Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

まずはホスト名の切り替えについては次の点を参照の上,ご検討いただければと思います。

  • a. entityIDをみて認証している電子ジャーナル等のSPへは,ホスト名(entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに苦労した(時間がかかった)ということがあったそうです。 entityIDをみて認可している電子ジャーナル等のSPへは,ホスト名(entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに苦労した(時間がかかった)ということがあったそうです。
  • b. eduPersonTargetedID (ePTID) でユーザの紐づけを行っていたSPについては,IdP移行にあたりePTIDも変更となるため,移行後のアクセスが別IDとみなされます(SP側が協力していただける場合は旧ePTIDから新ePTIDへの移行も可能となる場合もあると考えられます)。ホスト名を変更しない場合でもePTID生成のsaltの値を引き継がないと,ePTIDが変わってしまいますので注意が必要です。

    eduPersonTargetedIDの仕様 : eduPersonTargetedID

  • c. 現行IdPと新IdPでスコープも変更する場合には,eduPersonPrincipalName (ePPN) が新旧IdPで異なることになります。ePTIDと同じですが,ePPNをユーザの紐づけに使っていた場合には移行後のアクセスが別IDとみなされることになります。が新旧IdPで異なることになります。ePTIDと同じですが,あるSPにてePPNをユーザの紐づけに使っている場合には移行後のそのSPへのアクセスが別IDとみなされることになります。
    eduPersonPrincipalNameの仕様 : eduPersonPrincipalName
  • d. 1つのホストでホスト名切り替えを行う(=既存IdPのホスト名設定を書き換える)場合,ホスト名を切り替えたという連絡がSP側に伝わりSP側での設定変更が行われるまでの間,サービスを利用できない危険が生じます。サービスを中断なくご利用いただくためには,現行IdPと新IdPの2つを並行して運用していただくことが必要になると考えられます。

  • e. 現行IdPと新IdPの2つを並行運用していただく際,ディスカバリーサービス(DS)上でユーザが選択すべきIdPや,新旧の切り替えのタイミングなどユーザへの周知が必要です。これに関連して,各SPの対応状況(切り替え状況)に応じてどちらかのIdPを選択しないと認証できない,という状況があり得ます。

...

  1. 新規サーバ、あるいは運用中の既存IdPのクローンサーバを用意する
    • ホスト名は現在運用中のIdPと同一とし、IPアドレスのみ新たに割り振る
    旧サーバから引き継ぐもの:entityID、スコープ、ePTID
    • クローンしない場合でも旧サーバから以下の情報を引き継がなければなりません:
      entityID、スコープ、eduPersonTargetedID(
    eduPersonTargetedID
    • ePTID)
    生成のsalt、サーバ証明書
    • 生成用のsalt、サーバ証明書
  2. 新規サーバへのIdPのインストールあるいはクローンサーバのIdPアップグレード、設定等を行う
    • 旧サーバがShibboleth IdP 3.xで新サーバをShibboleth IdP 4.xとする場合は、1.で新規サーバを用意したとしてもShibboleth IdPインストールディレクトリを丸ごとコピーしてアップグレードを行うようにしてください。詳細はこちら
  3. 新IdPサーバのテストを行う(aがおすすめの方法)
    1. 試験用クライアント端末のhostsに新IdPサーバのホスト名とIPアドレスを記述してDNSに頼らずに動作確認を行う
    2. 夜間や休日などユーザの利用がない時間帯に一時的にDNSの設定を新IdPサーバに切り替えてテストする
  4. 動作および各SPへの接続に問題がないことが確認できたら、DNSの設定を新IdPサーバに通信が向かうように切り替える

こちらの手順であれば、entityIDと使用するサーバ証明書に変更が生じないため、学認申請システムへの申請や各SPへの設定変更作業の依頼を行わず、IdPを切り替えることが可能です。上記手順であれば、entityIDと使用するサーバ証明書に変更が生じないため、学認申請システムへの変更申請や各SPへの設定変更作業の依頼を行わず、IdPを切り替えることが可能です。