IdPのホスト名(entityID)を変更する場合にはいくつか考慮または解決すべき点があります。ホスト名を変更することによるリスクを考慮して,ホスト名は変更せず新しいIdPに移行する機関もあります。
まずはホスト名の切り替えについては次の点を参照の上,ご検討いただければと思います。
a.entityIDをみて認証している電子ジャーナル等のSPへは,ホスト名 (entityID)の切り替えをご連絡いただく必要があります。過去にホスト名を変更した機関からお聞きした話では,このホスト名の切り替えに 苦労した(時間がかかった)ということがあったそうです。b.eduPersonTargetedID (ePTID) でユーザの紐づけを行っていたSPについては,IdP移行にあたりePTIDも変更となるため,移行後のアクセスが別IDとみなされます(SP側が協力していただける場合は旧ePTIDから新ePTIDへの移行も可能となる場合もあると考えられます)。ホスト名を変更しない場合でも ePTID生成のsaltの値を引き継がないと,ePTIDが変わってしまいますので注意が必要です。eduPersonTargetedIDの仕様 : eduPersonTargetedID
c.現行IdPと新IdPでscopeも変更する場合には,eduPersonPrincipalName (ePPN) が新旧IdPで異なることになります。ePTIDと同じですが,ePPNをユーザの紐づけに使っていた場合には移行後のアクセスが別IDとみなされることになります。
eduPersonPrincipalNameの仕様 : eduPersonPrincipalNamed.既存IdPのホスト名を書き換えるだけでは,ホスト名を切り替えたという情報がSP側に伝わり,SP側での設定変更が行われるまでの間,サービスを利用できない危険が生じます。サービスを中断なくご利用いただくためには,現行IdPと新IdPの2つを並行して運用していただくことが必要になると考えられます。e.現行IdPと新IdPの2つを並行運用していただく際,ディスカバリーサービス(DS)上でユーザが選択すべきIdPや,新旧の切り替えのタイミングなどユーザへの周知が必要です。これに関連して,各SPの対応状況(切り替え状況) に応じてどちらかのIdPを選択しないと認証できない,という状況があり得ます。
ホスト名切り替えによらず,IdP移行にあたり検討が必要な項目は次の通りです。
f.現行IdPと新IdPが参照する統合認証基盤が異なる場合かつ現行IdPと新IdPで 同一のscopeを用いる場合に考えられる問題ですが,統合認証基盤ごとにID 体系も異なり,同一IDが別人に割り当てられる可能性がある場合には, ePPNを使っているSPでなりすましが発生することにつながりますので, ePPNの生成方法を工夫する必要があります。
以上の点を検討の上、ホスト名を切り替える場合についての具体的な作業を示します。
- 1. ホスト名(entityID)の切り替えについて,学認事務局に事前にご連絡くだ さい。新IdPのホスト名もご連絡いただくとスムーズに進められるかと思います。
2. 現行のIdPとは別のentityIDで新IdPを構築してください。
- 3. 学認申請システムで新IdPの新規申請を行ってください。申請時の注意点は次の通りです。
- 新IdP名称は「XXX大学(新)」などのように現行のIdP名称と区別できる ように異なるものを設定してください。
- 「フェデレーションの参加機関一覧への掲載を許可する 」にはチェッ クを入れないでください。
4. 新IdPが事務局より承認されましたら,新IdPの動作確認や,必要に応じてSPに新IdPへの切り替えなどを行っていただくことになります。
5. 新IdPの利用に問題ないことが確認できましたら,学認申請システムより現 行IdPの脱退申請を行ってください。
6. 現行IdPの脱退と合わせて,学認申請システムより新IdPの名称を変更してく ださい。申請時の注意点は次の通りです。
新IdP名称を「XXX大学(新)」から「XXX大学」に変更してください。 (IdP名称は機関名と同じにしていただいています)
「フェデレーションの参加機関一覧への掲載を許可する」にチェックを入れてください。