collaboration@CANARIE

Log in

Upgrading to Shibboleth v3

A resource center for Shibboleth v3 upgrade guidance
Sub-Group of CAF

Shibboleth v3 Upgrade Overview

La version française suit.

Shibboleth V3 Upgrade Overview

 

The Shibboleth V2 End of Life (EOL) of July 31, 2016 is fast approaching. If you haven’t already upgraded to V3 we’ve assembled some upgrade options to help save you time and effort.

There are a number of factors to consider when planning your upgrade; age of the installation, amount of customization, style of configuration and operational management to mention a few.

We recommend the IdP-Installer tool to help automate IdP installation during your upgrade process. Whether you use it exclusively, or as part of a larger more sophisticated approach to upgrading, the IdP-Installer will save you a tremendous amount of time.

The IdP-Installer applies all necessary Shibboleth v3 settings for a reference CAF Identity Provider by default. This in turn allows one to focus on the necessary site tailoring specifics such as look and feel and some certificate management needs.

For previous users of the IdP-Installer your configuration file is portable to the latest version of the Idp-Installer. Just cut and paste your previous configuration file into the import feature of the GUI interface shown below of the installer and click import for your latest up to date configuration to start from.

image

 

The  IdP Installer is free to use and can be found here: https://bit.ly/idpinstaller

Upgrade in place or create a new host?

Regardless of your upgrade starting point, a key question is; should it be done ‘in place’ or on a new host and switch over to it?

We strongly recommended that:

  • a new host be used when using the IdP-Installer

OR

  • if doing an upgrade in place using the Shibboleth Installer that a clone of the production system be made to test the experience and adjustments needed.

In either scenario it is easy to perform isolated testing in a test environment or emulating production in a limited release environment without impacting end users.

Alternative Upgrade Approaches

There is more than one way to do an upgrade.  If you choose to do the upgrade via an alternative method we recommend reviewing the Shibboleth Consortium reference material on doing the upgrade.

Additionally, the Internet2 update recommendations closely align with CAF recommendations (minus the inCommon specific URLs and validation certificates of course) and are an excellent reference to consult.

Note well

CAF strongly recommends:

  1. Make sure your entityID does not change.
  2. Use a copy of your production SAML signing key.
  3. Make sure your SAML protocol endpoints do not change.
  4. Make sure you preserve any special SALT secrets used for calculating unique ids.

Service Impact

By working on the upgrade as recommended it can be tested by overriding your local hosts file for you and your test users and be tested side by side to your production environment as shown below. If all goes well there will be no service impact either to your users or Service Providers you connect to.

 

image

As well, since you will use your existing keys no changes are required by CAF for your metadata.  All upgrade activities are transparent to CAF, Service Providers and end users until the upgraded host is promoted into production. Fallback to the original IdP is to revert the IP address change and can happen quickly.

Contrasting upgrade approaches

CAF feels that the IdP-Installer is one of the least risk paths for an upgrade as it offers the most reliable way to configure the IdP to a known baseline verified by CAF.  A site can then choose what to tailor or extend.

While the Shibboleth Consortium installer CAN perform an upgrade it is designed for best effort execution and the site is required to do hand editing after the upgrade.  It is possible that certain elements such as persistent identifier calculation and data connectors will need to be hand edited post upgrade.  It will work, but additional work remains that the CAF IdP-Installer already handles. It is recommended that you review each of the Shibboleth configuration files to verify your configuration.

 


Mise à niveau à la version 3 de Shibboleth

 

Click to view a copy of this article in English

La fin de la vie utile (EOL) de la deuxième version de Shibboleth, fixée au 31 juillet 2016, approche à grands pas. Si vous n’avez pas encore installé la troisième version, voici comment vous pourriez procéder pour épargner du temps et vous rendre la tâche plus facile.

Plusieurs aspects doivent être pris en compte au moment de la mise à niveau : l’âge de l’installation, l’ampleur de la personnalisation, le type de configuration et la gestion des opérations, pour ne mentionner qu’eux.

Nous vous recommandons d’utiliser l’outil IdP-Installer pour automatiser l’installation de l’IdP à la mise à niveau. Cet outil vous épargnera considérablement de temps, que vous n’utilisiez que lui ou que vous vous en serviez dans le cadre d’une mise à niveau plus complexe.

Par défaut, IdP-Installer configurera Shibboleth v3 pour le fournisseur d’identités (IdP) de référence de la FCA. Ainsi, vous pourrez vous concentrer sur les particularités du site, notamment son apparence et certaines exigences concernant la gestion des attestations.

Si vous avez déjà utilisé IdP-Installer, le fichier de configuration peut être transféré à la version la plus récente de l’outil. Pour cela, copiez-collez le fichier avec la fonction « importer » de l’interface GUI du logiciel, illustrée ci-dessous, puis cliquer « importer » (import) en vue d’apporter les modifications voulues au fichier.

 

image 

 

L’outil IdP Installer est gratuit. Vous le trouverez à l’adresse https://bit.ly/idpinstaller

 

Mettre l’hôte existant à niveau ou en créer un nouveau?

Peu importe le point de départ, la grande question est : « Devrais-je mettre l’hôte existant à niveau ou en créer un nouveau puis abandonner l’ancien? »

Nous vous recommandons vivement ce qui suit.

  • Si vous utilisez IdP-Installer, créez un nouvel hôte.

OU

  • Si vous utilisez Shibboleth Installer pour la mise à niveau, clonez le système de production pour effectuer des tests puis procédez aux ajustements requis.

Dans l’un ou l’autre cas, il est facile d’effectuer des essais dans un milieu isolé ou de simuler la production dans des conditions restreintes, à l’insu des utilisateurs en bout de ligne.

 

Autres approches

Il y a plus d’une façon d’effectuer la mise à niveau. Si vous optez pour une autre approche, nous vous recommandons de lire la documentation de référence du Consortium Shibboleth.

Les recommandations d’Internet2 pour les mises à niveau suivent de près celles de la FCA (sans les URL inCommon et les attestations de validation, cela va de soi) et constituent un excellent document de référence.

Attention

La FCA recommande fortement ce qui suit.

  1. Assurez-vous de ne pas changer entityID.
  2. Utilisez une copie de la clé de signature de production SAML.
  3. Assurez-vous que les points finaux du protocole SAML restent les mêmes.
  4. Mettez en lieu sûr les clés de chiffrement SALT particulières éventuellement employées pour créer les identités uniques.

Impact sur le service

En procédant à la mise à niveau de la façon recommandée, vous pourrez annuler vos fichiers des hôtes locaux et ceux des utilisateurs participant aux tests puis réaliser les essais côte à côte sur la plateforme de production, tel qu’illustré ci-dessous. Si tout se déroule bien, les utilisateurs ou les fournisseurs de services connectés au système ne devraient s’en ressentir d’aucune façon.

 

image 

D’autre part, puisque vous utiliserez les clés existantes, vous n’aurez pas à modifier vos métadonnées à la demande de la FCA. La mise à niveau restera invisible pour la FCA, les fournisseurs de services et les utilisateurs jusqu’à ce que le nouvel hôte passe à la production. Pour revenir à l’IdP original, il suffit de rétablir l’ancienne adresse IP, ce qui se fait rapidement.

Comparaison des différentes approches

La FCA estime que l’utilisation d’IdP-Installer est l’une des solutions qui soulèvent le moins de risques lors de la mise à niveau, car il s’agit de la méthode la plus fiable pour configurer l’IdP d’après un schéma de base connu, vérifié par la FCA. Ensuite, ne reste plus qu’à établir ce qu’il faut personnaliser ou élargir.

Bien qu’on PUISSE s’en servir pour la mise à niveau, l’installeur du Consortium Shibboleth est conçu pour la meilleure exécution possible et des modifications devront être apportées au site par la suite. Par conséquent, il se peut qu’on doive modifier manuellement certains éléments par la suite, notamment le calcul des identificateurs persistants et les connecteurs servant à la transmission des données. Le système fonctionnera, mais vous devrez effectuer d’autres opérations que l’outil IdP-Installer de la FCA prend déjà en charge. Nous vous recommandons d’examiner tous les fichiers de configuration de Shibboleth pour bien vérifier la configuration.