KNF:Migratie van Identity Provider

Uit Kennisnet Developers Documentatie
Versie door Oostmeijer01 (overleg | bijdragen) op 7 dec 2017 om 08:22 (Nieuwe pagina aangemaakt met 'In het onderwijsproces wordt steeds meer gebruik gemaakt van digitale diensten. Hiermee wordt Identity en Access Management, het beheer en gebruik van digitale iden...')
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Entree Federatie-symbol.png Entree Federatie: Migratie van Identity Provider

In het onderwijsproces wordt steeds meer gebruik gemaakt van digitale diensten. Hiermee wordt Identity en Access Management, het beheer en gebruik van digitale identiteiten, ook steeds belangrijker voor onderwijsinstellingen.

Een Identity Provider is de applicatie die de onderwijsinstelling gebruikt om de digitale identiteiten van gebruikers te beheren. Als een leerling of docent toegang wil tot een online dienst dan levert de Identity Provider de identiteit, in de vorm van attributen, aan de dienst (authenticatie). De dienst bepaalt vervolgens aan de hand van die attributen of de gebruiker toegang krijgt (autorisatie).

Er zijn verschillende oplossingen beschikbaar om als Identity Provider in te zetten, zoals elektronische leeromgevingen waarin de functie van Identity Provider in geïntegreerd is of applicaties die specifiek als Identity Provider ontwikkeld zijn. De keuze voor één van deze oplossingen is sterk afhankelijk van de wensen en mogelijkheden van de onderwijsinstelling.

Kennisnet adviseert onderwijsinstellingen om in de educatieve keten bewust te kiezen voor het gebruik van slechts één Identity Provider. Dit zorgt ervoor dat een leerling of docent ook maar één identiteit heeft om toegang te krijgen tot digitale diensten. Het hebben van meerder identiteiten kan leiden tot verwarring bij de gebruiker en fouten tijdens het inlogproces.

Migratie Identity Provider

Als een onderwijsinstelling verandert van Identity Provider dan is het belangrijk te realiseren dat daarmee meestal ook de identiteit van de gebruikers wijzigt. Dit kan gevolgen hebben voor bijvoorbeeld licenties die gekoppeld zijn aan de identiteit, opgebouwde leerhistorie en uitwisseling van resultaten tussen systemen.

De volgende aandachtspunten zijn daarom belangrijk bij het migreren naar een andere Identity Provider:

  1. Identificeer welke diensten ontsloten worden met behulp van de identiteiten uit de huidige Identity Provider. (wat bedoel je hiermee?)
  2. Bepaal per dienst wat de impact zal zijn als de identiteit van een gebruiker wijzigt.
  3. Neem contact op met je distributeur en zet indien nodig het verhuisscenario in werking.

De impact van een migratie kan in sommige gevallen verkleind worden:

  1. Inventariseer of het mogelijk is om de identiteiten van gebruikers één op één te migreren naar de nieuwe Identity Provider.
  2. Stel vast of een geleidelijke migratie mogelijk is, waarbij alleen nieuwe gebruikers via de nieuwe Identity Provider geauthentiseerd worden.
  3. Bepaal of een migratie tussen twee schooljaren de impact vermindert. Licenties en voortgang vervallen bijvoorbeeld vaak bij de start van een nieuw schooljaar.

Naast de impact van het wijzigen van de identiteit zijn er nog een aantal aandachtpunten die specifiek met de koppeling met Entree Federatie te maken hebben. Neem contact op met Kennisnet voor ondersteuning:

  1. De door de school ondertekende Attribute Releas Policies (ARP formulieren) moeten opnieuw worden toegepast op de nieuwe koppeling.
  2. De ELO ID van de koppeling die wordt gebruikt voor de SSO notificatie en scoping moet worden aangepast.

Introductie ECK ID

De introductie van het ECK ID zal de impact van een migratie aanzienlijk verkleinen. Het ECK ID wordt gegenereerd op basis van het persoonsgebonden nummer en is daarmee onafhankelijk van de gebruikte Identity Provider. Uiteraard moeten hiervoor de gebruikte diensten het ECK ID gebruiken als identificerend attribuut.