FCA – Mise à niveau de Shibboleth

Mise à jour mai 2024

Garder le logiciel de votre fournisseur d’identités (IdP) à jour est capital pour la sécurité de l’organisation et le maintien de son attestation Security Incident Response Trust Framework for Federated Identity (SIRTFI) dans le milieu de la recherche et de l’éducation (R-E).

Consultez le guide de la FCA sur les logiciels IdP recommandés et le guide sur la mise à niveau du logiciel IdP du Consortium Shibboleth (en anglais)..

Pour commencer 

Examinez et évaluez votre feuille de route technique

Une mise à niveau est aussi une excellente occasion de faire le point pour déterminer s’il vaudrait la peine d’ajouter des fonctionnalités au fournisseur d’identités.

Vous pourriez :

  • dresser la liste des problèmes ou des lacunes auxquels vous aimeriez remédier;
  • passer en revue de nouvelles fonctionnalités, par exemple :
    • les autorisations multifactorielles (MFA);
    • la procuration à une autre plateforme d’infonuagique;
    • l’adoption de méthodes d’authentification plus rigoureuses comme Passkeys;
    • l’évaluation des besoins concernant l’usage de protocoles multiples.

Une fois cette évaluation terminée, examinez la version la plus récente du guide sur les mises à niveau de l’IdP Shibboleth (en anglais). Si vous décidez d’aller de l’avant avec la mise à niveau, suivez les conseils ci-dessous.

Considérations

La stabilité avant la nouveauté

Il est plus facile de maintenir la stabilité en apportant des changements petit à petit. Divisez les modifications de grande envergure ou complexes en étapes et vérifiez chacune avant de passer à la suivante.

Cette méthode s’avère particulièrement utile pour éviter les problèmes quand les changements prévoient ce qui suit :

  • passer d’un système d’exploitation à un autre;
  • mettre la version de Java à jour;
  • abandonner les machines virtuelles pour la conteneurisation;
  • ajouter une machine à la grappe IdP;
  • apporter des modifications majeures au système d’exploitation ou au serveur Web.

Prochaines étapes

Pratiques utiles

Vous devrez avoir mis à niveau l’IdP de Shibboleth sur la machine existante ou, de préférence, sur un clone ou un banc d’essai qui la reproduit pour que les modifications s’effectuent à l’écart des opérations jusqu’au moment où on décidera de procéder à la permutation. De cette façon, l’administrateur de l’IdP pourra attribuer le nom DNS au nouvel environnement à sa discrétion.

Si on donne un nouveau nom au service, il ne s’agira pas d’une mise à niveau mais bien d’une installation.


Copier tous les fichiers d’une ancienne version de l’IdP sur la nouvelle ne donnera pas de bons résultats.


Voici d’autres points à prendre en considération pour une mise à niveau plus facile.

  • Évitez de changer votre entityID.
    • Vous ne pourrez effectuer les essais directement et le logiciel signalera une nouvelle installation plutôt qu’une mise à niveau.
  • Passez à la version de Java la plus récente que supporte le logiciel avant de commencer.
  • Mettez les modules d’extension à jour avant de débuter.
  • Assurez-vous que les clés SAML de signature et d’encryptage sont préservées entre l’ancienne version et la mise à niveau.
  • Préservez les grains de sel secrets spéciaux employés pour établir une identité unique.
    • On utilise cette valeur pour établir créer identifiants persistants uniques et ces derniers doivent être calculés de façon identique à chaque mise à niveau.

La méthode de la mise à niveau uniforme

On pourra vérifier l’environnement de préproduction après la mise à niveau sur un hôte local réservé à votre usage ou à celui des testeurs. De cette manière, on pourra vérifier les environnements de production et de préproduction côte à côte et revenir à un stade connu si des problèmes surgissent. La mise à niveau sera aussi transparente pour la FCA, vos utilisateurs et les fournisseurs de services avec lesquels vous faites affaire.