...
- 3.3.xに限りませんが、Java 7からJava 8へ移行する場合は以下の情報を参照してください。
⇒貴学にてIdPv3をインストールする場合の構築手順の動作要件の「Java 7 or 8」の項 - 3.3.xに限りませんが、Tomcatの起動に10分前後時間がかかり、それが問題になるような場合は以下の情報を参照してください。
⇒貴学にてIdPv3をインストールする場合の構築手順の動作要件の「Java 7 or 8」の項 - 2.xからのアップグレードの項に追記した通りスクリプトやQueryTemplateでの
$requestContext
の使用が制限されておりますが、V4では$requestContext
自体がなくなる見込みです。代替手段をご検討ください。
⇒ScriptedAttributeDefinitionの"V2 Compatibility"の項, QueryTemplate - 2.xからのアップグレードの項に追記した通り、NameIDの送出方法が大幅に変更されており、Transient ID送出に関する従来の記述は不要になっております。当該記述は削除することをお勧めします。
IdP 3.2.x から IdP 3.3.x へアップデートする場合の注意点
...
- シボレス実習活用編旧メニュー
- NIIオープンフォーラム2016の「IdP ver.3に向けたNIIの取り組み」および「Shibboleth IdP ver.3との戦い」
- GakuNinShare:Shibboleth IdP 3
- 貴学にてIdPv3をインストールする場合の構築手順
- 上記資料で網羅されておりませんが、スクリプトやQueryTemplateで
$requestContext
を使っている場合、メソッド等が存在しない場合があるという情報があります。以下を参考に修正してください。
⇒ScriptedAttributeDefinitionの"V2 Compatibility"の項, QueryTemplate NameIDにTransient IDを入れて送る方法、および他のIDを入れて送る方法が大幅に変更になっており、従来の方法は使えません。紛らわしさをなくすため、attribute-resolver.xmlおよびattribute-filter.xmlにおける従来の設定(IdPv3では意味を持ちません)を削除しておくことをお勧めします。
展開 title 無効なTransient ID送出設定の例 以下の記述があれば、丸ごと削除可能です。ただし少しでも変更があれば意図しない挙動の変化を生じる可能性がありますので、一字一句差異がないことを確認してください。
attribute-resolver.xml:
コード ブロック language xml <!-- Name Identifier related attributes --> <resolver:AttributeDefinition id="transientId" xsi:type="TransientId" xmlns="urn:mace:shibboleth:2.0:resolver:ad"> <resolver:AttributeEncoder xsi:type="SAML1StringNameIdentifier" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:mace:shibboleth:1.0:nameIdentifier" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> </resolver:AttributeDefinition>
attribute-filter.xml:
コード ブロック language xml <!-- Release the transient ID to anyone --> <AttributeFilterPolicy id="PolicyforAnyone"> <PolicyRequirementRule xsi:type="basic:ANY" /> <AttributeRule attributeID="transientId"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy>