...
- We hebben een akkoord nodig van de SURFconext verantwoordelijke van jouw instelling voor het overzetten van de oude IdP naar de nieuwe IdP. Een mail naar support@surfconext.nl van de SURFconextverantwoordelijke volstaat hiervoor.
- We gaan de nieuwe IdP opvoeren in onze testomgeving of in onze productieomgeving, afhankelijk van hoe je wilt testen. Hiervoor hebben we de metadata van de IdP nodig.
- Daarna gaan we controleren of de attributen van de oude IdP gelijk zijn aan de attributen van de nieuwe IdP. Dit is met name van belang voor de uid, schacHomeOrganization. Deze zijn essentieel zijn voor de identificatie van de gebruiker op de aangesloten diensten. Als een je hier toch iets verandert zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als deze attributen gelijk blijven zullen de gebruikersprofielen bij diensten bewaard blijven. Zie ook onze attributen pagina. Stuur ons de attributen van een zelfde gebruikersaccount van de nieuwe én de oude IdP door aan te melden in een private sessie van je browser op https://engine.surfconext.nl/authentication/sp/debug en ons de attributen sturen door te klikken, onderaan de pagina, op de knop "Mail naar SURFconext-Beheer". Als je Identity Provider op onze testomgeving is gedefinieerd kun je ons de attributen daarvan sturen door te navigeren naar https://engine.test.surfconext.nl/authentication/sp/debug.
- Zorg dat je de end-points, de SingleSignOnService-locaties, op je IdP een minimale score 'B' heeft op SSL-Labs. Het zal doorgaans zo zijn dat je bij een upgrade minimaal 'A' scoort omdat je systeem weer bij de tijd is. Als je hier niet aan voldoet sluiten we de IdP niet aan op productieomgeving van SURFconext. Je hebt nog tot aan de dag van de migratie om dit op te lossen.
- Voordat de migratie ingezet wordt gaan we er van uit dat alles grondig is getest in de test-omgeving van SURFconext. Test met alle browsers en let er op dat bij browsers van Microsoft de Windows Authentication in je Microsoft ADFS correct geconfigureerd is: Chrome, Safari, Firefox, Opera, Edge, Internet Explorer, ...
- Wij zullen ruim voor de dag van migratie diensten met een eigen WAYF (Where Are You From) inlichten dat het entityID van jullie IdP gaat veranderen. Deze diensten blijven tot nader orde op beide IdPs aangesloten, dus ook nadat je nieuwe IdP in bedrijf is. Het bijwerken van de WAYF gaat bij de ene dienst sneller dan de andere dus hier beginnen we op tijd mee. Hoewel diensten van Topdesk geen WAYF tonen moeten ook voor instanties van Topdesk de nieuwe IdP ingesteld worden. Dit is aan de instelling om te configureren dan wel aan te geven bij Topdesk met een mail naar premiumsupport@topdesk.com. SURFnet kan je de informatie geven die je nodig hebt voor de migratie. Je ontvangt een lijst met diensten die hun eigen WAYF hebben.
- Tot slot: geef bij ons aan wanneer je de migratie gaat uitvoeren.
...