Shibboleth IdP-tuotteesta julkaistiin 22.12.2014 merkittävä versiopäivitys 3.0. Laajalti uudelleen kehitettyä ohjelmistoa kutsutaan tuotteen kolmanneksi sukupolveksi. Kyseessä on merkittävä uudistus, joka tuo paljon uusia ominaisuuksia. Versiosta julkaistiin ensimmäinen alpha-versio jo kesäkuussa 2014. Ensimmäisen vakaan julkaisun jälkeen on ilmestynyt jo useampia myös uusia ominaisuuksia tuoneita päivityksiä.

3-versiotason dokumentaatio on Shibboleth wikissä omana osionaan: https://wiki.shibboleth.net/confluence/x/T4BX. Dokumentaatio on vielä osin keskeneräistä ja täydentyy kokemuksen karttuessa. Versiotasosta 2 siirtymiselle on oma ohjesivunsa: https://wiki.shibboleth.net/confluence/x/iwAUAQ.

Päivityksessä on huomioitava Hakan ohjeistus muutoksenhallinnastaVersiopäivitys ei ole aihe uuden SAML-entiteetin perustamiselle, eli entityId:n tai käyttäjän tunnisteiden vaihtumiselle.

Organisaatio valitsee omiin olosuhteisiinsa soveltuvimman päivitystavan. Eräs prosessiesimerkki on esitetty yleisellä tasolla muutoksenhallinnan ohjeistuksessa. Tietyissä päivitystavoissa IdP:n metatietoihin ei tarvita muutosta. Jos muutoksia tarvitaan, ne tehdään nykyisen IdP:n tietoja muuttamalla.

Haka-operoinnin tiedossa ei ole, että yksikään Haka-organisaatio olisi vielä siirtynyt käyttämään 3-versiotason IdP-ohjelmistoa.

Shibboleth-konsortio ilmoitti 5.5.2015 versiotason 2 tuen jatkumisesta. Jo ennen ilmoitusta oli tiedossa, että tuki ei jatku pitkään, sillä konsortio haluaa kohdistaa vähäiset kehitysresurssit uuden version kehittämiseen vanhojen ylläpitämisen sijasta. Konsortion johtokunta päätti kuitenkin, että versiotason 2 vakaata julkaisua tuetaan 31.6.2016 asti. Aikajana virheiden korjaamiselle on seuraava:

  • kaikki turvallisuutta uhkaavat ja muut ohjelmointivirheet 31.12.2015 asti
  • kohtuulliset turvallisuusuhat 29.2.2016 asti
  • merkittävät turvallisuusuhat 31.5.2016 asti
  • kriittiset turvallisuusuhat 31.6.2016 asti

Viimeisin 2-tason tuettu versio on 2.4.4. Tätä aiempiin versioihin ei julkaista turvallisuuspäivityksiä. 2.4-versiotasoon siirryttäessä on tapahtunut olennaisia muutoksia konfiguraation syntaksissa. Myös kirjastoissa, joihin Shibboleth tukeutuu (esimerkiksi Xerces ja Xalan), on korjattu merkittäviä turvallisuusuhkia. Mikäli nykyinen IdP:n versio on vanhentunut, se on päivitettävä.

Haka-operoinnin näkemys Shibboleth-konsortion ilmoitukseen perustuen on, että nykyisellä versiotasolla 2.4.4 voi jatkaa kevääseen 2016. Ohjeistuksen täydennyttyä viimeistään keväällä 2016 on siirryttävä versiotasoon 3.

  • No labels