Versions Compared

Old Version 14

changes.mady.by.user Unknown User (klaalo@csc.fi)

Saved on

compared with

New Version 15

changes.mady.by.user Unknown User (klaalo@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Nimitunnisteet ovat pysyviä, eli ne eivät saa muuttua. Nimitunnisteen muuttuminen aiheuttaa, että käyttäjä menettää käyttäjäprofiilinsa sellaisessa palvelussa, joka tukeutuu nimitunnisteeseen. Nimitunnisteet ovat sidoksissa SP:n ja IdP:n entityId:hen, joten toisen muuttuessa myös nimitunniste muuttuu. Tästä syystä IdP:n yliheitossa entityId:n ei pitäisi muuttua. EntityId:n säilyminen ennallaan ei silti yksistään varmista tunnisteiden pysymistä ennallaan, vaan yliheitossa on uudelle palvelimelle siirrettävä myös mahdollinen nimitunnisteiden tietokanta.

On myös huomioitava, että SAML-tuotteet voivat muodostaa nimitunnisteet eri mekanismeilla, joten nimitunnisteita voi olla vaikea tai mahdoton säilyttää ennallaan tuotevaihdon yhteydessä.

Tunnistuslähteen (IdP) palvelinvaihdos

Metadatassa IdP-palvelimen tiedoissa voi olla kerrallaan vain yksi HTTP-redirect -tyyppinen SSO-URL -osoite. Tästä syystä osoitteen osoitteen vaihdos on tehtävä niin, että sekä uusi, että vanha palvelin ovat yliheitossa muutaman vuorokauden rinnakkain käytössä samanaikaisesti. Toinen vaihtoehto on säilytettää Kerralla vaihtaminen on mahdollisa säilytettämällä varsinainen SSO-URL -osoite ennallaan ja tehdä palvelinvaihdos IP-osoitteen tasolla käyttäen kuormantasaajaa tai DNS-muutosta. Seuraavassa on eräs esimerkki prosessista, jolla IdP-palvelimen osoitteen muutos voidaan tehdä:

  1. Asennetaan ja testataan IdP-palvelu uudella palvelimella / uudessa osoitteessa (vanha palvelin on edelleen käytössä rinnalla)
  2. Kun uuden IdP-palvelimen toiminta on varmistettu, vaihdetaan Resurssirekisterissä IdP-palvelun SSO-URL osoittamaan uuteen palvelimeen / osoitteeseen. Neuvotellaan Haka-operoinnin kanssa DS-palvelun päivittäminen yhdessä metadatapäivityksen kanssa.
  3. Odotetaan metadatan ja DS-palvelun päivittymistä (sekä uusi, että vanha IdP palvelin ovat toiminnassa)
  4. Uuden metadatan julkaisun jälkeen palvelut päivittävät käyttämänsä Haka-metadatan vuorokauden kuluessa. Kyseisen vuorokauden aikana kirjautumiset tapahtuvat rinnakkain uudella ja vanhalla IdP-palvelimella. Palvelut (SP) siirtyvät käyttämään uutta IdP-palvelinta sitä mukaa, kun päivittävät metadatansa.
  5. Vuorokauden kuluttua metadatan päivittymisestä varmistetaan, että vanhalle palvelimelle ei enää ohjaudu autentikaatiopyyntökäautentikaatiopyyntöjä. Mikäli autentikaatiopyyntöjä ohjautuu, selvitetään mistä palveluista ne tulevat ja pyydetään näitä palveluja päivittämään metadatansa.
  6. Kun on varmistettu, että kaikki palvelut käyttävät uutta IdP-palvelinta, voidaan vanha poistaa käytösä.

...