Soms is het onvermijdelijk dat je iets moet veranderen aan de configuratie van je Identity Provider-systeem, bijvoorbeeld door een overstap naar een ander softwarepakket, of vanwege een fusie van je organisatie met een andere organisatie. Je loopt een grote kans dat deze verandering zorgt voor verstoring van de dienst, variërend van een aantal (werk)dagen tot twee weken. SURFnet raadt dan ook iedereen aan alleen wijzigingen door te voeren als dit strikt noodzakelijk is.

Impact wijziging

De impact van een wijziging in je Identity Provider-systeem is erg situatieafhankelijk en hangt nauw samen met welke diensten je al gebruikt via SURFconext.

Het onderstaande lijstje geeft een indruk van wat de impact van bepaalde wijzigingen zou kunnen zijn:

• Het veranderen van het attribuut 'schacHomeOrganization' kan ertoe leiden dat:
  • Gebruikers hun content bij de Service Providers kwijtraken (omdat het attribuut 'NameID' ook verandert). Bij SURFspot zorgt dit er bijvoorbeeld voor dat de productkluis van de gebruiker leeg is, omdat de gebruiker wordt gezien als een nieuwe gebruiker.
  • Gebruikers raken hun teamlidmaatschap kwijt, waardoor zij niet meer bij diensten kunnen die op groepsniveau zijn afgeschermd.

• Het veranderen van het 'EntityID' van de organisatie leidt ertoe dat:
  • Alle Service Providers het oude 'EntityID' moeten vervangen door het nieuwe 'Entity ID'
  • SURFnet zal in het dashboard van SURFconext de rechten moeten aanpassen

Deze lijst bevat slechts enkele voorbeelden. SURFnet weet niet van elke Service Provider hoe zij elk attribuuut gebruiken. Een Service Provider kan er bijvoorbeeld voor kiezen om aan de hand van bepaalde attributen zelf een unieke identifer te maken. Hierdoor is het moeilijk om van tevoren in te schatten welke impact een wijziging van een attribuut heeft.

Voordat je wat gaat wijzigen aan je Identity Provider, moet je contact opnemen met het SURFconext-team. Zij kunnen je informeren over de impact van de voorgestelde wijziging, een schattig geven van de duur van de verstoring en advies geven over de stappen die je moet nemen. Ook als je advies wilt inwinnen of de wijziging misschien op een andere manier opgelost kan worden, kun je contact met ze opnemen. Stuur een e-mail naar surfconext-beheer@surfnet.nl.

Procedure

Als je jouw Identity Provider-systeem wilt vervangen door een nieuw Identity Provider-systeem, dan moet je de onderstaande stappen doorlopen:

1. Neem contact op met surfconext-beheer@surfnet.nl om de planning van de migratie af te stemmen.
2. Richt het nieuwe Identity Provider-systeem in en koppel deze aan de SURFconext DIY-omgeving.
3. Het SURFconext-team neemt het nieuwe Identity Provider-systeem op in de productieomgeving van SURFconext. Hiervoor voert het SURFconext-team onderstaande acties uit:
   1. Het nieuwe Identity Provider-systeem koppelen aan de productie-omgeving van SURFconext.
   2. De toegang naar de huidige diensten openzetten voor het nieuwe Identity Provider-systeem.
   3. Het oude Identity Provider-systeem 'hidden' maken in de WAYF op de SURFconext gateway. Transparant aangesloten Service Providers die (nog) gebruikmaken van het oude Identity Provider-systeem blijven werken. Een transparant aangesloten Service Provider maakt gebruik van een eigen WAYF-scherm (bijvoorbeeld SURFspot).
4. Het SURFconext team stuurt transparant aangesloten Service Providers een verzoek om de nieuwe Identity Provider te gaan gebruiken. De gemiddelde doorlooptijd hiervan is 2 weken. In de logs op de SURFconext-gateway kan het SURFconext-team zien welke Service Providers het oude Identity Provider-systeem nog gebruiken.
5. Het oude Identity Provider-system wordt uit de productie-omgeving van SURFconext verwijderd als alle Service Providers over zijn op het nieuwe Identity Provider-systeem.