Migration vom Portal Tirol auf die neue Infrastruktur
Die Portal Tirol Infrastruktur hat ihr technisches Lebesende erreicht und muss erneuert werden.
Um einen reibungslosen Umstieg zu ermöglichen, wurde eine neue Infrastruktur mit neuen SAML (PVP S-Profil) und OIDC (PVP O-Profil) Endpunkten aufgebaut. Es wird einen Parallelbetrieb der alten und der neuen Infrastruktur geben. An alle SAML Serviceprovider (SP) und alle OIDC Relying Parties (RP) ergeht hiermit der Aufruf, bei der nächsten Gelegenheit die neuen SAML Identity Provider (IDP) Endpunkte bzw. OIDC Operator (OP) Endpunkte vom Portal Tirol parallel zu den bestehenden zu registrieren. Am Ende des Parallelbetriebes wird es einen Aufruf geben um die dann alte Konfiguration zu löschen.
R-Profil Anwendungen haben keinen Handlungsbedarf, da die neue Portal Tirol Infrastruktur mit dem selben Clientzertifikat agiert wie die bestehende (alte) Umgebung.
Betroffen sind alle Anwendungen, auf welche vom Stammportal Tirol zugegriffen wird. Nicht betroffen sind Anwendungen welche im Land Tirol betrieben werden und auf welche von anderen Stammportalen zugegriffen wird.
Das detaillierte Vorgehen wird unten dargestellt. Wir bitten alle Partner um Unterstützung, damit ein reibungsloser Umstieg für unsere gemeinsamen Kunden ermöglicht wird.
Meilensteine und technische Eckpunkte
| Portal Tirol Testumgebung | Portal Tirol Produktionsumgebung | |
|---|---|---|
| SAML / S-Profil: | ||
| https://v-portal.tirol.gv.at/idp/shibboleth | https://portal.tirol.gv.at/idp/shibboleth |
| ca. 30. April 2025 | ca. 15. Juni 2025 |
| https://login.vtirol.gv.at/idp/shibboleth | https://login.tirol.gv.at/idp/shibboleth |
| 7. Februar 2025 | 6. März 2025 |
| ||
| Bitte die neue Start-URL für den neuen Portal Tirol IDP an ihren Ansprechpartner übermitteln. | Bitte die neue Start-URL für den neuen Portal Tirol IDP an ihren Ansprechpartner übermitteln. |
| 17. März 2025 | 5. Mai 2025 |
| OIDC / PVP O-Profil | ||
| https://v-portal.tirol.gv.at/idp/shibboleth | https://portal.tirol.gv.at/idp/shibboleth |
| ca. 30. April 2025 | ca. 15. Juni 2025 |
| https://login.vtirol.gv.at | https://login.tirol.gv.at |
| 7. Februar 2025 | 6. März 2025 |
| https://login.vtirol.gv.at/.well-known/openid-configuration | https://login.tirol.gv.at/.well-known/openid-configuration |
| 17. März 2025 | 5. Mai 2025 |
Organisatorisches Vorgehen
Da am Portal Tirol zahlreiche SAML SPs und OIDC OPs hinterlegt sind, bitten wir um nachfolgendes Vorgehen, um einen reibungslosen Übergang zu gewährleisten.
Portal Tirol Produktionsumgebung
Wir bitten alle SAML SPs bzw. OIDC RPs um folgendes Vorgehen wenn sie den aktuellen (alten) SAML IDP Endpunkt bzw. OIDC OP Endpunkt vom Portal Tirol registriert haben.
- Den neuen SAML IDP Endpunkt bzw. den neuen OIDC OP Endpunkt zusätzlich zum alten Endpunkt registrieren.
- Eine neue Start-URL bereitstellen, um den SSO über den neuen Portal Tirol SAML IDP bzw. OIDC OP testen zu können. Bsp. für eine neue Start-URL: https://app.umweltbundesamt.at/portalverbund.gv.at/edm-p/login?entityID=https://login.tirol.gv.at/idp/shibboleth
- Bitte teilen Sie ihrem Ansprechpartner in der DVT die neue Start-URL mit, damit dieser den Funktionstest durchführen kann.
- Falls auch eine Anbindung zur Portal Tirol Testumgebung existiert, bitten wir zuerst die Umstellung der Testumgebung abzuschließen und im Anschluss die Umstellung der Produktion vorzunehmen.
- Ihr Ansprechpartner in der DVT wird anhand der Anleitung unten einen Funktionstest durchführen und eine etwaige Fehlerbehebung begleiten.
- Bitte um Aktualisierung der SAML Metadaten bzw. OIDC Konfiguration mit Stichtag 6. Mai 2025. Falls die Konfiguration am SAML SP / OIDC RP entsprechend der Empfehlung täglich aktualisiert wird, kann dieser Schritt entfallen.
- Falls die Anwendung / Serviceprovider ausschließlich mit einem IDP gekoppelt werden kann ist jetzt der richtige Zeitpunkt um die direkte Umstellung auf den neuen SAML IDP bzw. OIDC OP Endpunkt vorzunehmen.
- In den Tagen nach dem offiziellen Produktivstart wird der Ansprechpartner in der DVT die neue Start-URL im Portal Tirol hinterlegen.
- Falls in der Anwendung ein separater Login Button - z.B. Anmeldung mit Portal Tirol - hinterlegt ist, wird Sie Ihr Ansprechpartner kontaktieren, um die neue Start-URL zu hinterlegen.
- Am Ende der Migrationsphase werden Sie mit einem neuerlichen Mail gebeten, die Konfiguration vom alten Portal Tirol SAML IDP bzw. OIDC OP zu entfernen.
Portal Tirol Testumgebung
Wir bitten alle SAML SPs bzw. OIDC RPs um folgendes Vorgehen wenn sie den aktuellen (alten) SAML IDP Endpunkt bzw. OIDC OP Endpunkt von der Portal Tirol Testumgebung registriert haben.
- Den neuen SAML IDP Endpunkt bzw. den neuen OIDC OP Endpunkt zusätzlich zum alten Endpunkt registrieren.
- Eine neue Start-URL bereitstellen, um den SSO über den neuen Portal Tirol SAML IDP bzw. OIDC OP testen zu können. Bsp. für eine neue Start-URL: https://app.umweltbundesamt.at/portalverbund.gv.at/edm-p/login?entityID=https://login.tirol.gv.at/idp/shibboleth
- Bitte teilen Sie ihrem Ansprechpartner in der DVT die neue Start-URL mit, damit dieser den Funktionstest durchführen kann.
- Ihr Ansprechpartner in der DVT wird anhand der Anleitung unten einen Funktionstest durchführen und eine etwaige Fehlerbehebung begleiten.
- Bitte um Aktualisierung der SAML Metadaten bzw. OIDC Konfiguration mit Stichtag 18. März 2025. Falls die Konfiguration am SAML SP / OIDC RP entsprechend der Empfehlung täglich aktualisiert wird, kann dieser Schritt entfallen.
- Falls die Anwendung / Serviceprovider ausschließlich mit einem IDP gekoppelt werden kann ist jetzt der richtige Zeitpunkt um die direkte Umstellung auf den neuen SAML IDP bzw. OIDC OP Endpunkt vorzunehmen.
- In den Tagen nach dem offiziellen Produktivstart wird der Ansprechpartner in der DVT die neue Start-URL im Portal Tirol hinterlegen.
- Falls in der Anwendung ein separater Login Button - z.B. Anmeldung mit Portal Tirol - hinterlegt ist, wird Sie Ihr Ansprechpartner kontaktieren, um die neue Start-URL zu hinterlegen.
- Am Ende der Migrationsphase werden Sie mit einem neuerlichen Mail gebeten, die Konfiguration vom alten Portal Tirol SAML IDP bzw. OIDC OP zu entfernen.
Für Rückfragen steht Ihr Ansprechpartner in der DVT, sowie das Team vom Portal Tirol gerne zur Verfügung.
Funktionstest
Zum aktuellen Zeitpunkt ist der Funktionstest nur im Tiroler Landesnetz durchführbar.
Die Ansprechpartner in der DVT werden angehalten für die neue Anbindung einem Funktionstest zu unterziehen. Folgendes Vorgehen ist dabei anzuwenden:
- Für den Test ist es notwendig im Portal Tirol Benutzermenü unter Persönliche Portaleinstellungen die automatische Anmeldung zu deaktivieren.
- Die übermittelte Start-URL für die neue Konfiguration in einem frischen Browser Fenster ausprobieren. Für die Anmeldung muss die Seite vom neuen Portal Tirol mit dem Hostnamen login.tirol.gv.at angezeigt werden.
- Nach der Anmeldung muss der Single-Sign-On in die Anwendung erfolgreich sein.
- Zusätzlich ist es notwendig, den Single-Logout zwei mal zu prüfen:
- Single-Logout ausgehend von der Anwendung / Serviceprovider: Bei einer Abmeldung in der Anwendung ist es erforderlich, dass man in der Anwendung und am Portal Tirol abgemeldet wird.
- Single-Logout ausgehend vom Portal Tirol: Bei einer Abmeldung im Portal Tirol sollte idealerweise auch eine Abmeldung in der Anwendung erfolgen. Jedenfalls sollte das Verhalten analog zum alten Portal Tirol sein und ein LogoutRequest an den Serviceprovider vorhanden sein.
Für Rückfragen steht das Portal Tirol Team gerne zur Verfügung.