Mise à niveau propagée
Vous pouvez effectuer une mise à niveau propagée de la version 12.51 (12.5x) ou ultérieure vers la version 12.8.x. Une mise à niveau propagée permet de remplacer un composant existant dans votre environnement par la dernière version du composant sans que la disponibilité du système ne soit interrompue. Pendant le remplacement du composant, les composants restants continuent de protéger les ressources. Continuez à remplacer les composants jusqu'à ce que tous les composants soient mis à niveau ou fonctionnent en mode mixte.
casso1283
Vous pouvez effectuer une mise à niveau propagée de la version 12.51 (12.5x) ou ultérieure vers la version 12.8.x. Une mise à niveau propagée permet de remplacer un composant existant dans votre environnement par la dernière version du composant sans que la disponibilité du système ne soit interrompue. Pendant le remplacement du composant, les composants restants continuent de protéger les ressources. Continuez à remplacer les composants jusqu'à ce que tous les composants soient mis à niveau ou fonctionnent en mode mixte.
Séquence de la mise à niveau propagée
Les flux suivants détaillent les étapes dans lesquelles un environnement 12.5x simple est mis à niveau. Chaque figure représente un seul référentiel de stratégies et un seul référentiel de clés. Cependant, un déploiement peut utiliser des référentiels de stratégies et des référentiels de clés distincts.
Etapes de la mise à niveau propagée

Le processus suivant détaille le flux de mise à niveau :
- A la première étape, introduisez un nouveau serveur de stratégies 12.8.x dans l'environnement dans un mode de compatibilité en tenant compte des remarques suivantes :
- Les agents 12.5x continuent à communiquer avec le serveur de stratégies 12.8.x.
- Le serveur de stratégies 12.8.x continue à communiquer avec les référentiels de stratégies et de clés 12.5x.
- Le serveur de stratégies 12.5x continue à communiquer avec les référentiels de stratégies et de clés 12.5x.
Une fois que le serveur de stratégies 12.8.x est fonctionnel dans l'environnement, remplacez un serveur de stratégies 12.5x par le serveur de stratégies 12.8.x. - A la deuxième étape, remplacez les serveurs de stratégies restants par les nouveaux serveurs de stratégies 12.8.x en procédant de manière similaire.
- A la troisième étape, mettez à niveau le référentiel de stratégies et le référentiel de clés 12.5x.
- A la quatrième étape, remplacez l'interface d'administration par une nouvelle interface d'administration 12.8.x et enregistrez la nouvelle interface d'administration 12.8.x avec le serveur de stratégies 12.8.x.
- Remplacez chaque serveur Access Gateway dans votre environnement de façon séquentielle.Si vous utilisez des agents Web, notez que la version 12.52 SP1 est la dernière version des agents Web.
Pour effectuer une mise à niveau propagée, effectuez les étapes suivantes :
1
Vérification des conditions préalables
Avant de procéder à la mise à niveau, assurez-vous que :
- les conditions préalables à la mise à niveau sont remplies ;
- les erreurs d'intégrité du référentiel de stratégies sont corrigées.
- Si vous avez personnalisé l'un des fichiers ci-dessous dans votre environnement actuel, mettez à jour manuellement ces fichiers dans le nouvel environnement afin de refléter les personnalisations :
- Les fichiers .txt et .properties dans les répertoiressso_installation\config etsso_installation\config\properties.
- cdslog4j.properties
- JVMOptions.txt
Installation et configuration du dernier serveur de stratégies
Préparez les nouveaux serveurs de stratégies 12.8.x et remplacez de manière séquentielle les composants respectifs dans votre environnement. A cette étape, vous devez :
- Déterminer le serveur de stratégies devant être remplacé dans votre environnement.
- Préparer un nouvel ordinateur Serveur de stratégies 12.8.x.
- Remplacer le serveur de stratégies existant par le serveur de stratégies 12.8.x.
Procédez comme suit :
- Installez un serveur de stratégies 12.8.x sur un nouvel ordinateur.Pour plus d'informations sur l'installation du serveur de stratégies, consultez la section Installation du serveur de stratégies sous UNIX correspondant à votre environnement.
- Recompilez les fichiers binaires personnalisés 32 bits pour un environnement 64 bits et copiez ces fichiers binaires recompilés sur le serveur de stratégies 12.8.x.
- Configurez le serveur de stratégies 12.8.x.
- Pointez le serveur de stratégies 12.8.x vers le référentiel de stratégies existant.Pointage vers le référentiel de stratégies LDAP existant
- Ouvrez la console de gestion du serveur de stratégies sur l'ordinateur contenant l'ancien serveur de stratégies.Important: Si vous activez la fonction Contrôle de compte d'utilisateur de Windows, ouvrez le raccourci avec des droits d'administrateur. Utilisez les informations d'identification de l'administrateur, y compris si vous êtes connecté au système avec des droits d'administrateur.
- Cliquez sur l'ongletDonnées.
- Notez les paramètres du référentiel de stratégies et du référentiel de clés du serveur de stratégies existant.
- Ouvrez la console de gestion du serveur de stratégies sur l'ordinateur du serveur de stratégies 12.8.x.
- Dans l'ongletDonnées, spécifiez le paramètre du référentiel de stratégies et du référentiel de clés.
- Cliquez surAppliquer.
- Cliquez surTester la connexion LDAPpour vérifier que le serveur de stratégies peut accéder au référentiel de stratégies.
- Dans la liste Base de données, sélectionnezRéférentiel de clés.
- Dans la liste Stockage, sélectionnezLDAP.
- SélectionnezUtiliser la base de données du référentiel de stratégies.
- Cliquez surOK.
Pointage vers le référentiel de stratégies ODBC existant- Créez une source de données.Important: La source de données que vous créez pour le serveur de stratégies 12.8.x doit être identique à celle du serveur de stratégies 12.5x ou ultérieur.
- Collectez les paramètres de DSN à partir du serveur de stratégies existant.
- Ouvrez la console de gestion du serveur de stratégies et cliquez sur l'ongletDonnées.
- Dans la liste Base de données, sélectionnezRéférentiel de stratégies.
- Dans la liste Stockage, sélectionnezODBC.
- Dans le champInformations sur la source de données, entrez le nom de la source de données. L'entrée doit correspondre au nom que vous avez entré dans le champ Nom de la source de données lorsque vous avez créé la source de données.
- Entrez et confirmez le nom d'utilisateur et le mot de passe du compte de base de données qui dispose de droits d'accès complets à l'instance de base de données dans les champs respectifs.
- Spécifiez le nombre maximum de connexions à la base de données allouées àSiteMinder. Conservez la valeur par défaut (25 connexions) afin d'obtenir des performances optimales.
- Cliquez surAppliquer.
- Dans la liste Base de données, sélectionnezRéférentiel de clés.
- Dans la liste Stockage, sélectionnezODBC.
- SélectionnezUtiliser la base de données du référentiel de stratégies.
- Dans la liste Base de données, sélectionnezJournaux d'audit.
- Dans la liste Stockage, sélectionnez ODBC.
- SélectionnezUtiliser la base de données du référentiel de stratégies.
- Cliquez surAppliquer.
- Cliquez surTester la connexionpour vérifier que le serveur de stratégies peut accéder au référentiel de stratégies.
- Cliquez surOK.
- Pointez le serveur de stratégies 12.8.x vers le référentiel de clés existant.
- Exécutez l'outil UpgradeReadinessCheck pour identifier les fichiers binaires personnalisés 32 bits qui sont configurés dans le référentiel de stratégies et tous les schémas d'authentification non pris en place. Procédez à la mise à niveau de cet outil vers la version 64 bits. Pour plus d'informations sur l’outil, consultez la section Recherche manuelle de problèmes au niveau des binaires personnalisés et des schémas d'authentification.
- Si vous gériez des objets de fédération hérités à l'aide de l'interface d'administration FSS dans votre ancien environnement, exécutez la commandeXPSSweeperune fois sur le premier nouveau serveur de stratégies 12.8.x afin de migrer les objets de fédération hérités vers l'interface d'administration.
- Vérifiez que ce serveur de stratégies est prêt à répondre aux demandes dans un environnement.
- Répétez ces étapes pour chaque serveur de stratégies que vous voulez mettre à niveau.
Mise à jour du fichier JVMOptions avec les configurations OIDC
Uniquement pour la mise à niveau de la version 12.8.02 vers la version 12.8.03 ou ultérieure
A partir de la version 12.8.02,
SiteMinder
en tant que fournisseur OpenID Connect prend en charge le terminal connu. Pour prendre en charge la fonctionnalité, le format de l'URL de l'émetteur et des URL des terminaux a été remplacé par celui ci-dessous :Issuer URL: https://Access_Gateway_server:port/affwebservices/CASSO/oidc/client_nameEndpoint URL: https:/Access_Gateway_server:port/affwebservices/CASSO/oidc/client_name/endpoint
A partir de la 12.8.03, vous pouvez activer ou désactiver la fonctionnalité de métadonnées de fournisseur à l'aide du nouveau champ
Activer la configuration connue
dans l'interface d'administration. Le statut de cette option permet de gérer la fonctionnalité de métadonnées de fournisseur et, par conséquent, le format d'URL de l'émetteur. Par défaut, la fonctionnalité est désactivée et les URL sont générées au format suivant :Si vous utilisez la version 12.8.02 et que vous mettez à niveau votre environnement vers la version 12.8.03 ou ultérieure, les URL de terminal existantes risquent de ne plus fonctionner après la mise à niveau. Pour résoudre ce problème, effectuez les étapes suivantes après la mise à niveau du serveur de stratégies :
- Ouvrez le fichier JVMOptions.txt.
- Définissez la propriété-Dcom.ca.oidc.ReturnNewIssuerURLsurtrue.
- Enregistrez les modifications.
- Redémarrez le serveur de stratégies.
- Répétez les étapes 1 à 4 sur tous les serveurs de stratégies après les avoir mis à niveau vers la version 12.8.03 ou ultérieure.
Mise à niveau du référentiel de stratégies existant
Mettez à niveau le référentiel de stratégies existant après avoir mis à niveau tous les serveurs de stratégies requis dans votre environnement.
Importation des définitions de données du référentiel de stratégies
L'importation des définitions de données du référentiel de stratégies définit les types d'objets qui peuvent être créés et stockés dans le référentiel de stratégies.
Procédez comme suit :
- Ouvrez une fenêtre de commande et accédez au dossiersso_home\xps\dd.sso_homeindique le chemin d'installation du serveur de stratégies.
- Exécutez la commande suivante pour importer les définitions de données requises :XPSDDInstall SmMaster.xdd
- Si votre environnement est intégré à Symantec Identity Manager, exécutez la commande suivante pour importer les définitions de données requises pour l'intégration :XPSDDInstall IdmSmObjects.xdd
Importation des objets de référentiel de stratégies par défaut
L'importation des objets de référentiel de stratégies par défaut configure le référentiel de stratégies en vue de son utilisation avec l'interface d'administration et avec le serveur de stratégies.
Tenez compte des éléments suivants :
- Pour importer les objets de référentiel de stratégies, l'utilitaire d'importation requiert un accès en écriture au dossiersso_home\bin.sso_homeindique le chemin d'installation du serveur de stratégies.
- Si la fonctionnalité Contrôle de compte d'utilisateur de Windows est activée, ouvrez des fenêtres de ligne de commande avec des autorisations d'administrateur, y compris si votre compte dispose de droits d'administrateur.
Procédez comme suit :
- Ouvrez une fenêtre de commande et accédez au dossiersso_home\db.
- Importez l'undes fichiers suivants :
- smpolicy.xml :pour importer le fichier smpolicy.xml, exécutez la commande ci-après.XPSImport smpolicy.xml -npass
- smpolicy-secure.xml :pour importer le fichier smpolicy-secure.xml, exécutez la commande ci-après.XPSImport smpolicy-secure.xml -npass
-npass
indique qu'aucune phrase de passe n'est requise. Les objets de référentiel de stratégies par défaut ne contiennent pas de données chiffrées.Utilisez l'un de ces fichiers pour configurer un nouveau référentiel de stratégies et pour mettre à niveau un référentiel existant. Lorsqu'il est importé dans le cadre d'une mise à niveau, le fichier n'écrase pas les objets par défaut existants qui ont été modifiés. Les deux fichiers incluent les objets de référentiel de stratégies par défaut. Ces objets incluent les paramètres de sécurité par défaut dans les modèles d'objet de configuration d’agent (ACO). Le fichier sécurisé fournit des paramètres de sécurité plus restrictifs.
Les objets de référentiel de stratégies par défaut sont importés.
Importation des objets de référentiel de stratégies de fédération
Pour utiliser OAuth ou OpenID Connect, importez les entités OAuth par défaut et les objets des revendications et des portées par défaut pour OpenID Connect.
Procédez comme suit :
- Ouvrez une fenêtre de commande et accédez au dossiersiteminder_home\db.
- Importez le fichierdefault-fedobjects-config.xmlà l'aide de la commande suivante :XPSImport default-fedobjects-config.xml -npass-npassindique qu'aucune phrase de passe n'est requise.
Mise à niveau du schéma du référentiel de stratégies
Remarque :
Cette procédure est nécessaire uniquement si vous avez configuré une variable de service Web avec des variables imbriquées.Pour mettre à niveau vers la version 12.8.x avec une variable de service Web configurée avec des variables imbriquées sur une base de données Microsoft SQL Server, MySQL ou IBM DB2, mettez à niveau le schéma du référentiel de stratégies. Le script de mise à niveau de chaque base de données se trouve sous
sso_home
\db\SQL.Si vous utilisez une base de données Microsoft SQL Server, assurez-vous que les données dans nestedvariableoid ne sont pas NULL et exécutez le script suivant sur la base de données :
sm_mssql_ps_upgrade_nestedvariables_to_12.52.sql
Pour utiliser une base de données MySQL, exécutez le script suivant sur la base de données :
sm_mysql_ps_upgrade_nestedvariables_to_12.52.sql
Pour utiliser une base de données IBM DB2, exécutez le script suivant sur la base de données :
sm_db2_ps_upgrade_nestedvariables_to_12.52.sql
Migration de l'ID de l'émetteur d'assertion
Si vous gérez des objets de fédération hérités dans un environnement version r12.5x ou ultérieure, migrez l'ID de l'émetteur d'assertion de l'ancien producteur vers le producteur 12.8.x. La migration de l'ID empêche l'échec des transactions SAML 1.1 au niveau du fournisseur de services.
Procédez comme suit :
- Connectez-vous à un système hôte du serveur de stratégies version 12.5x ou ultérieure et accédez à l'emplacement suivant :sso_home\config\propertiessso_homeindique le chemin d'installation du serveur de stratégies.
- Copiez le fichier suivant :AMAssertionGenerator.properties
- Connectez-vous à un système hôte du serveur de stratégies version 12.8.x et accédez à l'emplacement suivant :siteminder_home\config\properties
- Renommez la version 12.8.x du fichier de propriétés du générateur d'assertions sur la valeur suivante :newAMAssertionGenerator.properties
- Ajoutez le fichier de propriétés version 12.5x ou ultérieure dans le répertoire.La migration est terminée.
Redémarrage de tous les serveurs de stratégies
Terminez la mise à niveau du référentiel de stratégies en redémarrant tous les serveurs de stratégies qui communiquent avec le référentiel de stratégies.
Mise à jour des objets du client OIDC
Uniquement pour une mise à niveau de la version 12.8.02 vers la version 12.8.03
ou ultérieure
Pour vous assurer que les terminaux OIDC de la version 12.8.02 continuent de fonctionner dans la version 12.8.03 ou ultérieure, exécutez la commande suivante sur l'un des serveurs de stratégies version 12.8.03 ou ultérieure après la mise à niveau du référentiel de stratégies :
Windows
: chemin_installation_siteminder
\bin\UpdateOIDCClientConfig.bat Linux
: chemin_installation_siteminder
/bin/UpdateOIDCClientConfig.sh Les clients OIDC existants renvoient l'URL de l'émetteur et les URL des terminaux au format suivant :
Issuer URL: https://Access_Gateway_server:port/affwebservices/CASSO/oidc/client_nameEndpoint URL: https:/Access_Gateway_server:port/affwebservices/CASSO/oidc/client_name/endpoint
De plus, si vous essayez de modifier ou de supprimer des objets OIDC d'une version antérieure dans l'interface d'administration ou à l'aide de l'API REST, l'opération échoue. Si vous n'êtes pas prêt pour la mise à niveau de l'interface d'administration vers la version 12.8.03 ou ultérieure, mettez à jour le schéma du référentiel de stratégies et effectuez les étapes suivantes :
- Ouvrez l'invite de commande sur l'instance du serveur de stratégies et accédez au dossierchemin_installation_siteminder\xps\dd.
- Exécutez la commande suivante pour mettre à jour le schéma :XPSDDInstall <siteminder_home>\xps\dd\upgrade_oidc_schema_pre_12_8_3.xdd
Installation et configuration de la dernière interface d'administration
Préparez une nouvelle interface d'administration 12.8.x et enregistrez-la avec le serveur de stratégies 12.8.x.
Pour installer une interface d'administration 12.8.x, consultez la section Installation de l'interface d'administration sous UNIX correspondant à votre environnement.
Installation et configuration de la dernière version d'Access Gateway
Préparez un nouvel ordinateur Access Gateway 12.8.x et remplacez la version existante d'Access Gateway par la nouvelle en respectant la séquence de migration. Pour plus d'informations, consultez la section Installation d'Access Gateway.