Mit Umbenennung der kanonischen institutionellen  DNS-Domain sind mitunter weitreichende Änderungen verbunden, welche im schlimmsten Fall dauerhaft Zugang zu Services und Daten unterbinden. Ob bestehende Zugänge/Daten mit der neuen Domain wieder zugänglich gemacht werden können, liegt dabei – je nach dem, was man im Detail alles ändert – in der Regel beim Entgegenkommen (oder nicht) des Serviceanbieters.
Manchmal kann das Nachziehen der Änderung beim Serviceanbieter durch berechtigte Personen in Selbstbedienung durchgeführt werden, etwa bei manchen Bibliotheksservices. In anderen Fällen muß man den Serviceanbieter um Änderung ersuchen. In hoffentlich wenigen Fällen verweigert sich der Serviceanbieter jeglichen administrativen Eingriffen und man muß dort die eigene Organisation praktisch von Null weg neu anlegen/konfigurieren und alle Nutzer:innen, Daten und Rechte neu einrichten.

Im Folgenden werden links die wichtigsten Daten im Kontext von eduID.at /SAML WebSSO genannt, die sich bei Änderung der kanonischen DNS-Domain mit ändern können. Die Anzahl der möglichen Werte wird jeweils mit 1 ("single-valued"), 1+ ("multi-valued") oder * ("siehe jeweils Kommentar dazu in der rechten Spalte") angegeben, was mitentscheidend für die Durchführbarkeit gewisser Migrationsszenarien ist. Die Spalte "Umgang" umreißt, ob man dieses Datum ändern sollte oder besser nicht. Ein anschließender Kommentar in der gleichnamigen Spalte versucht Hintergründe und Konsequenzen zu nennen.

DatumWerteUmgangKommentar
entityID – Global eindeutige Kennung einer SAML-Entity
z.B.
https://idp.fh-burgenland.at/idp/shibboleth		1Möglichst beibehalten, ist für Nutzer:innen nicht sichtbar

"The most important attribute an entityID needs to have is persistence. The entityID is the public identifier for a deployment and is not only used throughout the deployment's own configuration, but more importantly will be used throughout all of the other deployments that it interoperates with. As such, changing it will have ripple effects throughout many systems you don't control, and will often take time to propagate (possibly a lot of time)." -- Entity Naming, Shibboleth Wiki

Wird (durch fehlende Einsicht) auf einer Änderung der entityID bestanden, muß temporär ein zweiter IDP mit der neuen entityID registiert werden, was zwar Gelegenheit gibt, Services einzeln auf den neuen IDP umstellen zu lassen, was aber Monate bis Jahre (je nach Anzahl und Kooperationswilligkeit der Servicebetreiber:innen) dauern kann.
In dieser gesamten Zeit werden von den meisten Services beide IDPs zur Anmeldung angeboten, auch wenn evtl. jeweils nur einer davon (und nicht immer derselbe) funktionieren wird. Welchen der zwei IDPs man pro Service auswählen muß, ist für die Nutzer:innen nicht erkennbar/vorhersehbar und bietet damit reichlich Potentiel für Verwirrung und erhöhte Arbeitslast (durch Zugriffsprobleme auf Services und Daten) beim eigenen IT-Support.

Hostname / SSO-URL
z.B.
https://idp.hochschule-burgenland.at/idp/profile/SAML2/Redirect/SSO

1*

Ändern

Manche der Endpunkte des IDP sind für Nutzer:innen gut sichtbar, wenn die Authentifizierung direkt am IDP stattfindet → Ändern.
Hat der IDP hingegen die Authentifizierung zu einem anderen IDP ausgelagert (SAML Proxying, z.B. Boku → Keycloak, Campus Vienna Biocenter → Microsoft) ist der HTTPS URL des IDP nicht wirklich (d.h. nur sehr kurz im Zuge eines HTTP-Redirects) sichtbar u. könnte auch gleich bleiben.

(*) Ein Shibboleth IDP kann über mehrere Hostnamen (alt, neu) gleichzeitig angesprochen werden (das muß bei anderen Implementierungen nicht so sein), in den Federation-Metadaten kann aber zu jedem Zeitpunkt nur ein SSO-URL stehen: Jene Services, die noch alte Metadaten vom IDP haben, schicken weiterhin SAML Authentication Requests an den alten SSO-URL/Hostnamen, jene Services, die (evtl. ein paar Stunden später) bereits neue Metadaten vom IDP haben, schicken diese Requests (und damit die Nutzer:in des Webbrowsers) an den neuen SSO-URL/Hostnamen.
Damit ist auch klar, daß der IDP über beide Hostnamen korrekt über TLS angesprochen werden können muß, d.h. entweder es werden zwei verschiedene Zertifikate von jedem Host serviert oder beide Hostnamen müssen in einem Zertifikat stehen.

"Scoped attributes": eduPersonScopedAffiliation
z.B. student@hochschule-burgenland.at
z.B. student@fh-burgenland.at


1+Neue Domain zusätzlich Eintragen, alte später Austragen.

Pro Institution sind mehrere "Scopes" erlaubt – nur mit diesen "Scopes" qualifiziert dürfen dann Attribute ausgestellt werden, die als "scoped" definiert sind. "Einschleichen" der neuen Scope und "Ausschleichen" der alten Scope bei eduPersonScopedAffiliation ist also möglich und sinnvoll!

eduPersonScopedAffiliation ist "mehrwertig", könnte also meine Affiliation sowohl mit der alten wie auch der neuen Scope ausdrücken. Ein Service, daß mir aufgrund von eduPersonScopedAffiliation Zugriff gewährt, sollte mich dann solange "reinlassen", wie die alte "Scope" mitgeschickt wird bzw. bis der Serviceanbieter die Zugrffsregeln administrativ an die neue Scope angepaßt hat.

Sichtbar ist dieses Attribut wohl nur im "Consent"-UI des SAML IDP, wo die zu übertragenden Attribute (und -werte) der Nutzer:in zur Kontrolle vorgelegt werden.

"Scoped attributes": Diverse Identifier

eduPersonPrincipalName
z.B. userid@univie.ac.at

SAML Subject-ID
z.B. opaque-userid@boku.ac.at

SAML Pairwise-ID
z.B. service-specific-userid@tuwien.ac.at

 

1

Für Nutzer:innen bedingt sichtbar (legt ändern nahe).

Mit Änderung der Domain (=Änderung der bislang beim Service hinterlegten Kennung) gehen potentiell persönliche Rechte bei (wenigen, aber für die Person potentiell wichtigen) föderierten Services verloren, die sich auf diese Attributwerte zur Wiedererkennung der Person verlassen.

Subject-ID und Pairwise-ID sind relativ neu, auf diese werden sich bisher (Stand 2025 CE) evtl. nur wenige Services verlassen – und diese sollte man an entsprechenden SAML-Metadaten verlässlich erkennen (EntityAttribute urn:oasis:names:tc:SAML:profiles:subject-id:req wird angefordert).

Die Nutzung von eduPersonPrincipalName ist etwas weniger klar erkennbar: Es ist Teil des REFEDS Research & Scholarship "attribute bundle" und wird damit wohl von allen Services dieser Kategorie verwendet. Weitere Services (ohne die REFEDS R&S-Kategorie) müssten dieses Attribut (wie üblich) individuell in den SAML-Metadaten über RequestedAttribute-Elemente anfordern.

Diese Identifier sind alle "single-valued", es können also nicht "auf Verdacht" sowohl die bisherigen als auch die neuen Werte geschickt werden, wie das bei eduPersonScopedAffiliation oben empfohlen wird.

In der eduPerson-Spezifikation ist zwar vorgesehen, daß man den vorherigen Wert eines geänderten eduPersonPrincipalName-Attributs als (mehrwertiges!) eduPersonPrincipalNamePrior-Attribut mitschickt, ob das aber von Services auch genutzt wird, um den Zugriff auf der Service aufgrund des eduPersonPrincipalNamePrior-Attributes weiterhin zu gewähren (oder zumindest einen entsprechenden administrativen Prozess beim Service auslöst) ist unbekannt und jedenfalls für die meisten Services anzuzweifeln.
(Für die vergleichsweise neueren Attribute SAML Subject-ID und SAML Pairwise-ID gibt es keinen solchen Mechanismus.)

Sichtbar sind dieses Attribute wohl nur im "Consent"-UI des SAML IDP, wo die zu übertragenden Attribute (und -werte) der Nutzer:in zur Kontrolle vorgelegt werden.

schacHomeOrganization – Organisationskennung in Form der kanonischen DNS-Domain
z.B. hochschule-burgenland.at

1

Für Nutzer:innen bedingt sichtbar (legt ändern nahe).

Als Kennung für die Institution/Organisation (nicht der Person) gehen bei Änderung potentiell Services verloren, die sich auf dieses Attribut zur Autorisierung verlassen.
Das sind vermutlich nur wenige.

Eine potentielle Umstellung beim / durch den Serviceanbieter sollte vergleichsweise leicht durchführbar sein, da dieses Datum für die ganze Institution gilt und sich damit nicht pro Nutzer:in unterscheidet.)

Der Wer der "Scope" (siehe oben) wird auch als schacHomeOrganization-Attribut weitergegeben, dieses Attribut darf aber (im Gegensatz zu den "Scopes") nur einen Wert haben!

Für Unterzeichner der ECHE ist dieses Datum für Zugriff auf Erasmus+-Services evtl. bei der EU-Kommission hinterlegt, Änderung müssen dann über GÉANT/MyAcademicID gemeldet werden.
Auch Zugriffe auf die RDB können davon betroffen sein, wenn (wie dort beschrieben) Ausnahmeregeln für IP-Adress-unabhängige Zugriffe mit der Fa. Manz getroffen wurden.

Persönliche E-Mail-Adressen

1*

Änderung wird immer notwendig sein (aus Gründen, die mit Identity Federation nichts zu tun haben).
Für Nutzer:innen sehr prominent "sichtbar".
("Ihre E-Mail-Adresse – und damit bei vielen Services auch: Ihre Benutzer:innenkennung – hat sich geändert!")

Obwohl E-Mail-Adressen per se mit SAML WebSSO/eduID.at/eduGAIN nichts zu tun haben (diese sind nur Nutzdaten, wie etwa der Name einer Person), werden diese der Praxis oft als Username/UserID zur Anmeldung am SAML IDP benutzt. Oft wird auch der Wert der E-Mail-Adresse als Wert von "scoped"-Attributen (etwa eduPersonPrincipalName) wiederverwertet, womit letztere zwangsläufig mitgeändert werden.

Persönlich zugänglich gemachte Ressourcen/Services (manchmal auch institutionell lizensierte Ressourcen, z.B. Zoom-Lizenzen) gehen verloren, wenn diese an der E-Mail-Adresse (oder dem eduPersonPrincipalName-Attribut) der Person festgemacht wurden. Ob eine Person mit veränderter Kennung wieder Zugriff auf bestenende Services erlangen kann, hängt dabei allein vom Entgegenkommen des Serviceanbieters ab.
(Massenweise/Batch-Umstellung von allen, gleichermaßen betroffenen, Nutzer:innen wird dabei vermutlich leichter ablaufen, als wenigen/einzelnen Nutzer:innen, ggfs. über mehrere Services verstreut, wieder zum Zugriff auf deren Services/Ressourcen/Projekten/etc. zu verhelfen.)

(*) Den relevanten Spezifikationen zufolge können beliebig viele Werte vorkommen/gesendet werden, nur können in der Praxis die wenigsten Services damit umgehen. Technisch/per se ist das Attribut für E-Mail-Adressen also "multi-valued", für weitreichende Interoperabilität aber eigentlich als "single-valued" zu betrachten!

Allgemein: Für alle Services, von denen man weiß, daß der Zugriff an einem "single-valued" Attribut (gilt also nicht für die entityID oder den Hostnamen) festgemacht wird, gilt daher eine der zwei folgenden Migrationsstrategien:

  • Mit zusätzlicher Konfiguration/Komplexität im SAML IDP pro Service entscheiden, ob das Service schon auf Nutzung der neuen Domain/"Scope" umgestellt wurde und dann also jeweils nur den neuen Attributwert schicken (oder anderenfalls weiterhin jeweils nur den alten Wert).
  • Alternativ erfolgt die Umstellung an einem Stichtag für alle Services – die davon natürlich im Vorhinein verständigt und um Kooperation ersucht werden sollten. (Es braucht dabei aber vermutlich einen Plan B, daß Services nicht wie gewünscht/zeitgerecht umstellen oder dazu auch garnicht willens sind!)

Hinweise, Tips & Tricks

  • Audit-Logs für einen längeren Zeitraum zu haben, ist nützlich bzw. notwendig, um festzustellen, welche Services (ggfs. von welchen Nutzer:innengruppen) verwendet werden.

Services

Hinweise aus der ACOnet-Community zu einzelnen Services.

ServiceKommentar
Ex Libris AlmaWenn "scoped attributes" als Kennung verwendet werden: "Domain-Suffix" für Nutzer:innen in Batch Prozess umstellen (lassen)
MathWorksSupport kontaktieren
Mobility OnlineSelf-Service per "Adminportal" (womit "Switch Account"-Emails an die Nutzer:innen versendet werden; was immer die Nutzer:innen hier selbst beitragen können?) oder von SOP umstellen lassen.
Proquest DatenbankenClarivate-Support kontaktieren
u:bookSupport kontaktieren
  • Keine Stichwörter