Skip to content

Migration von CMI STS 3.X auf CMI STS 4.0

Dieses Kapitel fasst das Update von Version 3.X auf 4.0 zusammen.

Wird von einer Version 3.0-3.4 auf 4.0 aktualisiert, wird empfohlen, auf das automatische Schlüsselmanagement zu migrieren, das in Version 3.5 eingeführt wurde. Der Vorgang ist in der Migrationsanleitung Migration von CMI STS 3.0-3.4 auf CMI STS 3.5 dokumentiert. Die manuelle Schlüsselverwaltung ist mit CMI STS 4.X weiterhin kompatibel, ist jedoch obsolet und kann in kommenden Haupt-Releases entfernt werden.

Die wichtigsten Änderungen in der Version 4.0 sind:

  • Update des ASP.NET Core Frameworks von 6.0 auf 8.0.
  • Der IdentityProvider-Typ "Windows" wird nicht mehr unterstützt. Ein OIDC- oder WSFed-IDP muss verwendet werden.

Update-Vorbereitung

Wenn Windows-Authentication verwendet wird (IDP-Typ "Windows"), muss vor dem Update eine Migration auf einen OIDC- oder WSFed-IDP erfolgen. Ob Windows-Authentication im Einsatz ist, kann anhand der Konfiguration festgestellt werden:

{
    "Tenants": {
        "mandant": {
            "ExternalIdps": [
                "windows": {
                    "Type": "Windows"
                }
            ]
        }
    }
}

Die Konfiguration von IdentityProvidern ist in Identity Provider (IDP) dokumentiert.

Update-Anleitung

Nach dem Update funktionieren alle abhängigen Systeme ohne Änderungen weiterhin. Ein Rolling-Update skalierter CMI STS Instanzen ist möglich.

  1. Backup aller Konfigurations- und Programmdaten. Sollte ein Rollback erforderlich sein, können alle Daten wiederhergestellt werden um den ursprünglichen Zustand wieder herzustellen.
  2. Erfolgt das Hosting mittels IIS, musst das Hosting Bundle .NET Core 8.0.X vor dem Update installiert werden. Siehe auch Betrieb mit IIS unter Windows.
  3. Stoppen des CMI STS.
  4. Das Update auf die Version 4.0 erfolgt durch den Austausch der Programmdateien. Alle Konfigurationsdateien wie appsettings.json oder web.config dürfen nicht überschrieben oder gelöscht werden. Sofern in Verwendung, muss das bestehende Schlüsselmaterial (PFX-Datei cert.pfx oder Keypair-Dateien) beibehalten werden (Siehe auch Token-Signierung).
  5. Werden in der Datei appsettings.json die Sektionsnamen DistributedCache und PersistedGrantStore verwendet, müssen diese auf FileDistributedCache und FilePersistedGrantStore umbenannt werden.
  6. Starten des CMI STS.