komplett loswerden. Die Schritte: |
| * Alle im Resolver definierten Attribute, die nach außen übermittelt werden sollen (die also nicht nur eine Dependency für eine andere Attributdefinition sind), müssen in der Attribute Registry (unterhalb von ''conf/attributes'' existieren. In der Registry müssen die jeweiligen Transcoding-Regeln und Kurzbeschreibungen stehen. Ist dies der Fall, können Sie die betreffenden Zeilen aus dem Resolver entfernen. | * Alle im Resolver definierten Attribute, die nach außen übermittelt werden sollen (die also nicht nur eine Dependency für eine andere Attributdefinition sind), müssen in der Attribute Registry (unterhalb von ''conf/attributes'' existieren. In der Registry müssen die jeweiligen Transcoding-Regeln und Kurzbeschreibungen stehen. Ist dies der Fall, können Sie die Transcoding-Regeln und Kurzbeschreibungen aus dem Resolver entfernen ([[de:shibidp:config-attributes-aaiplus|Beispiele]]). |
| * Wenn Sie beim DataConnector "exportAttributes" nutzen, müssen Sie sicherstellen, dass bei allen Attributdefinitionen, die von diesen "exportierten" Attributen abhängen, jetzt InputDataConnector statt InputAttributDefinition stehen muss. | * Wenn Sie beim DataConnector "exportAttributes" nutzen, müssen Sie sicherstellen, dass bei allen Attributdefinitionen, die von diesen "exportierten" Attributen abhängen, jetzt InputDataConnector statt InputAttributDefinition stehen muss. |
| * Aktivieren Sie die Registry verwenden soll, indem Sie ''conf/services.xml'' editieren und folgenden Abschnitt shibboleth.AttributeRegistryResources einkommentieren:<file xml /opt/shibboleth-idp/conf/services.xml> <util:list id ="shibboleth.AttributeRegistryResources"> | * Aktivieren Sie die Registry verwenden soll, indem Sie ''conf/services.xml'' editieren und folgenden Abschnitt shibboleth.AttributeRegistryResources einkommentieren:<file xml /opt/shibboleth-idp/conf/services.xml> <util:list id ="shibboleth.AttributeRegistryResources"> |