...
SP 3.0.x から SP 3.0.x へのアップデートに関する情報
3.0.4までの3系で、Windowsサーバ向けの古いIIS 7モジュールを使っていて、<Sessions>で handlerURL="/acs/Shibboleth.sso" のようにハンドラのパスを変更している場合うまく動かないという事例があります。3.0.5で修正予定です。また、以下の記述を加えれば回避できます。
| コード ブロック | ||
|---|---|---|
| ||
<ISAPI handlerPrefix="/acs/Shibboleth.sso" > |
詳細: https://issues.shibboleth.net/jira/browse/SSPCPP-856
3.0.0には起動に失敗するものを含むバグが存在します。3.0.1以降にアップデートしてください。アップデート後、shibboleth2.xmlに veryifyBackup= という文字列が含まれる場合は誤字ですので verifyBackup= に修正してください。
...
上記「1. 事前準備」にも書きましたが、設定ファイルのデフォルト値の変更に影響を受ける場合があります。具体的にはバージョン毎に以下の属性設定が有効化されており、v2でこの範囲内の属性しか利用していない場合(設定ファイルがデフォルトのままの場合)設定ファイルが上書きされv3のデフォルトが適用されますので
unscoped-affiliationが利用できなくなります。問題が発生した場合、attribute-map.xmlの該当箇所がコメントアウトされていますのでその部分だけ解除してください。バージョン 初期設定ファイルで利用可能な属性 2.6.1 eppn, affiliation, unscoped-affiliation, entitlement, targeted-id, persistent-id3.0.3 subject-id, pairwise-id, eppn, affiliation, entitlement, persistent-id※ targeted-idはSAML1用であり以前から利用は推奨されていません
※ subject-idおよびpairwise-idは2019年3月現在学認では規定されていませんパネル ...
-->
...
...- レアケースですがSPが直接外部サーバへHTTPS接続する場合(例えばメタデータのダウンロード)、同梱の設定ファイルでは(つまりv3で新規に構築すると)TLS 1.2以上を使うように強制されます。問題がある場合はshibboleth2.xmlのcipherSuitesの項を修正してください。(少なくとも学認メタデータのダウンロードで問題になることはありません)
- ハッシュアルゴリズムとしてSHA-1ではなくSHA-256を使うようになっています。これが問題になることはないと思いますが、古いIdPと連携する場合はご注意ください。
- 同梱の設定ファイルからSAML 1.xサポートが削除されております。つまりSPを新規に構築した場合SAML 2.0をサポートしていないIdPと連携できません。必要があればSAML1を有効化してください。
- 同様に、SPv3同梱の設定ファイルでは、属性の取得に失敗した場合Attribute Queryリクエストを試みる機能がデフォルトでは機能しないようになっています。必要な場合はQuery AttributeResolverを有効化してください。
- Solarisがサポート外となりました。
...