Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • a. entityIDをみて認証している電子ジャーナル等のSPへは,ホスト名(entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに苦労した(時間がかかった)ということがあったそうです。
  • b. eduPersonTargetedID (ePTID) でユーザの紐づけを行っていたSPについては,IdP移行にあたりePTIDも変更となるため,移行後のアクセスが別IDとみなされます(SP側が協力していただける場合は旧ePTIDから新ePTIDへの移行も可能となる場合もあると考えられます)。ホスト名を変更しない場合でもePTID生成のsaltの値を引き継がないと,ePTIDが変わってしまいますので注意が必要です。

    eduPersonTargetedIDの仕様 : eduPersonTargetedID

  • c. 現行IdPと新IdPでスコープも変更する場合には,eduPersonPrincipalName (ePPN) が新旧IdPで異なることになります。ePTIDと同じですが,ePPNをユーザの紐づけに使っていた場合には移行後のアクセスが別IDとみなされることになります。

    eduPersonPrincipalNameの仕様 : eduPersonPrincipalName
  • d. 1つのホストでホスト名切り替えを行う(=既存IdPのホスト名設定を書き換える)場合,ホスト名を切り替えたという連絡がSP側に伝わりSP側での設定変更が行われるまでの間,サービスを利用できない危険が生じます。サービスを中断なくご利用いただくためには,現行IdPと新IdPの2つを並行して運用していただくことが必要になると考えられます。

  • e. 現行IdPと新IdPの2つを並行運用していただく際,ディスカバリーサービス(DS)上でユーザが選択すべきIdPや,新旧の切り替えのタイミングなどユーザへの周知が必要です。これに関連して,各SPの対応状況(切り替え状況)に応じてどちらかのIdPを選択しないと認証できない,という状況があり得ます。

ホスト名切り替えによらず,IdP移行にあたり検討が必要な項目は次の通りです。ホスト名を切り替えるか否かによらず,IdP移行にあたり検討が必要な項目は次の通りです。

  • f. 現行IdPと新IdPが参照する統合認証基盤が異なる場合かつ現行IdPと新IdPで同一のスコープを用いる場合に考えられる問題ですが,統合認証基盤ごとにID体系も異なり,同一IDが別人に割り当てられる可能性がある場合には,ePPNを使っているSPでなりすましが発生することにつながりますので,値が重複しないようePPNの生成方法を工夫する必要があります。

...