KNF:IdP-migratie: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
Regel 29: Regel 29:
 
* Authenticatie en doorgifte attributen testen met de Referentie Service Provider:
 
* Authenticatie en doorgifte attributen testen met de Referentie Service Provider:
 
https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML
 
https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML
  +
  +
==ADFS Migratie script==
  +
Hieronder staat een migratie script voor ADFS.
  +
  +
Belangrijk aandachtspunt zijn de variabelen '''$oldRelyingPartyId''' en '''$newRelyingPartyId'''.
  +
Uiteraard moeten die aangepast worden voor een staging migratie.
  +
  +
Daarnaast kan het zijn dat een ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval moeten ze het $oldRelyingPartyId aanpassen. Deze wordt namelijk gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren en als die dus niet met elkaar overeenkomen dan gebeurt er niks.
  +
  +
De metadata refresh wordt automatisch aangezet.
  +
De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren.
  +
  +
<syntaxhighlight lang="bash">
  +
# Envs
  +
$oldRelyingPartyId = "https://aselect.entree.kennisnet.nl"
  +
$newRelyingPartyId = "https://engine.entree.kennisnet.nl/authentication/sp/metadata"
  +
# Add new Entree Federation relying party trust
  +
Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId
  +
# Copy claim rules from old Entree Federation
  +
Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName
  +
# Remove temp file
  +
Remove-Item -Path "C:\federatie-copy-*-tmp.txt"
  +
</syntaxhighlight>

Versie van 25 apr 2023 09:12

Timing is belangrijk!

Als de migratie niet tegelijkertijd bij de IdP en Kennisnet wordt uitgevoerd dan kunnen authenticatie verzoeken verkeerd gerouteerd worden.


Metadata Entree Federatie

De metadata url's van het nieuwe technische platform van Entree Federatie

Testen IdP acceptatie koppeling

  • Stuur een verzoek naar Kennisnet om de IdP koppeling beschikbaar te maken op de nieuwe staging omgeving.
  • Metadata van de nieuwe Entree Federatie staging importeren:

https://engine.entree-s.kennisnet.nl/authentication/sp/metadata

  • Authenticatie en doorgifte attributen testen met de Referentie Service Provider:

https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML-testaccepted

SSO notificatie

SSO notificatie endpoint aanpassen naar nieuwe endpoint. De SSO notificatie via redirect uitvoeren, andere opties worden door browsers steeds minder ondersteund.

Migratie van de IdP productie koppeling

  • Moment van migratie afspreken met Kennisnet.
  • Metadata van de nieuwe Entree Federatie productie importeren:

https://engine.entree.kennisnet.nl/authentication/sp/metadata

  • Authenticatie en doorgifte attributen testen met de Referentie Service Provider:

https://referentie.entree.kennisnet.nl/saml/module.php/core/authenticate.php?as=OpenConext-SAML

ADFS Migratie script

Hieronder staat een migratie script voor ADFS.

Belangrijk aandachtspunt zijn de variabelen $oldRelyingPartyId en $newRelyingPartyId. Uiteraard moeten die aangepast worden voor een staging migratie.

Daarnaast kan het zijn dat een ADFS het Entree Federatie entityId ‘aselect.entree.kennisnet.nl’ verwacht. In dat geval moeten ze het $oldRelyingPartyId aanpassen. Deze wordt namelijk gebruikt om de oude koppeling naar de nieuwe koppeling te kopiëren en als die dus niet met elkaar overeenkomen dan gebeurt er niks.

De metadata refresh wordt automatisch aangezet. De signing staat in ADFS standaard op de gewenste SHA-256, daar hoeft dus niets voor te gebeuren.

# Envs
$oldRelyingPartyId = "https://aselect.entree.kennisnet.nl"
$newRelyingPartyId = "https://engine.entree.kennisnet.nl/authentication/sp/metadata"
# Add new Entree Federation relying party trust
Add-AdfsRelyingPartyTrust -Name $newRelyingPartyId -MonitoringEnabled $true -AutoUpdateEnabled $true -MetadataUrl $newRelyingPartyId
# Copy claim rules from old Entree Federation
Set-AdfsRelyingPartyTrust -TargetIdentifier $newRelyingPartyId -IssuanceTransformRules (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).IssuanceTransformRules -AccessControlPolicyName (Get-AdfsRelyingPartyTrust -Identifier $oldRelyingPartyId).AccessControlPolicyName
# Remove temp file
Remove-Item -Path "C:\federatie-copy-*-tmp.txt"