Krav til endringer i Feide-katalog ved fusjonering

For å kunne tilby fusjoneringsfunksjonalitet i Feides innloggingsløsning, der personer skal kunne logge inn med ny bruker selv når de ønsker å benytte en tjeneste for gammel organisasjon, må det gjøres enkelte endringer i både Feide-katalogen med alle brukere og i de gamle Feide-katalogene som inneholder informasjon fra før fusjonen.

Den komplette Feide-katalogen kan enten være fra en av de gamle organisasjonene om denne har overdratt de andre inn i seg, eller det kan være en helt ny om det har blitt opprettet en ny organisasjon.

Denne siden beskriver kun endringene nødvendig i Feide-katalogene, andre endringer må gjøres i Feides oppsett av hver tjeneste for å kunne benytte løsningen på tjenesten.

Endringer i ny eller komplett Feide-katalog

I den komplette Feide-katalogen med alle brukerne må følgende gjøres:

  • For hver Feide-konto en person har hatt ved en fusjonert organisasjon må dens eduPersonPrincipalName (Feide-ID) legges inn i som en verdier i eduPersonEntitlement på følgende format:
urn:mace:feide.no:operational:merge:formerEduPersonPrincipalName:<eduPersonPrincipalName ved tidligere organisasjon>
  • I de tilfellene en person har hatt Feide-konto ved flere av de gamle organisasjonene må det legges inn en slik verdi for hver av de tidligere kontoene.

Eksempel:

Ola Nordmann var ansatt ved Høyskolen i Midt-Norge som nå har blitt overdratt inn i Universitetet i Midt-Norge. Ved HiMN hadde Ola Feide-ID-en 'olnord@himn.no'. Hos UiMN har Ola fått opprettet en ny konto med Feide-ID 'olano@uimn.no'.

På brukerkontoen til Ola i Feide-katalogen ved UiMN nå det da legges inn følgende verdi:

eduPersonEntitlement: urn:mace:feide.no:operational:merge:formerEduPersonPrincipalName:olnord@himn.no

Ola hadde også en aktiv Feide-konto ved Fiskerihøyskolen som også har blitt overdratt inn i Universitetet i Midt Norge. Der var hans Feide-ID 'on@fiskhs.no'. For å kunne logge seg inn på tjenester som denne brukeren også må denne også registreres på samme måte på kontoen i Feide-katalogen hos UiMN:

eduPersonEntitlement: urn:mace:feide.no:operational:merge:formerEduPersonPrincipalName:on@fiskhs.no

Utvalgte attributter på Olas brukerkonto i Feide-katalogen til UiMN ser da slik ut:

eduPersonPrincipalName: olano@uimn.no
eduPersonEntitlement: urn:mace:feide.no:operational:merge:formerEduPersonPrincipalName:olnord@himn.no
eduPersonEntitlement: urn:mace:feide.no:operational:merge:formerEduPersonPrincipalName:on@fiskhs.no

Endringer i gamle Feide-kataloger

Feide er også avhengig av å kunne lese ut Feide-informasjonen om fusjonerte brukere i Feide-katalogene til de gamle organisasjonene. Innloggingstjenesten vil trenge full lesetilgang til Feide-delen av disse katalogene, unntatt det gamle passordattributtet.

I eksemplet over vil innloggingstjenesten trenge normal tilgang til UiMNs Feide-katalog, men full lesetilgang til HiMNs og FiskHS' Feide-kataloger så lenge migreringen av tjenester ikke er fullført.