KNF:IdP-migratie: verschil tussen versies
(Nieuwe pagina aangemaakt met 'Timing is belangrijk! Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden....') |
|||
(17 tussenliggende versies door dezelfde gebruiker niet weergegeven) | |||
Regel 1: | Regel 1: | ||
⚫ | |||
− | Timing is belangrijk! |
||
+ | ==Migratie stappen== |
||
− | |||
+ | # Test eerst op het oude platform '''productie''': https://referentie.entree.kennisnet.nl/referentiesp '''staging''': https://referentie-s.entree.kennisnet.nl/referentiesp |
||
⚫ | |||
+ | # Maak een screenshot van de attributen |
||
− | |||
+ | # Migreer eerst de staging omgeving indien die beschikbaar |
||
+ | # Test na migratie of de attributen '''uid''' en '''NameId''' gelijk zijn |
||
+ | # Wijzig het endpoint voor de [[KNF:SSO_notificatie_middels_een_redirect|SSO notificatie]] |
||
==Metadata Entree Federatie== |
==Metadata Entree Federatie== |
||
− | De metadata url's van het '''nieuwe |
+ | De metadata url's van het '''nieuwe platform''' van Entree Federatie |
* '''Productie:''' https://engine.entree.kennisnet.nl/authentication/sp/metadata |
* '''Productie:''' https://engine.entree.kennisnet.nl/authentication/sp/metadata |
||
* '''Staging:''' https://engine.entree-s.kennisnet.nl/authentication/sp/metadata |
* '''Staging:''' https://engine.entree-s.kennisnet.nl/authentication/sp/metadata |
||
− | == |
+ | ==Migratie van de IdP '''staging''' koppeling== |
− | Stuur een verzoek naar Kennisnet om de IdP koppeling beschikbaar te maken op de nieuwe |
+ | Stuur een verzoek naar Kennisnet om de staging IdP koppeling beschikbaar te maken op de nieuwe platform. |
⚫ | |||
⚫ | |||
⚫ | |||
− | Metadata van de nieuwe Entree Federatie staging importeren: |
||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
+ | ==ADFS Migratie script== |
||
− | Authenticatie en doorgifte attributen testen met de Referentie Service Provider: |
||
+ | Hieronder staat een script voor het migreren van de ADFS koppeling met Entree Federatie. Het script kopieert de oude koppeling en maakt een nieuwe koppeling met het nieuwe platform van Entree Federatie. |
||
⚫ | |||
+ | Belangrijk aandachtspunt zijn de variabelen '''$oldRelyingPartyId''' en '''$newRelyingPartyId'''. |
||
⚫ | |||
+ | Uiteraard moeten die aangepast worden voor een staging migratie. |
||
⚫ | |||
− | https://developers.wiki.kennisnet.nl/index.php?title=KNF:SSO_notificatie_middels_een_redirect |
||
+ | Daarnaast kan het zijn dat ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval de $oldRelyingPartyId aanpassen. Deze wordt gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren (als die niet met elkaar overeenkomen gebeurt er niks). |
||
⚫ | |||
⚫ | |||
+ | De metadata refresh wordt automatisch aangezet. |
||
⚫ | |||
+ | De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren. |
||
⚫ | |||
+ | <syntaxhighlight lang="bash"> |
||
− | Authenticatie en doorgifte attributen testen met de Referentie Service Provider: |
||
+ | # Envs |
||
⚫ | |||
+ | $oldRelyingPartyId = "https://aselect.entree.kennisnet.nl" |
||
⚫ | |||
+ | # Add new Entree Federation relying party trust |
||
+ | Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId |
||
+ | # Copy claim rules from old Entree Federation |
||
+ | Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName |
||
+ | # Remove temp file |
||
+ | Remove-Item -Path "C:\federatie-copy-*-tmp.txt" |
||
+ | </syntaxhighlight> |
||
+ | |||
⚫ | |||
⚫ | |||
+ | *[[KNF:SSO_notificatie_middels_een_redirect|SSO notificatie middels redirect instellen]] |
Huidige versie van 11 mei 2023 om 15:05
Timing is belangrijk! Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden.
Migratie stappen
- Test eerst op het oude platform productie: https://referentie.entree.kennisnet.nl/referentiesp staging: https://referentie-s.entree.kennisnet.nl/referentiesp
- Maak een screenshot van de attributen
- Migreer eerst de staging omgeving indien die beschikbaar
- Test na migratie of de attributen uid en NameId gelijk zijn
- Wijzig het endpoint voor de SSO notificatie
Metadata Entree Federatie
De metadata url's van het nieuwe platform van Entree Federatie
- Productie: https://engine.entree.kennisnet.nl/authentication/sp/metadata
- Staging: https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
Migratie van de IdP staging koppeling
Stuur een verzoek naar Kennisnet om de staging IdP koppeling beschikbaar te maken op de nieuwe platform.
- Metadata van de nieuwe Entree Federatie staging importeren: https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
- Authenticatie en doorgifte attributen testen met de Referentie Service Provider: https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML-testaccepted
Migratie van de IdP productie koppeling
Moment van migratie afspreken met Kennisnet.
- Metadata van de nieuwe Entree Federatie productie importeren: https://engine.entree.kennisnet.nl/authentication/sp/metadata
- Authenticatie en doorgifte attributen testen met de Referentie Service Provider: https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML
ADFS Migratie script
Hieronder staat een script voor het migreren van de ADFS koppeling met Entree Federatie. Het script kopieert de oude koppeling en maakt een nieuwe koppeling met het nieuwe platform van Entree Federatie.
Belangrijk aandachtspunt zijn de variabelen $oldRelyingPartyId en $newRelyingPartyId. Uiteraard moeten die aangepast worden voor een staging migratie.
Daarnaast kan het zijn dat ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval de $oldRelyingPartyId aanpassen. Deze wordt gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren (als die niet met elkaar overeenkomen gebeurt er niks).
De metadata refresh wordt automatisch aangezet. De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren.
# Envs
$oldRelyingPartyId = "https://aselect.entree.kennisnet.nl"
$newRelyingPartyId = "https://engine.entree.kennisnet.nl/authentication/sp/metadata"
# Add new Entree Federation relying party trust
Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId
# Copy claim rules from old Entree Federation
Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName
# Remove temp file
Remove-Item -Path "C:\federatie-copy-*-tmp.txt"
SSO notificatie
SSO notificatie endpoint aanpassen naar nieuwe endpoint. De SSO notificatie via redirect uitvoeren, andere opties worden door browsers steeds minder ondersteund.