Een migratie van een identity provider is heel gebruikelijk als er een upgrade aan je identity provider wordt uitgevoerd. Zo kan het zijn dat je je Microsoft ADFS 3.0 omgeving upgrade naar Microsofts cloud oploassing, Azure. Dan zijn er wijzigingen, zoals het entityID van je IdP. Ook de single sign-on locaties zullen dan wijzigen. De entityID van de IdP wordt door SURFconext gebruikt voor het uniek identificeren van de IdP en kan daarom maar één keer voorkomen in de beheersystemen van SURFconext. In de context van deze migratie wordt er van uit gegaan dat de nieuwe IdP dus een nieuw EntityID krijgt. Als de nieuwe IdP eenzelfde entityID krijgt zal een ander pad gevolgd moeten worden. Voor de migratie van de IdP moeten de volgende stappen doorlopen worden.

Voorbereiden Migratie

We beginnen met de voorbereidende werkzaamheden.

  1. We hebben een akkoord nodig van de SURFconext verantwoordelijke van jouw instelling voor het overzetten van de oude IdP naar de nieuwe IdP. Een mail naar support@surfconext.nl volstaat hiervoor.
  2. Vervolgens gaan we verifiëren of alle metadata van de nieuwe IdP beschikbaar is om deze op te voeren in onze testomgeving of in onze productieomgeving.
  3. Daarnaast controleren of de attributen van de oude IdP gelijk zijn aan de attributen van de nieuwe IdP. Dit is met name van belang voor de uid, schacHomeOrganization. Deze zijn essentieel zijn voor de identificatie van de gebruiker op de aangesloten diensten. Als een je hier toch iets verandert zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als deze attributen gelijk  blijven zullen de gebruikersprofielen bij diensten bewaard blijven. Zie ook onze attributen pagina. Dit doe je door met een zelfde gebruikersaccount op de oude en op de nieuwe én de oude IdP aan te melden (liefst in een private sessie van je browser) op https://engine.surfconext.nl/authentication/sp/debug en ons de attributen sturen door te klikken (onderaan de pagina) op de knop "Mail naar SURFconext-Beheer". Als je Identity Provider op onze testomgeving is gedefinieerd kun je ons de attributen daarvan sturen door te navigeren naar https://engine.test.surfconext.nl/authentication/sp/debug.
  4. Zorg dat je de end-points, de SingleSignOnService-locaties, op je IdP een minimale score 'B' heeft op SSL-Labs. Het zal doorgaans zo zijn dat je bij een upgrade minimaal 'A' scoort omdat je systeem weer bij de tijd is. Als je hier niet aan voldoet sluiten we de IdP niet aan op productieomgeving van SURFconext.
  5. Voordat de migratie ingezet wordt gaan we er van uit dat alles grondig is getest in de test-omgeving van SURFconext. Test met alle browsers en let er op dat bij browsers van Microsoft de Windows Authentication in je Microsoft ADFS correct geconfigureerd is.
  6. Wij zullen diensten inlichten dat het entityID van jullie IdP gaat veranderen. Dit is het geval voor diensten met een eigen Where Are You From (WAYF) en deze blijven tot nader orde op beide IdPs aangesloten. Dit gaat voor de ene dienst sneller dan de andere dus hier moeten we op tijd mee beginnen. Hoewel diensten van Topdesk geen WAYF tonen moeten ook voor instanties van Topdesk de nieuwe IdP ingesteld worden. Dit is aan de instelling om te configureren dan wel aan te geven bij Topdesk met een mail naar premiumsupport@topdesk.com. SURFnet kan je de informatie geven die je nodig hebt voor de migratie. Je ontvangt een lijst met diensten die hun eigen WAYF hebben.
  7. Geef bij ons aan wanneer je de migratie gaat uitvoeren.

De dag van migratie

Op de dag van migratie doorlopen we de volgende stappen:

  1. We gaan de nieuwe IdP naar de productie omgeving van SURFconext verplaatsen. Zorg dat jouw IdP ook naar de productieomgeving van SURFconext verwijst.
  2. De instelling zal gaan testen of de nieuwe IdP goed werkt op de gekoppelde diensten en zal SURFnet informeren indien er problemen zijn.
  3. Bij problemen zal overlegd worden. Als de problemen niet opgelost kunnen worden zal op het niveau van SURFconext zal de oude configuratie terug gezet worden.
  4. Als alles goed is gegaan zal de oude IdP offline gehaald worden dan wel verplaatsen naar de test omgeving van SURFconext waardoor deze onzichtbaar wordt in de WAYF van de aangesloten diensten. De oude IdP zal pas offline gehaald worden als alle diensten over zijn, dus ook diensten met hun eigen WAYF.

Omdat een dienst zelf kan bepalen of deze gebruik maakt van de WAYF die SURFconext aanbied of zelf een lokale WAYF heeft, hebben wij geen volledig inzicht in de diensten die een eigen WAYF implementeren en waarvan de metadata niet dynamisch wordt bijgewerkt. Zelfs bij diensten waarbij de metadata wel automatisch wordt bijgewerkt is een kortstondige uitval (de tijd tussen de updates welke tussen de 5 minuten en 24 uur kan liggen) onvermijdelijk.





  1. Opmerking 1: De entityID van de IdP wordt door SURFconext gebruikt voor het uniek identificeren van de IdP en kan derhalve in de context van SURFconext maar één keer voorkomen. In de context van deze migratie wordt er van uit gegaan dat de nieuwe IdP een ander EntityID krijgt. Als de nieuwe IdP eenzelfde entityID krijgt zal een ander pad gevolgd moeten worden.
  2. Opmerking 2: Je zult met een zelfde gebruikersaccount op de oude en op de nieuwe IdP moeten aanloggen (liefst in een private sessie van je browser) op https://engine.surfconext.nl/authentication/sp/debug en ons de attributen sturen door te klikken (onderaan de pagina) op de knop "Mail naar SURFconext-Beheer".