...
まずはホスト名の切り替えについては次の点を参照の上,ご検討いただければと思います。
a.
entityIDをみて認証している電子ジャーナル等のSPへは,ホスト名(entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに苦労した(時間がかかった)ということがあったそうです。 entityIDをみて認可している電子ジャーナル等のSPへは,ホスト名(entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに苦労した(時間がかかった)ということがあったそうです。b.
eduPersonTargetedID (ePTID) でユーザの紐づけを行っていたSPについては,IdP移行にあたりePTIDも変更となるため,移行後のアクセスが別IDとみなされます(SP側が協力していただける場合は旧ePTIDから新ePTIDへの移行も可能となる場合もあると考えられます)。ホスト名を変更しない場合でもePTID生成のsaltの値を引き継がないと,ePTIDが変わってしまいますので注意が必要です。eduPersonTargetedIDの仕様 : eduPersonTargetedID
c.
現行IdPと新IdPでスコープも変更する場合には,eduPersonPrincipalName (ePPN) が新旧IdPで異なることになります。ePTIDと同じですが,ePPNをユーザの紐づけに使っていた場合には移行後のアクセスが別IDとみなされることになります。が新旧IdPで異なることになります。ePTIDと同じですが,あるSPにてePPNをユーザの紐づけに使っている場合には移行後のそのSPへのアクセスが別IDとみなされることになります。
eduPersonPrincipalNameの仕様 : eduPersonPrincipalNamed.
1つのホストでホスト名切り替えを行う(=既存IdPのホスト名設定を書き換える)場合,ホスト名を切り替えたという連絡がSP側に伝わりSP側での設定変更が行われるまでの間,サービスを利用できない危険が生じます。サービスを中断なくご利用いただくためには,現行IdPと新IdPの2つを並行して運用していただくことが必要になると考えられます。e.
現行IdPと新IdPの2つを並行運用していただく際,ディスカバリーサービス(DS)上でユーザが選択すべきIdPや,新旧の切り替えのタイミングなどユーザへの周知が必要です。これに関連して,各SPの対応状況(切り替え状況)に応じてどちらかのIdPを選択しないと認証できない,という状況があり得ます。
...
- 新規サーバ、あるいは運用中の既存IdPのクローンサーバを用意する
- ホスト名は現在運用中のIdPと同一とし、IPアドレスのみ新たに割り振る
- クローンしない場合でも旧サーバから以下の情報を引き継がなければなりません:
- entityID、スコープ、eduPersonTargetedID(
- ePTID)
- 生成用のsalt、サーバ証明書
- 新規サーバへのIdPのインストールあるいはクローンサーバのIdPアップグレード、設定等を行う
- 旧サーバがShibboleth IdP 3.xで新サーバをShibboleth IdP 4.xとする場合は、1.で新規サーバを用意したとしてもShibboleth IdPインストールディレクトリを丸ごとコピーしてアップグレードを行うようにしてください。詳細はこちら。
- 新IdPサーバのテストを行う(aがおすすめの方法)
- 試験用クライアント端末のhostsに新IdPサーバのホスト名とIPアドレスを記述してDNSに頼らずに動作確認を行う
- 夜間や休日などユーザの利用がない時間帯に一時的にDNSの設定を新IdPサーバに切り替えてテストする
- 動作および各SPへの接続に問題がないことが確認できたら、DNSの設定を新IdPサーバに通信が向かうように切り替える
こちらの手順であれば、entityIDと使用するサーバ証明書に変更が生じないため、学認申請システムへの申請や各SPへの設定変更作業の依頼を行わず、IdPを切り替えることが可能です。上記手順であれば、entityIDと使用するサーバ証明書に変更が生じないため、学認申請システムへの変更申請や各SPへの設定変更作業の依頼を行わず、IdPを切り替えることが可能です。