2010 naar ADFS 2.0

Kennisnet Federatie Handleiding Migratie Sharepoint 2007/2010 naar ADFS 2.0

Kennisnet Federatie Handleiding Migratie Sharepoint 2007/2010 naar ADFS 2.0 voor aansluiting als identity provider Door Bastiaan van den Hoek (Kennisnet) Laatst aangepast op 9 januari 2013

Inhoudsopgave


1 Inleiding 1.1 Oorzaak verliezen identiteit 2 Controle attributen voor migratie 3.0 Aanpassen ADFS 2.0 Claims 3.1 Nieuw uid attribuut aanmaken 3.2 Nieuw NameId attribuut aanmaken 3.3 Opschonen oude uid en NameId attribuut 4.0 Testen

1 Inleiding Dit document is een aanvulling op Kennisnet Federatie Handleiding ADFS 2.0. Er vanuit gaande dat genoemde document is gebruikt bij het inrichten van uw ADFS 2.0 omgeving kunt u dit document gebruiken wanneer u migreert van een reeds op Kennisnet Federatie aangesloten ELO naar uw eigen ADFS omgeving. Wanneer u van het Kennisnet Sharepoint 2007 component, Moodle of een andere Identity Provider naar ADFS 2.0 wil migreren, zullen uw gebruikers hun huidige


identiteit verliezen binnen de Kennisnet Federatie. Hierdoor zullen profielen die bij de aangesloten diensten zijn aangemaakt (denk aan Wikiwijs, Teleblik, uitgeverijen) niet meer kunnen worden gebruikt. Doel van dit document is een stap voor stap aanpassing in de Claim Rules in ADFS 2.0 waardoor uw gebruikers hun identiteit na migratie behouden.

1.1 Oorzaak verliezen identiteit Wanneer u een koppeling maakt met de Kennisnet Federatie is er een unieke identifier benodigd voor het bepalen van welke koppeling er gebruikt wordt. In uw huidige koppeling kon deze identifier niet automatisch door de ELO worden aangeleverd, maar werd deze door Kennisnet bepaald. In SAML 2.0 (daarmee ook ADFS 2.0) wordt deze identifier (EntityID) door het ELO systeem zelf bepaald en doorgegeven via metadata. Het attribuut uid en NameID bestaan uit een username@realm. De realm werd voorheen automatisch aangevuld op basis van de identifier van de ELO. Hierdoor zijn deze waarden vooraf al bepaald en zullen deze in de nieuwe situatie statisch moeten worden opgegeven.

2 Controle attributen voor migratie U kunt uw attributen voor migratie bekijken via de referentie service provider: https://referentie-s.entree.kennisnet.nl/referentiesp (staging) of https://referentie.entree.kennisnet.nl/referentiesp (productie) 1. Selecteer uw oude ELO/instelling in het Where Are You From gedeelte en druk op Verder 2.

U komt nu uit op een inlogpagina van uw ELO

3.

Log in met uw instellingsaccount

4.

Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling. De volgende attributen moeten voor en na migratie gelijk zijn: - aselectorganization - uid - nlEduPersonRealId - employeeNumber (niet getoond, controleer in Active Directory of deze veranderd is)

Noteer deze gegevens of neem hiervan een screenshot om deze op later tijdstip te vergelijken met uw nieuwe ELO. Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.

3.0 Aanpassen ADFS 2.0 Claims De volgende alinea’s helpen u stap voor stap aanpassingen te maken in de ADFS 2.0 Claim rules naar de Kennisnet Federatie toe. Hierin worden twee attributen statisch gemaakt, waardoor uw migratie geen impact heeft op de identiteit van de gebruiker binnen de Kennisnet Federatie.


3.1 1 2

Nieuw uid attribuut aanmaken Kies op de ADFS 2.0-server Start > All programs > Administrative Tools > ADFS 2.0 Management om de ADFS 2.0 configuratie applicatie te starten. Kies in de linker kolom Trust Relationships > Relying Party Trusts.

3 Rechterklik op Kennisnet Federatie en klik op Edit Claim Rules.


4 Klik op Add Rule…. 5 Kies onder 'Claim rule template' voor Send Claims Using a Custom Rule klik op Next.

6

Vul uid in in het veld ‘Claim rule name’.


7

Vul de volgende code in het tekstveld in: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/ windowsaccountname", Issuer == "AD AUTHORITY"] => issue(Type = "uid", Value = regexreplace(c.Value, "(?[^\\]+)\\(? <user>.+)", "${user}@sknkantoor"));

8 9

Wijzig nu “sknkantoor” in de waarde die in stap 2.1 achter het aselectorganization staat. Klik op Finish

3.2

Nieuw NameId attribuut aanmaken

Volg stap 1 t/m 5 uit alinea 2.2 6 Vul NameId in in het veld ‘Claim Rule name’ 7 Vul de volgende code in het tekstveld in: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/ windowsaccountname", Issuer == "AD AUTHORITY"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = regexreplace(c.Value, "(?[^\\]+)\\(?<user>.+)", "${user} @sknkantoor")); Volg nu stap 8 en 9 uit alinea 2.2

3.3

Opschonen oude uid en NameId attribuut


1 Kies op de ADFS 2.0-server Start > All programs > Administrative Tools > ADFS 2.0 Management om de ADFS 2.0 configuratie applicatie te starten. 2 Kies in de linker kolom Trust Relationships > Relying Party Trusts.

3 4 5

Rechterklik op Kennisnet Federatie en klik op Edit Claim Rules. Selecteer de Rule Name ‘Entree’ en klik op Edit Rule. Selecteer de regels met Outgoing Claim Type “NameId” en “uid” en verwijder deze door op delete te drukken.


6 7

Klik op OK Klik op Apply

4.0 Testen U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de referentie service provider: https://referentie-s.entree.kennisnet.nl/referentiesp (staging) of https://referentie.entree.kennisnet.nl/referentiesp (productie) 1. Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder 2. U komt nu uit op een inlogpagina van uw ADFS 2.0 server 3. Log in met uw instellingsaccount 4. Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling. 5. Vergelijk nu de attributen voor en na de attribuutwijziging. Zodra in beide situaties de attributen gelijk zijn is uw migratie gereed. Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.

2010 naar ADFS 2.0

Recommend Documents