Shibboleth SPのアップデートに関してはこちらをご覧ください。⇒SPv3アップデートに関する情報
V4内のアップデートに関してはこちらをご覧ください。⇒IdPv4アップデートに関する情報
※ 5.0.xから5.2.xにアップデートするような場合、途中のバージョンの注意点にも有効なものがありますので確認するようにしてください
バージョン共通の注意点
IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)
IdPのバージョンアップ後、IdPでログイン済みなのにSSOせず idp-process.log に「Exception unwrapping data: Tag mismatch!」のエラーが記録される場合は、下記ページを参照してください。
IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)
Jetty 12へ移行する場合の注意点
ShibbolethプロジェクトからShibboleth IdP + Jetty 12ではバックチャネルが利用できない旨がアナウンスされています。バックチャネルをご利用の機関において、Jetty 12をご利用になる場合は、下記ドキュメントを参照の上、ご対応をお願いいたします。
学認としての対応については現在とりまとめているところであり、後日ご案内させていただければと思います。
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3516104706/Jetty12#Version-Noteshttps://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3255435265/Jetty+on+Windows+Installation#Updating-to-or-Using-Jetty-12
なお、Jetty 9.4, 10, 11は2025年1月にEOLが予定されています。詳細は下記ページをご参照ください。
Jetty 11/10/9.4を運用している機関におかれましてはJetty 12へのバージョンアップのスケジューリングをお願いします。
IdP 4.x.x から IdP 5.0.x へアップグレードする場合の注意点
下記ページの通りバージョン 5.0.0が 2023-09-14 にリリースされました。下記の注意事項および手順をご確認の上、バージョンアップを行ってください。
Shibboleth Identity Provider V5.0.0 (and plugins) now available
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseNotes
バージョン 4は2024年9月にEOLになりました。バージョン 4を運用している機関におかれましてはバージョン 5へのバージョンアップを行っていただけますようお願いします。
EOL for Shibboleth Identity Provider V4 is Sep 1, 2024
学認が提供している技術ガイドも順次更新していきます。
また、アップデート時のノウハウなど情報をお持ちの方がいらっしゃいましたら、情報交換ML等で共有いただけましたら幸いです。
Shibboleth開発元からのアップグレードに関する情報は以下にまとめられています。
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500925/Upgrading
Javaのバージョン
- Java 17が必須です。
Javaサーブレットコンテナ
- Jetty 11以上、もしくはTomcat 10.1以上が必須です。
- Shibboleth IdP V4で利用されていたJetty 9.4, Jetty 10はサポート対象外となりました。
- Shibboleth開発元は、2024年10月時点でJetty 12の利用を推奨しています。
JavaScriptプラグイン
Java 15から、JavaScriptエンジン「Nashorn」が削除されました (JEP 372: Remove the Nashorn JavaScript Engine)。
attribute-resolver.xmlのScriptedAttributeをはじめとしてShibboleth IdPの設定でJavaScriptを利用されている場合は、Nashornプラグイン(もしくは、Rhinoプラグイン)をインストールしてください。NashornとRhinoで書式が異なりますのでご注意ください。Shibboleth IdP V4およびJava 11をご利用の場合の多くがNashornの書式で書かれていると思われますが、確認したい場合はScriptedDataConnectorのExamplesの項の例と比較してください。それぞれで特徴的なものは Java.type()(Nashornの場合)および importPackage()(Rhinoの場合)です。
JDBCStorageServiceプラグイン
Shibboleth IdP V5から、JPAStorageServiceが削除されました。
StoredId DataConnectorやRelationalDatabase DataConnectorなどでデータベースを利用されている場合は、JDBCStorageServiceプラグインをインストールしてJDBCStorageServiceに移行してください。
移行については、下記Shibboleth IdP V4での移行手順を参考に、まずV4にてプラグインへの移行を行い動作確認後、V5へアップグレードすることを推奨します。
eduPersonTargetedID属性
Shibboleth IdP V5.0.0では、attribute-resolver.xmlにてeduPersonTargetedID属性を生成するSAML2NameIDの削除は見送られたため、Shibboleth IdP V4と同様にeduPersonTargetedID属性を生成して送信することが可能です。
ログについて若干誤解を招く表現があるようです。V4にて上記SAML2NameIDの使用がある場合は
DEPRECATED xsi:type 'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]): This will be removed in the next major version of this software; replacement is (none)
のようにログに出力されますが実際には削除されておらず、V5でも従来通り動作します。なお現在でも削除対象ではありますが、V5では以下のように若干表現が緩められたログが出力されます。
DEPRECATED xsi:type 'SAML2NameID', (file [/opt/shibboleth-idp/conf/attribute-resolver.xml]): This feature is at-risk for removal in a future version
install.shのコマンドラインオプション
install.shのコマンドラインオプションとして -D... の指定ができなくなりましたので、V5では以下の手順で実行してください。
# vi ../install.properties---idp.conf.credentials.filemode=640
idp.conf.credentials.group=jetty
---
↑上記2行を記載したファイルを作成してください
# bin/install.sh --propertyFile ../install.properties
1 コメント
Takeshi Nishimura
net.shibboleth.idp.profile.config.SecurityConfiguration was migrated to
org.opensaml.security.config.SecurityConfiguration per git commit
7bde5cc95850e0628c61132ca720bd052fea526d