Versions Compared

Old Version 9

changes.mady.by.user André Klaver

Saved on

compared with

New Version Current

changes.mady.by.user Jan Michielsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Een migratie van een identity provider is heel gebruikelijk als er een upgrade aan je identity provider wordt uitgevoerd . Zo kan het zijn dat je je of overgestapt wordt op een ander systeem. Bij het upgraden van de oude Microsoft ADFS omgeving upgrade naar een nieuwe omgeving zoals Azure. Dan zijn er wijzigingen in de naar bijvoorbeeld Azure veranderen end-points, de single sign-on locaties en het entityID van je de IdP. Het entityID van de IdP wordt door SURFconext gebruikt voor het uniek identificeren van de IdP en kan Dat laatste is van belang omdat SURFconext het entityID gebruikt ter identificatie van de IdP. Deze mag maar één keer voorkomen in de beheersystemen van SURFconext. Bij een dergelijke migratie wordt er van uit gegaan dat de nieuwe IdP een nieuw EntityID krijgt. Als de nieuwe IdP eenzelfde entityID houdt zal , moet een ander pad gevolgd moeten worden.

Hoe je deze nieuwe IdP inricht is te vinden op onze de pagina met handleidingen en richtlijnen. Zorg dat je dat hebt afgerond er voor dat de attribuutwaarden van de nieuwe identiek blijven aan die de oude IdP vrijgeeft. Denk hierbij ook aan hoofd/kleine letters. Bereid dit voor voordat je ons bericht over de migratie. Voor de migratie van de IdP moeten de volgende stappen doorlopen wordenDe stappen voor migratie zijn hieronder toegelicht.

Voorbereiden

...

migratie

We beginnen met de voorbereidende werkzaamheden als je je de nieuwe IdP hebt geconfigureerd zoals aangegeven in onze handleidingen.klaar hebt staan.

  1. Stuur ons de metadata van de nieuwe. Deze wordt op onze test- of productieomgeving toegevoegd. Geef bij ons aan waar je aan de slag wilt en gebruik de corresponderende SP Proxy metadata van SURFconext test of productie in jouw configuratie.
  2. We gaan
  3. We hebben een akkoord nodig van de SURFconext verantwoordelijke van jouw instelling voor het overzetten van de oude IdP naar de nieuwe IdP. Een mail naar support@surfconext.nl van de SURFconextverantwoordelijke volstaat hiervoor.
  4. We gaan de nieuwe IdP opvoeren in onze testomgeving of in onze productieomgeving, afhankelijk van hoe je wilt testen. Hiervoor hebben we de metadata van de IdP nodig.
  5. Daarna gaan we controleren of de attributen van de oude- en nieuwe IdP gelijk zijn aan de attributen van de nieuwe IdP. Dit is met name van belang voor de uid, schacHomeOrganization. Deze zijn essentieel zijn voor de identificatie van de gebruiker op de aangesloten diensten. Als een je hier toch iets verandert zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben . Uid en schacHomeOrganization zijn essentieel. Wijzig deze niet.  Het uid,  schacHomeOrganization en het daarop gebasseerde NameID (eduPersonTargetedID) worden door veel diensten gebruikt ter identificatie. Wijziging heeft tot gevolg dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als deze attributen gelijk  blijven zullen de gebruikersprofielen bij diensten bewaard blijven. Zie ook onze attributen pagina. .
    1. Stuur ons de attributen van
    een zelfde gebruikersaccount van
    1. de oude en de nieuwe
    én de oude
    1. IdP door
    aan te melden in een private sessie van je browser op
    1. te navigeren naar https://engine.surfconext.nl/authentication/sp/debug en
    ons de attributen sturen door
    1. te klikken
    , onderaan de pagina,
    1. op
    de knop
    1. "Mail naar SURFconext-Beheer". Als je
    Identity Provider op onze testomgeving is gedefinieerd kun je ons de attributen daarvan sturen door te navigeren naar
    1. op test werkt, gebruik dan https://engine.test.surfconext.nl/authentication/sp/debug. Zie ook onze attributenpagina voor meer informatie over attributen.
  6. Zorg dat je de end-points, de SingleSignOnService-locaties , op je IdP minstens een minimale score 'B' heeft op SSL-Labs. Het zal doorgaans zo zijn dat je bij een upgrade minimaal 'A' scoort omdat je systeem weer bij de tijd is. Als je hier niet aan voldoet Als dit niet het geval is, sluiten we de IdP niet aan op productieomgeving van SURFconext. Je hebt nog tot aan de dag van de migratie om dit op te lossen.
  7. Voordat de migratie ingezet wordt gaan we er van uit dat alles grondig is getest in de test-omgeving van SURFconext. Test met alle browsers en let er op dat bij browsers van Microsoft de Windows Authentication in je Microsoft ADFS correct geconfigureerd is.gedaan wordt moet alles getest zijn. Gebruik hiervoor de Profiel (Profiel, test) of debugpagina zoals in stap 2 aangegeven. Controleer of alle voor jullie gangbare browsers. Stuur ons bij deze stap niet de debug info. Controleer op onze test pagina's zelf of je de attributen ziet zoals verwacht.
  8. Geef aan wanneer je de migratie wilt uitvoeren. Het volgende hangt hier mee samen:

    1. Een vooraankondiging van de migratie wordt door ons een week voordien verstuurd naar de technisch contactpersoon van

    Wij zullen ruim voor de dag van migratie

    1. diensten met een eigen WAYF (Where Are You From)

    inlichten dat het entityID van jullie IdP gaat veranderen. Deze diensten blijven tot nader orde op beide IdPs aangesloten, dus ook nadat je nieuwe IdP in bedrijf is. Het bijwerken van de WAYF gaat bij de ene dienst sneller dan de andere dus hier beginnen we op tijd mee. Hoewel diensten van Topdesk geen WAYF tonen moeten ook voor instanties van Topdesk de nieuwe IdP ingesteld worden. Dit is aan de instelling om te configureren dan wel aan te geven bij Topdesk met een mail naar premiumsupport@topdesk.com. SURFnet kan je de informatie geven die je nodig hebt voor de migratie. Je ontvangt een lijst met diensten die hun eigen WAYF hebben.
  9. Tot slot: geef bij ons aan wanneer je de migratie gaat uitvoeren.

...

    1. .

    2. Indien nodig wordt de nieuwe één dag voor migratie toegevoegd aan de eduGAIN-feed. De IdP is dan op de dag van de migratie opgenomen in eduGAIN.
    3. Indien van toepassing, worden statische Step-up, MFA en Consent-regels van de oude IdP naar de nieuwe IdP overgezet.
    4. Waar van toepassing zal de nieuwe IdP worden opgenomen in de access- en step-up policies van de SURFconext Policy Engine (PDP).

De migratie

Op de dag van migratie doorlopen we de volgende stappen:

  1. We gaan verplaatsen de nieuwe IdP naar de productie omgeving van SURFconext verplaatsen. Zorg dat jouw de IdP ook naar de productieomgeving van SURFconext verwijst..
  2. Wij zetten alle diensten over van de oude naar de nieuwe IdP. Diensten met een eigen WAYF blijven verbonden met beide.
  3. Jullie testen de nieuwe IdP op diensten die gebruik maken van de SURFconext WAYF. Stel ons op de hoogte De instelling zal gaan testen of de nieuwe IdP goed werkt op de gekoppelde diensten en zal SURFnet informeren als er problemen zijn. 
    1. Bij problemen zal er overlegd worden. Indien nodig vallen we terug op de oude IdP.
    2. Test met alle accounttypes (employee, student, etc).
    3. Test statische step-up (MFA en/of SURFsecureID) en controleer de access- en step-up policy rules.

De dagen na migratie

  1. Wij sturen herinneringen naar diensten die een WAYF gebruiken om de nieuwe instantie te gebruiken. Controleer dit in de dagen (en soms weken) na migratie. De oude IdP blijft in gebruik totdat de laatste dienst over is!
  2. De oude IdP wordt uit eduGAIN verwijderd.
  3. Als de laatste dienst is ontkoppeld, gaat de oude IdP offline. Deze wordt verwijderd uit SURFconext. Wij hebben een backup tot ons beschikking gaan we kijken wat we er aan kunnen doen. Als de problemen niet opgelost kunnen worden zal op het niveau van SURFconext de oude configuratie terug gezet worden. Je kunt tot nader orde de oude IdP gebruiken.Als alles goed is gegaan zal de oude IdP offline gehaald worden dan wel verplaatsen naar de test omgeving van SURFconext waardoor deze onzichtbaar wordt in de WAYF van de aangesloten diensten. De oude IdP zal pas offline gehaald worden als alle diensten over zijn, dus ook diensten met hun eigen WAYF. Dat laatste duurt soms wel even.


Info

Omdat een dienst zelf kan bepalen of deze gebruik maakt van de WAYF die van SURFconext aanbied of zelf een lokale WAYF heeftde eigen WAYF wordt getoond, hebben wij geen volledig niet direct inzicht in de diensten die een eigen WAYF implementeren en waarvan de metadata niet dynamisch wordt bijgewerktimplementatie bij migratie. Zelfs bij diensten waarbij de metadata wel automatisch wordt bijgewerkt is een kortstondige uitval (de onvermijdelijk. De tijd tussen de deze updates welke kunnen tussen de 5 minuten en of zelfs 24 uur kan liggen) onvermijdelijkliggen. Soms duurt de overgang weken.


Als we bovenstaande alle stappen hebben doorlopen ben je gemigreerd naar je nieuwe IdP. Als wij ons werk het goed hebben gedaan hebben gebruikers er niets van gemerkt en hebben ze gedurende de migratie gewoon gebruik kunnen maken van de op SURFconext aangesloten diensten via jouw IdP tijdens de migratie.