KNF:IdP-migratie: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
(Nieuwe pagina aangemaakt met 'Timing is belangrijk! Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden....')
 
 
(17 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 1: Regel 1:
 
Timing is belangrijk! Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden.
Timing is belangrijk!
 
  +
==Migratie stappen==
 
  +
# Test eerst op het oude platform '''productie''': https://referentie.entree.kennisnet.nl/referentiesp '''staging''': https://referentie-s.entree.kennisnet.nl/referentiesp
Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden.
 
  +
# Maak een screenshot van de attributen
 
  +
# Migreer eerst de staging omgeving indien die beschikbaar
  +
# Test na migratie of de attributen '''uid''' en '''NameId''' gelijk zijn
  +
# Wijzig het endpoint voor de [[KNF:SSO_notificatie_middels_een_redirect|SSO notificatie]]
   
 
==Metadata Entree Federatie==
 
==Metadata Entree Federatie==
De metadata url's van het '''nieuwe technische platform''' van Entree Federatie
+
De metadata url's van het '''nieuwe platform''' van Entree Federatie
 
* '''Productie:''' https://engine.entree.kennisnet.nl/authentication/sp/metadata
 
* '''Productie:''' https://engine.entree.kennisnet.nl/authentication/sp/metadata
 
* '''Staging:''' https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
 
* '''Staging:''' https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
   
==Testen IdP acceptatie koppeling==
+
==Migratie van de IdP '''staging''' koppeling==
Stuur een verzoek naar Kennisnet om de IdP koppeling beschikbaar te maken op de nieuwe staging omgeving.
+
Stuur een verzoek naar Kennisnet om de staging IdP koppeling beschikbaar te maken op de nieuwe platform.
 
* Metadata van de nieuwe Entree Federatie staging importeren: https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
 
* Authenticatie en doorgifte attributen testen met de Referentie Service Provider: https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML-testaccepted
   
 
==Migratie van de IdP '''productie''' koppeling==
Metadata van de nieuwe Entree Federatie staging importeren:
 
 
Moment van migratie afspreken met Kennisnet.
https://engine.entree-s.kennisnet.nl/authentication/sp/metadata
 
 
* Metadata van de nieuwe Entree Federatie productie importeren: https://engine.entree.kennisnet.nl/authentication/sp/metadata
 
* Authenticatie en doorgifte attributen testen met de Referentie Service Provider: https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML
   
  +
==ADFS Migratie script==
Authenticatie en doorgifte attributen testen met de Referentie Service Provider:
 
  +
Hieronder staat een script voor het migreren van de ADFS koppeling met Entree Federatie. Het script kopieert de oude koppeling en maakt een nieuwe koppeling met het nieuwe platform van Entree Federatie.
https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML-testaccepted
 
   
  +
Belangrijk aandachtspunt zijn de variabelen '''$oldRelyingPartyId''' en '''$newRelyingPartyId'''.
==SSO notificatie==
 
  +
Uiteraard moeten die aangepast worden voor een staging migratie.
SSO notificatie endpoint aanpassen naar nieuwe endpoint. De SSO notificatie via redirect uitvoeren, andere opties worden door browsers steeds minder ondersteund.
 
https://developers.wiki.kennisnet.nl/index.php?title=KNF:SSO_notificatie_middels_een_redirect
 
   
  +
Daarnaast kan het zijn dat ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval de $oldRelyingPartyId aanpassen. Deze wordt gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren (als die niet met elkaar overeenkomen gebeurt er niks).
==Migratie van de IdP productie koppeling==
 
Moment van migratie afspreken met Kennisnet.
 
   
  +
De metadata refresh wordt automatisch aangezet.
Metadata van de nieuwe Entree Federatie productie importeren:
 
  +
De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren.
https://engine.entree.kennisnet.nl/authentication/sp/metadata
 
   
  +
<syntaxhighlight lang="bash">
Authenticatie en doorgifte attributen testen met de Referentie Service Provider:
 
  +
# Envs
https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML
 
  +
$oldRelyingPartyId = "https://aselect.entree.kennisnet.nl"
 
$newRelyingPartyId = "https://engine.entree.kennisnet.nl/authentication/sp/metadata"
  +
# Add new Entree Federation relying party trust
  +
Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId
  +
# Copy claim rules from old Entree Federation
  +
Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName
  +
# Remove temp file
  +
Remove-Item -Path "C:\federatie-copy-*-tmp.txt"
  +
</syntaxhighlight>
  +
 
==SSO notificatie==
 
SSO notificatie endpoint aanpassen naar nieuwe endpoint. De SSO notificatie via redirect uitvoeren, andere opties worden door browsers steeds minder ondersteund.
  +
*[[KNF:SSO_notificatie_middels_een_redirect|SSO notificatie middels redirect instellen]]

Huidige versie van 11 mei 2023 om 15:05

Timing is belangrijk! Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden.

Migratie stappen

  1. Test eerst op het oude platform productie: https://referentie.entree.kennisnet.nl/referentiesp staging: https://referentie-s.entree.kennisnet.nl/referentiesp
  2. Maak een screenshot van de attributen
  3. Migreer eerst de staging omgeving indien die beschikbaar
  4. Test na migratie of de attributen uid en NameId gelijk zijn
  5. Wijzig het endpoint voor de SSO notificatie

Metadata Entree Federatie

De metadata url's van het nieuwe platform van Entree Federatie

Migratie van de IdP staging koppeling

Stuur een verzoek naar Kennisnet om de staging IdP koppeling beschikbaar te maken op de nieuwe platform.

Migratie van de IdP productie koppeling

Moment van migratie afspreken met Kennisnet.

ADFS Migratie script

Hieronder staat een script voor het migreren van de ADFS koppeling met Entree Federatie. Het script kopieert de oude koppeling en maakt een nieuwe koppeling met het nieuwe platform van Entree Federatie.

Belangrijk aandachtspunt zijn de variabelen $oldRelyingPartyId en $newRelyingPartyId. Uiteraard moeten die aangepast worden voor een staging migratie.

Daarnaast kan het zijn dat ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval de $oldRelyingPartyId aanpassen. Deze wordt gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren (als die niet met elkaar overeenkomen gebeurt er niks).

De metadata refresh wordt automatisch aangezet. De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren.

# Envs
$oldRelyingPartyId = "https://aselect.entree.kennisnet.nl"
$newRelyingPartyId = "https://engine.entree.kennisnet.nl/authentication/sp/metadata"
# Add new Entree Federation relying party trust
Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId
# Copy claim rules from old Entree Federation
Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName
# Remove temp file
Remove-Item -Path "C:\federatie-copy-*-tmp.txt"

SSO notificatie

SSO notificatie endpoint aanpassen naar nieuwe endpoint. De SSO notificatie via redirect uitvoeren, andere opties worden door browsers steeds minder ondersteund.