...
※ 例えば、2.6.1から3.0.1へのアップデートは自動的に再起動する模様。3.0.1にアップデート後、libxmltooling8のみをアップデートした場合は自動再起動されない模様。
注意点
RPMパッケージのミラーリングがおかしい場合はこちらをご参照ください。
2016-11-30 [upki-fed:01103] 【続報】Shibboleth SPパッケージ配布リポジトリの不具合について
RPMパッケージのミラーリングがおかしい場合は、本ページ末尾の説明を参照して冗長化されたリポジトリへ設定ファイルを更新してください。
デフォルトでは有効になっていない、オープンリダイレクタとならないための設定があります。特に事情がなければ以下の指示に従って設定を有効にしてください。
⇒オープンリダイレクタとなりうる問題の対処
...
3.0.0には起動に失敗するものを含むバグが存在します。3.0.1以降にアップデートしてください。アップデート後、shibboleth2.xml
に veryifyBackup=
という文字列が含まれる場合は誤字ですので verifyBackup=
に修正してください。
3.0.1/3.0.1およびそれ以前にはWindows版v3の新機能である0にはWindows版v3の新機能である.NETハンドラがうまく動かない問題と、<SSO>
要素のsigning
指定が反映されないという問題があります。3.0.2以降に更新してください。
...
展開 | |||||
---|---|---|---|---|---|
|
3. SP 3.0からの新機能
...
- Stateless Clustering
ReleaseNotesより:A form of session recovery across clustered SP nodes using encrypted cookies is available. While making clustering much simpler, it does affect the behavior of logout in some cases, but it offers more flexibility for deployers willing to make trade-offs.
- /Shibboleth.sso/Logout/Admin
ReleaseNotesより:An endpoint is available to programmatically remove sessions based on the SP-assigned session ID, with associated communication to an IdP via SOAP where possible (though this is rarely possible). While complex, it is possible to create a more limited shared store of revoked sessions that prevents the stateless session recovery feature from re-creating the session in some cases, without requiring a fully-shared session store.
- entityIDSelf / APPLICATIONID-override.xml
ReleaseNotesより:A set of virtual hosts can be auto-assigned a distinct entityID without the creation of
<ApplicationOverride>
elements to do so, using the newentityIDSelf
content setting. While this does not eliminate the overhead of managing metadata for each host, it does eliminate most actual configuration overhead within the SP itself.In addition, when overrides are still required for other purposes, it is now possible to load XML fragment files containing just the override configurations from a directory at runtime, including adding additional overrides on the fly without configuration reload.
なお、CentOS 7ではXerces Cライブラリを独自提供することによりDTDを無効化するという機能強化が行われております。攻撃耐性強化のために、是非移行をご検討ください。なお、CentOS 7ではXerces Cライブラリを独自提供することによりDTDを無効化するという機能強化が行われております。攻撃耐性強化のために、是非移行をご検討ください。
4. SP 3.0からの注意事項
上記「1. 事前準備」にも書きましたが、設定ファイルのデフォルト値の変更に影響を受ける場合があります。具体的にはバージョン毎に以下の属性設定が有効化されており、v2でこの範囲内の属性しか利用していない場合(設定ファイルがデフォルトのままの場合)設定ファイルが上書きされv3のデフォルトが適用されますので
unscoped-affiliation
が利用できなくなります。問題が発生した場合、attribute-map.xmlの該当箇所がコメントアウトされていますのでその部分だけ解除してください。
2.6.1:eppn, affiliation, unscoped-affiliation, entitlement, targeted-id, persistent-id
3.0.3:subject-id, pairwise-id, eppn, affiliation, entitlement, persistent-id
※ targeted-idはSAML1用であり以前から利用は推奨されていません
※ subject-idおよびpairwise-idは2019年3月現在学認では規定されていませんパネル ...
-->
...
...
- レアケースですがSPが直接外部サーバへHTTPS接続する場合(例えばメタデータのダウンロード)、同梱の設定ファイルでは(つまりv3で新規に構築すると)TLS レアケースですがSPが直接外部サーバへHTTPS接続する場合、同梱の設定ファイルでは(つまりv3で新規に構築すると)TLS 1.2以上を使うように強制されます。問題がある場合はshibboleth2.xmlのcipherSuitesの項を修正してください。xmlのcipherSuitesの項を修正してください。(少なくとも学認メタデータのダウンロードで問題になることはありません)
- ハッシュアルゴリズムとしてSHA-1ではなくSHA-256を使うようになっています。これが問題になることはないと思いますが、古いIdPと連携する場合はご注意ください。
- 同梱の設定ファイルからSAML 1.xサポートが削除されております。つまりSPを新規に構築した場合SAML 2.0をサポートしていないIdPと連携できません。必要があればSAML1を有効化してください。
- 同様に、SPv3同梱の設定ファイルでは、属性の取得に失敗した場合Attribute Queryリクエストを試みる機能がデフォルトでは機能しないようになっています。必要な場合はQuery AttributeResolverを有効化してください。
- Solarisがサポート外となりました。
...