La fin de la vie utile (EOL) de la deuxième version de Shibboleth, fixée au 31 juillet 2016, approche à grands pas. Si vous n’avez pas encore installé la troisième version, voici comment vous pourriez procéder pour épargner du temps et vous rendre la tâche plus facile.
Plusieurs aspects doivent être pris en compte au moment de la mise à niveau : l’âge de l’installation, l’ampleur de la personnalisation, le type de configuration et la gestion des opérations, pour ne mentionner qu’eux.
Nous vous recommandons d’utiliser l’outil IdP-Installer pour automatiser l’installation de l’IdP à la mise à niveau. Cet outil vous épargnera considérablement de temps, que vous n’utilisiez que lui ou que vous vous en serviez dans le cadre d’une mise à niveau plus complexe.
Par défaut, IdP-Installer configurera Shibboleth v3 pour le fournisseur d’identités (IdP) de référence de la FCA. Ainsi, vous pourrez vous concentrer sur les particularités du site, notamment son apparence et certaines exigences concernant la gestion des attestations.
Si vous avez déjà utilisé IdP-Installer, le fichier de configuration peut être transféré à la version la plus récente de l’outil. Pour cela, copiez-collez le fichier avec la fonction « importer » de l’interface GUI du logiciel, illustrée ci-dessous, puis cliquer « importer » (import) en vue d’apporter les modifications voulues au fichier.
L’outil IdP Installer est gratuit. Vous le trouverez à la page ici.
Mettre l’hôte existant à niveau ou en créer un nouveau?
Peu importe le point de départ, la grande question est : « Devrais-je mettre l’hôte existant à niveau ou en créer un nouveau puis abandonner l’ancien? »
Nous vous recommandons vivement ce qui suit.
- Si vous utilisez IdP-Installer, créez un nouvel hôte.
OU
- Si vous utilisez Shibboleth Installer pour la mise à niveau, clonez le système de production pour effectuer des tests puis procédez aux ajustements requis.
Dans l’un ou l’autre cas, il est facile d’effectuer des essais dans un milieu isolé ou de simuler la production dans des conditions restreintes, à l’insu des utilisateurs en bout de ligne.
Autres approches
Il y a plus d’une façon d’effectuer la mise à niveau. Si vous optez pour une autre approche, nous vous recommandons de lire la documentation de référence du Consortium Shibboleth.
Les recommandations d’Internet2 pour les mises à niveau suivent de près celles de la FCA (sans les URL inCommon et les attestations de validation, cela va de soi) et constituent un excellent document de référence.
Attention
La FCA recommande fortement ce qui suit.
- Assurez-vous de ne pas changer entityID.
- Utilisez une copie de la clé de signature de production SAML.
- Assurez-vous que les points finaux du protocole SAML restent les mêmes.
- Mettez en lieu sûr les clés de chiffrement SALT particulières éventuellement employées pour créer les identités uniques.
Impact sur le service
En procédant à la mise à niveau de la façon recommandée, vous pourrez annuler vos fichiers des hôtes locaux et ceux des utilisateurs participant aux tests puis réaliser les essais côte à côte sur la plateforme de production, tel qu’illustré ci-dessous. Si tout se déroule bien, les utilisateurs ou les fournisseurs de services connectés au système ne devraient s’en ressentir d’aucune façon.
D’autre part, puisque vous utiliserez les clés existantes, vous n’aurez pas à modifier vos métadonnées à la demande de la FCA. La mise à niveau restera invisible pour la FCA, les fournisseurs de services et les utilisateurs jusqu’à ce que le nouvel hôte passe à la production. Pour revenir à l’IdP original, il suffit de rétablir l’ancienne adresse IP, ce qui se fait rapidement.
Comparaison des différentes approches
La FCA estime que l’utilisation d’IdP-Installer est l’une des solutions qui soulèvent le moins de risques lors de la mise à niveau, car il s’agit de la méthode la plus fiable pour configurer l’IdP d’après un schéma de base connu, vérifié par la FCA. Ensuite, ne reste plus qu’à établir ce qu’il faut personnaliser ou élargir.
Bien qu’on PUISSE s’en servir pour la mise à niveau, l’installeur du Consortium Shibboleth est conçu pour la meilleure exécution possible et des modifications devront être apportées au site par la suite. Par conséquent, il se peut qu’on doive modifier manuellement certains éléments par la suite, notamment le calcul des identificateurs persistants et les connecteurs servant à la transmission des données. Le système fonctionnera, mais vous devrez effectuer d’autres opérations que l’outil IdP-Installer de la FCA prend déjà en charge. Nous vous recommandons d’examiner tous les fichiers de configuration de Shibboleth pour bien vérifier la configuration.