Versions Compared

Old Version 4

changes.mady.by.user Unknown User (urn:collab:person:surfnet.nl:eefje)

Saved on

compared with

New Version Current

changes.mady.by.user Jan Michielsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Soms is het onvermijdelijk dat je iets moet veranderen aan de configuratie van je Identity Provideridentity provider-systeem, bijvoorbeeld door een overstap naar een ander softwarepakket, of vanwege een fusie van je organisatie met een andere organisatie. Je loopt een grote kans dat deze verandering zorgt voor verstoring van de dienst, variërend van een aantal (werk)dagen tot twee weken. SURFnet raadt dan ook iedereen aan alleen wijzigingen door te voeren als dit strikt noodzakelijk is.

...

. Op deze pagina vind je richtlijnen hoe om te gaan met aanpassingen aan je IdP en welke procedures er zijn voor aanpassingen.


Impact wijziging

De impact van een wijziging in je Identity Providerof upgrade van je identity provider-systeem is erg situatieafhankelijk afhankelijk van de omstandigheden en hangt nauw samen met welke diensten je al gebruikt via SURFconext. Het De onderstaande lijstje lijst geeft een indruk van wat de impact van bepaalde die wijzigingen zou kunnen zijnhebben:

  • Het veranderen van het attribuut 'urn:mace:dir:attribute-def:uid', 'urn:mace:terena.org:attribute-def:schacHomeOrganization' of 'urn:mace:dir:attribute-def:eduPersonPrincipalName' kan ertoe leiden dat : de toegang tot diensten wordt ontzegd, en wel hierom:
    • Het NameID, zoals gebruikt in de SAML assertion naar de service provider bij het aanmelden op de dienst, is een samenstelling van de attributen uid, schacHomeOrganization, het Entity ID van de service provider samen met een geheim dat gebruik maakt van een SHA-algoritme. Als een instelling of dienstverlener er voor kiest bij een dienst die al in productie is één van deze attributen aan te passen zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten.
    • Gebruikers kunnen hun teamlidmaatschap kwijt raken
    • Gebruikers hun content bij de Service Providers kwijtraken (omdat het attribuut 'NameID' ook verandert). Bij SURFspot zorgt dit er bijvoorbeeld voor dat de productkluis van de gebruiker leeg is, omdat de gebruiker wordt gezien als een nieuwe gebruiker.
    • Gebruikers raken hun teamlidmaatschap kwijt, waardoor zij niet meer bij diensten kunnen die op groepsniveau zijn afgeschermd.
  • Het veranderen van het 'EntityID' van de organisatie leidt ertoe dat : Alle Service Providers sommige service providers het oude 'EntityID' moeten vervangen door het nieuwe 'Entity ID'
  • SURFnet zal in het dashboard van SURFconext de rechten moeten aanpassen
    • EntityID'. Dit is het geval bij diensten die gebruik maken van een eigen WAYF. Dit komt vaak voor omdat de upgrade van een IdP dit doorgaans tot gevolg heeft en hier hebben we een werkinstructie voor opgesteld. Dit zou niet hoeven te lijden tot onderbreking van toegang tot diensten.

Dit zijn een paar voorbeelden. SURF weet niet van elke service provider hoe zij elk attribuut gebruiken. Een service provider Deze lijst bevat slechts enkele voorbeelden. SURFnet weet niet hoe een Service Provider elk attribuuut gebruikt. Een Service Provider kan er bijvoorbeeld voor kiezen om aan de hand van bepaalde attributen zelf een unieke identifer te maken. Hierdoor is het moeilijk om van tevoren in te schatten welke impact een wijziging van een attribuut heeft.

Voordat je wat gaat wijzigen aan je identity provider, moet je contact opnemen met het SURFconext-team. Zij kunnen je informatie geven Doe dit op tijd. Wij zullen je informeren over de impact van de voorgestelde wijziging, een schattig geven van de duur van de verstoring en advies geven over de stappen die je moet nemenvan eventuele onderbrekingen van toegang tot diensten en aangeven welke stappen je moet doorlopen. Ook als je advies wilt inwinnen of de wijziging misschien op een andere manier opgelost kan worden, kun je contact met ze opnemendat aangeven. Stuur een e-mail naar surfconext-beheer@surfnet support@surfconext.nl.

Procedure

Als je jouw Identity Provideridentity provider-systeem wilt vervangen door een nieuw Identity Provideridentity provider-systeem, dan moet je de onderstaande stappen doorlopen:

  1. Neem contact op met surfconext-beheer@surfnet support@surfconext.nl om de planning van de migratie af te stemmen.
  2. Richt het nieuwe Identity Provideridentity provider-systeem in en koppel deze aan de SURFconext DIY-omgevingtestomgeving.
  3. Het SURFconext-team neemt het nieuwe Identity Provideridentity provider-systeem op in de productieomgeving van SURFconext. Hiervoor voert het SURFconext-team onderstaande acties uit:
    1. Het nieuwe Identity Provideridentity provider-systeem koppelen aan de productie-omgeving van SURFconext.
    2. De toegang naar de huidige diensten openzetten voor het nieuwe Identity Provideridentity provider-systeem.
    3. Het oude Identity Provideridentity provider-systeem 'hiddenverbergen' maken in de WAYF op de SURFconext gateway. Transparant aangesloten Service Providers service providers die (nog) gebruikmaken van het oude Identity Provideridentity provider-systeem blijven werken. Een transparant aangesloten service provider maakt gebruik van een eigen WAYF-scherm (bijvoorbeeld SURFspot).
  4. Het SURFconext team stuurt transparant aangesloten Service Providers service providers een verzoek om de nieuwe Identity Provider identity provider te gaan gebruiken. De gemiddelde doorlooptijd hiervan is 2 weken maar soms ook langer. In de logs op de SURFconext-gateway kan het SURFconext-team zien welke Service Providers service providers het oude Identity Provideridentity provider-systeem nog gebruiken.
  5. Het oude Identity Provideridentity provider-system wordt uit de productie-omgeving van SURFconext verwijderd als alle Service Providers service providers over zijn op het nieuwe Identity Provideridentity provider-systeem.