meatwiki メンテナンスのお知らせ

システムメンテナンスのため、7/20(土) 09:00-17:00 は、本Wikiをご利用いただけません。ご不便をおかけいたしますが、ご理解の程、よろしくお願いいたします。

Shibboleth SPのアップデートに関してはこちらをご覧ください。⇒SPv3アップデートに関する情報

V4内のアップデートに関してはこちらをご覧ください。⇒IdPv4アップデートに関する情報

※ 5.0.xから5.2.xにアップデートするような場合、途中のバージョンの注意点にも有効なものがありますので確認するようにしてください

バージョン共通の注意点

IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)

IdPのバージョンアップ後、IdPでログイン済みなのにSSOせず idp-process.log に「Exception unwrapping data: Tag mismatch!」のエラーが記録される場合は、下記ページを参照してください。

IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)

IdP 4.x.x から IdP 5.0.x へアップグレードする場合の注意点

下記ページの通りバージョン 5.0.0が 2023-09-14 にリリースされました。下記の注意事項および手順をご確認の上、バージョンアップを行ってください。
Shibboleth Identity Provider V5.0.0 (and plugins) now available
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseNotes

なお、バージョン 4のEoLは 2024-09-01 です。バージョン 4を運用している機関におかれましてはバージョン 5へのバージョンアップのスケジューリングをお願いします。
EOL for Shibboleth Identity Provider V4 is Sep 1, 2024

学認が提供している技術ガイドも順次更新していきます。

また、アップデート時のノウハウなど情報をお持ちの方がいらっしゃいましたら、情報交換ML等で共有いただけましたら幸いです。

Shibboleth開発元からのアップグレードに関する情報は以下にまとめられています。
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500925/Upgrading

Javaのバージョン

  • Java 17が必須です。

Javaサーブレットコンテナ

  • Jetty 11以上、もしくはTomcat 10.1以上が必須です。
  • Shibboleth IdP V4で利用されていたJetty 9.4, Jetty 10はサポート対象外となりました。
  • Shibboleth開発元は、2023-09-13時点でJetty 11の利用を推奨しています。

JavaScriptプラグイン

Java 15から、JavaScriptエンジン「Nashorn」が削除されました (JEP 372: Remove the Nashorn JavaScript Engine)。

attribute-resolver.xmlのScriptedAttributeをはじめとしてShibboleth IdPの設定でJavaScriptを利用されている場合は、Nashornプラグイン(もしくは、Rhinoプラグイン)をインストールしてください。

JDBCStorageServiceプラグイン

Shibboleth IdP V5から、JPAStorageServiceが削除されました。

StoredId DataConnectorRelationalDatabase DataConnectorなどでデータベースを利用されている場合は、JDBCStorageServiceプラグインをインストールしてJDBCStorageServiceに移行してください。

移行については、下記Shibboleth IdP V4での移行手順を参考に、まずV4にてプラグインへの移行を行い動作確認後、V5へアップグレードすることを推奨します。

eduPersonTargetedID属性

Shibboleth IdP V5.0.0では、attribute-resolver.xmlにてeduPersonTargetedID属性を生成するSAML2NameIDの削除は見送られたため、Shibboleth IdP V4と同様にeduPersonTargetedID属性を生成して送信することが可能です。

ログについて若干誤解を招く表現があるようです。V4にて上記SAML2NameIDの使用がある場合は

DEPRECATED xsi:type 'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]): This will be removed in the next major version of this software; replacement is (none)

のようにログに出力されますが実際には削除されておらず、V5でも従来通り動作します。なお現在でも削除対象ではありますが、V5では以下のように若干表現が緩められたログが出力されます。

DEPRECATED xsi:type 'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]): This feature is at-risk for removal in a future version

install.shのコマンドラインオプション

install.shのコマンドラインオプションとして -D... の指定ができなくなりましたので、V5では以下の手順で実行してください。

# vi ../install.properties
---
idp.conf.credentials.filemode=640
idp.conf.credentials.group=jetty
---
↑上記2行を記載したファイルを作成してください
# bin/install.sh --propertyFile ../install.properties

  • No labels