Actualizar de 2.3 a 3.0

Esta versión de Usuarios, presenta muchos cambios a nivel estructural y visual. A continuación se describen los pasos para realizar la actualización de versión.

NO OLVIDE REALIZAR UNA COPIA DE SEGURIDAD DE LA APLICACIÓN Y LAS BASES DE DATOS ANTES DE CONTINUAR

Consideraciones iniciales

• Es necesario contar con una instalación de SIU-Araí: Usuarios en la versión 2.3.

• Se debe tener en cuenta que el proceso de actualización es realizado como una nueva instalación, es decir deberá descargar e instalar en otra ruta la versión 3.0. Un esquema sugerido es:

    ├── arai-usuarios
    │   ├── 2.0.0
    │   ├── 2.1.0
    │   ├── 2.2.0
    │   ├── 2.2.5
    │   ├── 2.3.0
    │   ├── 3.0.0
    │   ├── current -> 2.3.0
  

• La plataforma ahora consta de múltiples módulos independientes (api, idm e idp). Ver más detalles de la nueva arquitectura.

Requerimientos

La versión 3.0 actualiza los requerimientos mínimos respecto a la versión anterior:

• PHP requerido en versión 7.3 únicamente
• PostgreSQL requerido en versión mínima 9.6 y máxima 12

Para mayores detalles ver los requerimientos para la instalación.

Procedimiento

1. Resguardo de las bases de datos y assets

   La primera medida es realizar un backup de las bases de datos PostgreSQL y OpenLDAP. No olvidarse de los archivos de imágenes presentes en el directorio recursos. Ver documentación de LDAP sobre backups.

2. Actualizar la base LDAP

   La base OpenLDAP tiene que ser actualizado a la versión 3.0 de los esquemas que se utilizan. Ver la documentación sobre como realizar la actualización del LDAP.

3. Ajustes de los permisos sobre la instalación existente

   Antes de realizar cualquier cambio, se debe asegurar que el usuario con el que se va a realizar la actualización posea acceso a todos los archivos que componen la instalación existente. Esto debe

    sudo /ruta/arai-usuarios/2.3.0/bin/instalador permisos:simple
   

4. Descarga de la nueva versión

   Iniciar descargando el código fuente desde HUB

    cd /ruta/arai-usuarios
    git clone --branch <VERSION> https://hub.siu.edu.ar/siu-arai/arai-usuarios.git <VERSION>
    cd <VERSION>
   

   La rama <VERSION> corresponde al tag que se quiera, v3.0.0 o la última disponible en la rama 3.0

5. Instalar el módulo idm

    cd idm
   

   Realizar la configuración del módulo idm, el cual descargará las dependencias vía Composer

    composer install --no-dev --prefer-dist
   

   Copiar y editar los parámetros en el archivo .env, de acuerdo a la documentación.

    cp ./templates/.env.dist .env    
   

   Iniciar con la instalación del módulo idm, el cual en este caso soporta la actualización desde una versión 2.3 existente. Además, se actualizará la base de datos PostgreSQL.

    ./bin/instalador proyecto:actualizar --instalacion-anterior /ruta/arai-usuarios/2.3.0
   

   Establecer y/o corregir los permisos de los archivos

    sudo ./bin/instalador permisos:simple
   

   Configurar el servidor web Apache. Copiar y/o actualizar el alias del módulo idm

    cp instalacion/toba.conf /etc/apache2/sites-enabled/idm.conf
   

   Se recomienda configurar un VirtualHost y un dominio propio

6. Instalar el módulo idp

   Este módulo no requiere la actualización sobre una versión existente.

    cd idp
   

   Realizar la configuración del módulo idp, el cual descargará las dependencias vía Composer

    composer install --no-dev --prefer-dist
    composer install --no-dev --prefer-dist
   

   Se presenta un comportamiento extraño en SimpleSAMLPhp, por lo que es necesario ejecutar dos veces Composer.

   Copiar y editar los parámetros en el archivo .env, de acuerdo a la documentación.

    cp ./templates/.env.dist .env
   

   Generar los certificados necesarios para el protocolo SAML y OIDC

    ./bin/instalador instalacion:generar-certs-idp
   

   Iniciar la instalación del módulo idp

    ./bin/instalador proyecto:instalar
   

   Luego de instalar el módulo idp, copiar los certificados del IDP para SAML de la instalación anterior. Pueden ver donde estan alojados revisando el archivo /ruta/arai-usuarios/2.3.0/config/idp.yml en las opciones file_privatekey y file_certificate.

    cp /ruta/arai-usuarios/ruta-certs/idp.key config/simplesamlphp/certificado_idp.key
    cp /ruta/arai-usuarios/ruta-certs/idp.cert config/simplesamlphp/certificado_idp.crt
   

   Establecer y/o corregir los permisos de los archivos

    sudo ./bin/instalador permisos:simple
   

   Configurar el servidor web Apache. Copiar y/o actualziar el alias del módulo idp. Tener en cuenta que son dos puntos de entrada

    cp config/idp.conf /etc/apache2/sites-enabled/idp.conf
    cp config/assets.conf /etc/apache2/sites-enabled/assets.conf
   

   Se recomienda configurar un VirtualHost y un dominio propio

7. Instalar el módulo api

   Este módulo no requiere la actualización sobre una versión existente.

    cd api
   

   Realizar la configuración del módulo api, el cual descargará las dependencias vía Composer

    composer install --no-dev --prefer-dist
   

   Copiar y editar los parámetros en el archivo .env, de acuerdo a la documentación.

    cp ./templates/.env.dist .env
   

   Iniciar la instalación del módulo api

    ./bin/instalador proyecto:instalar
   

   Establecer y/o corregir los permisos de los archivos

    sudo ./bin/instalador permisos:simple
   

   Configurar el servidor web Apache. Copiar y/o actualziar el alias del módulo api

    cp config/api.conf /etc/apache2/sites-enabled/api.conf
   

   Se recomienda configurar un VirtualHost y un dominio propio

8. Sincronizar con SIU-Araí: Registry

   Primero, como los módulos idp y api son nuevos, debemos registrarlos a la plataforma. Empezando por el módulo idp

    ./idp/bin/arai-cli registry:add http://url-registry -e mail@unx.edu.ar -m "Mantenedor"
    ./idp/bin/arai-cli registry:sync --aceptar-pedidos-acceso
   

   Después regsitrar el módulo api

    ./api/bin/arai-cli arai:generar-key --destino /ruta/arai-usuarios/3.0.0/api/config/arai-sync.key
    ./api/bin/arai-cli registry:add http://url-registry -e mail@unx.edu.ar -m "Mantenedor"
    ./api/bin/arai-cli registry:sync --aceptar-pedidos-acceso
   

   Para esta versión 3.0, es neceario primero el cambio del backend de encriptación (se pasa de HALITE a SODIUM).

    ./idm/bin/arai-cli arai:actualizar-backend --destino /ruta/arai-usuarios/3.0.0/idm/instalacion/arai-sync.key
   

   Luego, ejecutar la re-sincronización de los módulos para garantizar la correcta configuración

    ./idm/bin/arai-cli registry:sync --aceptar-pedidos-acceso
    ./idp/bin/arai-cli registry:sync --aceptar-pedidos-acceso
    ./api/bin/arai-cli registry:sync --aceptar-pedidos-acceso
   

Recordar que estos sólo con estos pasos no está completa la actualización. La siguiente sección es crucial para finalizar la actualización a la versión 3.0.

Ajustes posteriores

1. Migrar SPs de SAML

   En la versión 3.0 se migra la configuración de SPs de SAML dentro de la base Postgres. Es necesario correr el siguiente script para importar los SPs de una instalación anterior. Es necesario contar con el archivo sp.yml que está en la versión 2.3 en el directorio config. Una vez que se obtuvo el archivo ejecutar el siguiente comando:

    idm/bin/instalador migracion:3.0 load-sp /ruta/arai-usuarios/2.3.0/sp.yml
   

   Si hay algún error el comando informará de la situación

2. Migrar datos de LDAP

   En la versión 3.0 se actualiza el esquema LDAP que se utiliza. También se introducen cambios en el formato lógico de los datos (ver aquí para más detalles). El migrador opera sobre la totalidad de los usuarios, pero los cambios los realiza de a un usuario por vez. Esto permite realizar la migración y que finalice a pesar de existir algún inconveniente. Si por algún motivo es necesario volver a ejecutar la migración, simplemente el migrador está preparado para ignorar los usuarios que fueron procesados previamente.

    idm/bin/instalador migracion:3.0 ldap
   

   Si hay algún error el comando informará de la situación. En el archivo instalador.log quedará registrado el uid del usuario que presentó inconvenientes, junto con el error sucedido.

   Luego de la migración, es necesario realizar un reindexado de la base LDAP. Ver aquí documentación al respecto.

SIU-Huarpe e instalaciones que utilizan Registry

Si está utilizando una instalación manual, al ejecutar el comando registry:sync debe hacerlo de la siguiente manera:

HUARPE_APP_ID=<ID DE APLICACION DE HUARPE> bin/arai-cli registry:sync

Donde <ID DE APLICACION DE HUARPE> es el identificador de la aplicación SIU-Huarpe. Lo puede ver en la operación Aplicaciones de Araí-Usuarios.

Si Huarpe no tenía el acceso restringido a un grupo específico, una vez que ejecute el comando de sincronización de manera exitosa, debe ir al detalle de la aplicación Huarpe en Araí-Usuarios y tildar Permitir acceso SIN cuenta.

Esto se debe a que no existe más la posibilidad de agregar un SP sin registrarlo en Araí-Usuarios.