RSS DEV コミュニティ
フォロー
セルフホスト型Duendeからの移行:移行するもの、運用を停止するもの
Duende IdentityServerは.NETで独自のアイデンティティレイヤーを所有するための堅牢なソリューションですが、運用上のオーバーヘッドが大きいです。セルフホスティングでは、IdP自体のパッチ適用、スケーリング、ライセンス管理に加え、管理UI、MFA、監査ログなどの周辺機能すべてを構築する必要があります。多くのチームは最終的にこの運用上の負担を軽減することを決定するため、移行は重要な検討事項となります。良いニュースは、Duendeからの移行は、その設定がSQLにあり、ユーザーがASP.NET Identityにあるため、大部分が機械的なものであるということです。
クライアント、スコープ、ユーザーはスムーズに移行します。重要なのは、ASP.NET Identity V3のパスワードハッシュはネイティブでサポートされているため、他のIdP移行でよくある問題であるユーザーパスワードのリセットが不要になることです。ロール、割り当て、外部ログイン、OIDCアイデンティティプロバイダーも直接移行しますが、SAMLプロバイダーは再構成が必要です。アイデンティティの安定性を維持することが最優先事項であるため、移行ではユーザーの「sub」と「client_id」を保持し、下流の依存関係の破損を防ぎます。
移行ツールは、ロックアウトされたユーザーのdatetimeoffsetの処理など、インポートの失敗を引き起こす可能性のある微妙な問題を検出するために、実際のシードされたDuendeデータベースに対して厳密にテストされています。移行の主な利点は、IdPの運用を停止し、代わりにSAML、SCIM、MFA、監査ログ、カスタムブランディングの組み込み機能を利用して、パッチ適用とスケーリングの責任を軽減することです。完全な制御を維持することが引き続き優先事項である場合、Duendeを使い続けることは有効な選択肢です。しかし、IdP運用から時間を再配分したい組織にとって、Duendeからのスムーズな移行は魅力的な選択肢であり、コミットする前にインポートを評価するための読み取り専用プレビューを提供します。
