2020年3月11日にリリースされたShibboleth IdP V4に関する情報です。
https://wiki.shibboleth.net/confluence/display/NEWS/2020/03/11/Shibboleth+Identity+Provider+V4.0.0+Released
上記の通りバージョン4.0.0が3/11にリリースされました。下記の注意事項および手順をご確認の上、バージョンアップを行ってください。
なお、バージョン3のEoLは2020年末と公表されました。バージョン3を運用している機関様におかれましてはV4へのバージョンアップのスケジューリングをお願いします。
http://shibboleth.net/pipermail/announce/2020-March/000213.html
学認が提供している技術ガイドも順次更新していきます。uApproveJPやTiqrShib等のNIIが提供しているIdPプラグインは現在バージョン4対応の改修中です。4月に入ってからの公開を予定しております。
また、アップデート時のノウハウなど情報をお持ちの方がいらっしゃいましたら、情報交換ML等で共有いただけましたら幸いです。
名前空間のフラット化が強制され、プレフィックスありの(v2由来の名前空間を使用した)設定ファイルが使用できなくなります
IdP v3.4ではフラット化していない場合、DEPRECATEDのwarningとしてログに出力されます
静的に解析しているものと動的に解析しているものがあり、3.4系の最新版でしばらく動かしてみることが必要です
idp.authn.LDAP.ldapURL
)がスラッシュ(/)で終わる場合はうまく動作しませんのでスラッシュを除去してください。idp.attribute.resolver.LDAP.searchFilter
)に空白が含まれるとActive Directory等との連携に問題が発生する場合がございますので、空白を除去してください。<BinaryAttributes>
要素がサポートされておりますのでこれで代替してください。JNDI特有のプロパティとは、例えば、attribute-resolver.xmlの<DataConnector>に以下のような指定がある場合該当します。
<LDAPProperty name="com.sun.jndi.ldap.connect.timeout" value="500"/> |
その他、IdPのディレクトリの中やJavaのディレクトリの中に jndi.properties
というファイルが存在しその中で指定しているという場合があるようですのでご注意ください。
v3.4.4以降で以下の行をldap.propertiesに追加すればJNDIでなくUnboundIDを使うようになります。
idp.ldaptive.provider=org.ldaptive.provider.unboundid.UnboundIDProvider |
shibboleth-identity-provider-4.x.x.tar.gz
パッケージを展開したディレクトリで、以下のコマンドで設定ファイルの変更点を確認し、適宜反映した上で、アップデートを実行します。
※手順はTomcatを適用したShibboleth IdPv3.xからのアップデートを想定しています。
反映しない場合、旧来の機能は変わらず動作することが保証されますが、新バージョン以降の新機能が(デフォルトで有効な場合と有効化した場合いずれも)正しく動作することが保証されません。このため、将来的な新機能利用も見据えて、アップデート後でもかまいませんのでなるべく早く反映するようにしてください。 |
uApproveJPをインストールしている場合は
|
|
|
アップデート後、以下のコマンドでバージョンが更新されていることを確認してください。
|
アップデート直後は古いバージョンを示すことがあるので、その場合はしばらくしてから再度確認してください。 |