...
3.4.0以降Shibboleth IdPのディレクトリ構成が
webapp/
からdist/webapp/
に変更になりました。以前のバージョンから該当するバージョンへアップデートする場合は、$CATALINA_BASE/lib/
等に当該ディレクトリへのシンボリックリンクがないか確認し、もしあれば修正しておいてください。3.4.0以降ではserver.keyのパーミッションへの特殊な扱いが不要になりました。3.3.xおよびそれ以前から3.4.xおよびそれ以降へのアップデートの場合は、以下を実行してください。
パネル # chown root:tomcat /opt/shibboleth-idp/credentials/server.key
# chmod 640 /opt/shibboleth-idp/credentials/server.key
- 3.4.0へのアップデートで、idp.sealer.storePasswordもしくはidp.sealer.keyPasswordにシングルクオートを含む場合、アップデート後の起動に失敗するという情報があります。該当する場合は3.4.0を避け3.4.1およびそれ以降にアップデートしてください。
attribute-resolver.xmlにおいて厳密な記述が不可能だった<Dependency>要素は非推奨となり、代わりに<InputAttributeDefinition>要素および<InputDataConnector>要素が導入されました。
3.4.0よりcommons-dbcp2-2.x.x.jarが同梱されるようになっています。つまりTomcatのバージョン等によらずMySQL等のデータソースの指定に以下のclassが指定できます。
コード ブロック class="org.apache.commons.dbcp2.BasicDataSource"
- 以前同梱されていたconf/mvc-beans.xmlは同梱されなくなりました。特に修正していなければ削除しても大丈夫です。
以下準備中<Dependency>
< #idp.authn.flows.initial = Password
< #idp.authn.resolveAttribute = eduPersonAssurance
../shibboleth-identity-provider-3.3.3/conf のみに存在: mvc-beans.xml
web.xml COOKIE http-only secure
idp.hsts idp.frameoptions idp.csp -> web.xml DynamicResponseHeaderFilter 2か所
テストはweb.xml更新してから SLO省かれているカスタマイズして 空にすれば出さなくできる
diff -r ../shibboleth-identity-provider-3.3.3/views/logout.vm ./views/logout.vm
"Use of secure property is strongly advised" WARNログ
AttributeQuery Consent
> <bean id="shibboleth.consent.AttributeQuery.Condition" parent="shibboleth.Conditions.FALSE" />
attended restart
impersonate
> p:checkAddressCondition="#{getObject('%{idp.session.consistentAddressCondition:null}'.trim()) ?: %{idp.session.consistentAddress:true}}" />
p:reuseCondition="false" MFA
shibboleth.ComputedIdExceptionMap
...