https://developers.wiki.kennisnet.nl/api.php?action=feedcontributions&user=Vandenhoek01&feedformat=atomKennisnet Developers Documentatie - Gebruikersbijdragen [nl]2024-03-28T12:26:50ZGebruikersbijdragenMediaWiki 1.35.13https://developers.wiki.kennisnet.nl/index.php?title=Hoofdpagina&diff=10391Hoofdpagina2019-11-04T15:14:31Z<p>Vandenhoek01: /* Diensten */</p>
<hr />
<div>Het doel van deze wiki is het beschikbaar stellen van documentatie over technische koppelingen met Kennisnet diensten voor ontwikkelaars.<br />
<br />
== Diensten ==<br />
{| cellspacing="10" cellpadding="5" border="0" width="90%"<br />
|-<br />
| style="width:50%" valign="top" | <br />
{{NavItem|Edurep|Edurep:Hoofdpagina|Edurep is een gratis, centrale voorziening die (digitaal) leermateriaal op internet vindbaar maakt. Hiervoor verzamelt Edurep gegevens over leermateriaal uit een groot aantal collecties. Deze collecties zijn afkomstig van bijvoorbeeld uitgeverijen, onderwijsinstellingen en cultureel-maatschappelijke organisaties. Zij labelen hun leermateriaal met kenmerken (metadata) zoals titel, auteur, onderwijsniveau en sleutelwoorden. Edurep maakt deze kenmerken eenvoudig doorzoekbaar.}}<br />
| style="width:50%" valign="top" |<br />
{{NavItem|Entree Federatie|KNF:Hoofdpagina|In de Entree Federatie zijn onderwijsinstellingen en leveranciers van educatieve content verenigd. Via onze dienst kunnen de scholen met één login de leermiddelen van de aangesloten leveranciers bereiken. Terwijl de dienstleveranciers de controle over de toegang tot hun product behouden.}}<br />
|-<br />
| valign="top" | {{NavItem|Catalogus Service|CS:Hoofdpagina|De Edurep Catalogus Service verzamelt verschillende bron catalogus services en biedt deze aan als nieuwe catalogus service en via een zoek api. }}<br />
| valign="top" | {{NavItem|Overstapservice Onderwijs|OSO:Hoofdpagina|De Overstap Service Onderwijs (OSO) is een dienst die het veilig en betrouwbaar overdragen van digitale overstap dossiers faciliteert. OSO bestaat enerzijds uit een technisch deel, waarbij de centrale component van OSO, het Traffic Center, regelt de toegang van school- en instellings- systemen tot OSO. Het tweede deel is een set afspraken over de inhoud en structuur van de dossiers, de functionaliteit, techniek en beveiliging van de koppelvlakken en de omgang met de gegevens door leveranciers en scholen.}}<br />
|-<br />
| valign="top" | {{NavItem|Nummervoorziening|SID:Hoofdpagina|De nummervoorziening zorgt ervoor dat betekenisloze identificatienummers uitgewisseld kunnen worden binnen de onderwijsketen, zonder dat er persoonsgegevens van leerlingen gedeeld worden met en tussen partijen in de leermiddelenketen.}}<br />
| valign="top" | {{NavItem|Kennisnet Validatie Service|KVS:Hoofdpagina|De Kennisnet Validatie Service valideert OSO berichten.}}<br />
|-<br />
| valign="top" | {{NavItem|Onderwijs Serviceregister|OSR:Hoofdpagina|De voorziening Onderwijs Serviceregister (OSR) zal de rol van "telefoonboek" voor de onderwijsketen vervullen. In het OSR worden de relatie tussen scholen, leveranciers en diensten vastgelegd. Hiermee zal het OSR een standaardoplossing bieden omtrent routerings- en autorisatievraagstukken.}}<br />
| valign="top" | {{NavItem|Vroegtijdig Aanmelden mbo|VA:Hoofdpagina|Deze voorziening, het project Vroegtijdig Aanmelden mbo moet vooral zorgen voor de juiste routering van gegevens tussen de vo-scholen, mbo-instellingen en gemeenten.}}<br />
|-<br />
| valign="top" | {{NavItem|OnderwijsBegrippenKader|OBK:Hoofdpagina|Om het onderwijs te ondersteunen met ICT toepassingen is er in juni 2012 door bureau Edustandaard een begin gemaakt met een OnderwijsBegrippenKader, kortweg het OBK, dé gemeenschappelijke online database met alle onderwijsbegrippen en hun onderlinge relaties – te beginnen met het curriculum.}}<br />
| valign="top" | {{NavItem|Eduterm|OBKAPI:Hoofdpagina|De Eduterm (OBK-API) zorgt ervoor dat applicaties met simpele commando's de logica van de OnderwijsBegrippenKader kunnen bevragen.}}<br />
|-<br />
| valign="top" | {{NavItem|BronMetadataEditor|BME:Hoofdpagina|Met de Bron Metadata-editor kun je aan je leermiddelen alle algemene kenmerken en onderwijskenmerken toevoegen in je database. Deze gebruiksvriendelijke tool sluit je daarvoor aan op je eigen database.}}<br />
| valign="top" | {{NavItem|Wikiwijs Maken|WWM:Hoofdpagina|Wikiwijs Maken is een webdienst voor leerkrachten om zelfstandig of samen met collega's lesmateriaal te maken. Lesmateriaal kan geupload worden en bestaande lesmaterialen kunnen worden gecombineerd tot een nieuw geheel, een arrangement.}}<br />
|-<br />
| valign="top" | {{NavItem|eduroam|Eduroam:Hoofdpagina|eduroam is hét internationale netwerk om toegang te krijgen tot vaste en draadloze netwerken (wifi) in het onderwijs. Met eduroam krijgen leerlingen, medewerkers en bezoekers via wifi snel en veilig toegang tot de eigen internetverbinding van de school. Ook krijgen ze als gast toegang tot het internet van aangesloten scholen, bso's, gemeenten, bibliotheken en musea. }}<br />
|<br />
|}<br />
<br />
== Verdieping ==<br />
{| cellspacing="10" cellpadding="5" border="0" width="90%"<br />
|- valign="top"<br />
| style="width:50%" | <br />
{{NavItem|Standaarden|Standaarden:Hoofdpagina|Op deze site worden verschillende standaarden ons domein nader beschreven met implementatie tips en voorbeelden.}}<br />
| style="width:50%" |<br />
{{NavItem|Browse|:Category:Start|Browse de site via de categorien.}}<br />
|}</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Eduroam-logo.png&diff=10390Bestand:Eduroam-logo.png2019-11-04T15:13:05Z<p>Vandenhoek01: -</p>
<hr />
<div>-</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Hoofdpagina&diff=10389Hoofdpagina2019-11-04T15:11:39Z<p>Vandenhoek01: /* Diensten */</p>
<hr />
<div>Het doel van deze wiki is het beschikbaar stellen van documentatie over technische koppelingen met Kennisnet diensten voor ontwikkelaars.<br />
<br />
== Diensten ==<br />
{| cellspacing="10" cellpadding="5" border="0" width="90%"<br />
|-<br />
| style="width:50%" valign="top" | <br />
{{NavItem|Edurep|Edurep:Hoofdpagina|Edurep is een gratis, centrale voorziening die (digitaal) leermateriaal op internet vindbaar maakt. Hiervoor verzamelt Edurep gegevens over leermateriaal uit een groot aantal collecties. Deze collecties zijn afkomstig van bijvoorbeeld uitgeverijen, onderwijsinstellingen en cultureel-maatschappelijke organisaties. Zij labelen hun leermateriaal met kenmerken (metadata) zoals titel, auteur, onderwijsniveau en sleutelwoorden. Edurep maakt deze kenmerken eenvoudig doorzoekbaar.}}<br />
| style="width:50%" valign="top" |<br />
{{NavItem|Entree Federatie|KNF:Hoofdpagina|In de Entree Federatie zijn onderwijsinstellingen en leveranciers van educatieve content verenigd. Via onze dienst kunnen de scholen met één login de leermiddelen van de aangesloten leveranciers bereiken. Terwijl de dienstleveranciers de controle over de toegang tot hun product behouden.}}<br />
|-<br />
| valign="top" | {{NavItem|Catalogus Service|CS:Hoofdpagina|De Edurep Catalogus Service verzamelt verschillende bron catalogus services en biedt deze aan als nieuwe catalogus service en via een zoek api. }}<br />
| valign="top" | {{NavItem|Overstapservice Onderwijs|OSO:Hoofdpagina|De Overstap Service Onderwijs (OSO) is een dienst die het veilig en betrouwbaar overdragen van digitale overstap dossiers faciliteert. OSO bestaat enerzijds uit een technisch deel, waarbij de centrale component van OSO, het Traffic Center, regelt de toegang van school- en instellings- systemen tot OSO. Het tweede deel is een set afspraken over de inhoud en structuur van de dossiers, de functionaliteit, techniek en beveiliging van de koppelvlakken en de omgang met de gegevens door leveranciers en scholen.}}<br />
|-<br />
| valign="top" | {{NavItem|Nummervoorziening|SID:Hoofdpagina|De nummervoorziening zorgt ervoor dat betekenisloze identificatienummers uitgewisseld kunnen worden binnen de onderwijsketen, zonder dat er persoonsgegevens van leerlingen gedeeld worden met en tussen partijen in de leermiddelenketen.}}<br />
| valign="top" | {{NavItem|Kennisnet Validatie Service|KVS:Hoofdpagina|De Kennisnet Validatie Service valideert OSO berichten.}}<br />
|-<br />
| valign="top" | {{NavItem|Onderwijs Serviceregister|OSR:Hoofdpagina|De voorziening Onderwijs Serviceregister (OSR) zal de rol van "telefoonboek" voor de onderwijsketen vervullen. In het OSR worden de relatie tussen scholen, leveranciers en diensten vastgelegd. Hiermee zal het OSR een standaardoplossing bieden omtrent routerings- en autorisatievraagstukken.}}<br />
| valign="top" | {{NavItem|Vroegtijdig Aanmelden mbo|VA:Hoofdpagina|Deze voorziening, het project Vroegtijdig Aanmelden mbo moet vooral zorgen voor de juiste routering van gegevens tussen de vo-scholen, mbo-instellingen en gemeenten.}}<br />
|-<br />
| valign="top" | {{NavItem|OnderwijsBegrippenKader|OBK:Hoofdpagina|Om het onderwijs te ondersteunen met ICT toepassingen is er in juni 2012 door bureau Edustandaard een begin gemaakt met een OnderwijsBegrippenKader, kortweg het OBK, dé gemeenschappelijke online database met alle onderwijsbegrippen en hun onderlinge relaties – te beginnen met het curriculum.}}<br />
| valign="top" | {{NavItem|Eduterm|OBKAPI:Hoofdpagina|De Eduterm (OBK-API) zorgt ervoor dat applicaties met simpele commando's de logica van de OnderwijsBegrippenKader kunnen bevragen.}}<br />
|-<br />
| valign="top" | {{NavItem|BronMetadataEditor|BME:Hoofdpagina|Met de Bron Metadata-editor kun je aan je leermiddelen alle algemene kenmerken en onderwijskenmerken toevoegen in je database. Deze gebruiksvriendelijke tool sluit je daarvoor aan op je eigen database.}}<br />
| valign="top" | {{NavItem|Wikiwijs Maken|WWM:Hoofdpagina|Wikiwijs Maken is een webdienst voor leerkrachten om zelfstandig of samen met collega's lesmateriaal te maken. Lesmateriaal kan geupload worden en bestaande lesmaterialen kunnen worden gecombineerd tot een nieuw geheel, een arrangement.}}<br />
|-<br />
| valign="top" | {{NavItem|Eduroam|Eduroam:Hoofdpagina|eduroam is hét internationale netwerk om toegang te krijgen tot vaste en draadloze netwerken (wifi) in het onderwijs. Met eduroam krijgen leerlingen, medewerkers en bezoekers via wifi snel en veilig toegang tot de eigen internetverbinding van de school. Ook krijgen ze als gast toegang tot het internet van aangesloten scholen, bso's, gemeenten, bibliotheken en musea. }}<br />
|<br />
|}<br />
<br />
== Verdieping ==<br />
{| cellspacing="10" cellpadding="5" border="0" width="90%"<br />
|- valign="top"<br />
| style="width:50%" | <br />
{{NavItem|Standaarden|Standaarden:Hoofdpagina|Op deze site worden verschillende standaarden ons domein nader beschreven met implementatie tips en voorbeelden.}}<br />
| style="width:50%" |<br />
{{NavItem|Browse|:Category:Start|Browse de site via de categorien.}}<br />
|}</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=MediaWiki:Sidebar&diff=10387MediaWiki:Sidebar2019-11-04T14:17:28Z<p>Vandenhoek01: </p>
<hr />
<div><br />
* navigation<br />
** mainpage|mainpage-description<br />
** BME:Hoofdpagina|BME<br />
** CS:Hoofdpagina|Catalogus Service<br />
** Eduroam:Hoofdpagina|Eduroam<br />
** Edurep:Hoofdpagina|Edurep<br />
** Eduterm:Hoofdpagina|Eduterm<br />
** KNF:Hoofdpagina|Entree Federatie<br />
** KVS:Hoofdpagina|KVS<br />
** SID:Hoofdpagina|Nummervoorziening<br />
** OBK:Hoofdpagina|OBK<br />
** OSO:Hoofdpagina|OSO<br />
** OSR:Hoofdpagina|OSR<br />
** Standaarden:Hoofdpagina|Standaarden<br />
** VA:Hoofdpagina|Vroegtijdig Aanmelden<br />
** WWM:Hoofdpagina|Wikiwijs Maken<br />
** recentchanges-url|recentchanges<br />
** randompage-url|randompage<br />
** helppage|help<br />
* SEARCH<br />
* TOOLBOX<br />
* LANGUAGES</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:SimpleSAMLphp-idp&diff=7952KNF:SimpleSAMLphp-idp2018-01-09T08:42:21Z<p>Vandenhoek01: /* Userstore aanroepen in metadata/saml20-idp-hosted.php */</p>
<hr />
<div>==Installatie van SimpleSAMLphp==<br />
Voor het installeren van SimpleSAMLphp dient u eerst de stappen in de installatie documentatie op de volgende twee links te volgen:<br />
#[http://simplesamlphp.org/docs/stable/simplesamlphp-install Installatie documentatie SimpleSAMLphp]<br />
#[http://simplesamlphp.org/docs/stable/simplesamlphp-idp Quickstart document SimpleSAMLphp]<br />
'''LET OP:''' Pas als u de stappen hierboven hebt gevolgd kunt u de configuratie aanpassen voor de Entree Federatie zoals hieronder beschreven.<br />
<br />
== Configuratie aanpassen voor de Entree Federatie ==<br />
Voor de koppeling met de Entree Federatie zijn een aantal wijzigingen in de configuraties van SimpleSAMLphp nodig.<br><br />
'''LET OP: '''De volgende voorbeelden van de configuratie zijn toevoegingen of wijzigingen. De php-tags zijn niet meegenomen.<br />
<br />
===Userstore configureren in authsources.php===<br />
In het bestand <source lang="text" enclose="none">authsources.php</source> kan op diverse manieren geconfigureerd worden wat voor userstore er gebruikt zou moeten worden. Dit kan bijvoorbeeld een LDAP, SQL database, bestand of een array zijn, een overzicht van de opties staat in [http://simplesamlphp.org/docs/1.5/simplesamlphp-idp#section_2 de Quickstart van SimpleSAMLphp].<br />
<br />
Als voorbeeld gebruiken we de optie <source lang="text" enclose="none">exampleauth:UserPass</source>. Hierbij wordt als userstore een lijst (array) met gebruikersnamen en wachtwoorden gebruikt.<br />
<br />
<syntaxhighlight lang="php"><br />
'demoSAMLIdP' => array(<br />
'exampleauth:UserPass',<br />
'gebruiker:demo' => array(<br />
'uid' => array('gebruikernaam@demoELO'),<br />
'eduPersonAffiliation' => array('student'),<br />
'employeeNumber' => '123456789',<br />
'mail' => 'email@adres.nl',<br />
'givenName' => 'Voornaam',<br />
'sn' => 'Achternaam',<br />
'nlEduPersonHomeOrganizationId' => 'BRIN',<br />
'nlEduPersonHomeOrganization' => 'Schoolnaam'<br />
),<br />
</syntaxhighlight><br />
<br />
===Userstore aanroepen in metadata/saml20-idp-hosted.php===<br />
In het bestand <source lang="text" enclose="none">metadata/saml20-idp-hosted.php</source> moet nu de geconfigureerde userstore (in ons voorbeeld de array met de naam <source lang="text" enclose="none">demoSAMLIdP</source>) aangeroepen worden.<br />
<syntaxhighlight lang="php"><br />
'demoSAMLIdP' => array(<br />
//Bepaald de standaard host als IdP in geval van meerdere IdP's zijn gekoppeld<br />
'host' => '__DEFAULT__',<br />
<br />
//Specifieke attribuut formaten voor Entree Federatie<br />
'NameIDPolicy' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',<br />
'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified',<br />
<br />
//Het element NameID moet dezelfde waarde bevatten als het attribuut uid<br />
'simplesaml.nameidattribute' => 'uid',<br />
<br />
//Certificaten voor versleutelen van berichten. Zie https://simplesamlphp.org/docs/stable/simplesamlphp-idp#section_6<br />
'privatekey' => 'server.pem',<br />
'certificate' => 'server.crt',<br />
<br />
//De authenticatie bron waar de gebruikers uit geverifieerd dienen te worden. Dit moet overeenkomen met een van de waarden uit de config/authsources.php<br />
'auth' => 'demoSAMLIdP',<br />
),<br />
</syntaxhighlight><br />
Met ingang van SimpleSAMLphp versie 1.15 is 'NameIDFormat' vervangen door 'NameIDPolicy'. Het gebruik van 'NameIDFormat' wordt niet meer ondersteunt.<br />
<br />
'''LET OP:''' Entree Federatie ververst elke 4 uur de metadata. Een wijziging van het entityID wordt echter niet automatisch opgepakt. Als je op een later tijdstip het entityID in de metadata wijzigt neem dan contact op met de servicedesk van Kennisnet: https://support.kennisnet.org/<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:SimpleSAMLphp-idp&diff=7951KNF:SimpleSAMLphp-idp2018-01-09T08:41:14Z<p>Vandenhoek01: </p>
<hr />
<div>==Installatie van SimpleSAMLphp==<br />
Voor het installeren van SimpleSAMLphp dient u eerst de stappen in de installatie documentatie op de volgende twee links te volgen:<br />
#[http://simplesamlphp.org/docs/stable/simplesamlphp-install Installatie documentatie SimpleSAMLphp]<br />
#[http://simplesamlphp.org/docs/stable/simplesamlphp-idp Quickstart document SimpleSAMLphp]<br />
'''LET OP:''' Pas als u de stappen hierboven hebt gevolgd kunt u de configuratie aanpassen voor de Entree Federatie zoals hieronder beschreven.<br />
<br />
== Configuratie aanpassen voor de Entree Federatie ==<br />
Voor de koppeling met de Entree Federatie zijn een aantal wijzigingen in de configuraties van SimpleSAMLphp nodig.<br><br />
'''LET OP: '''De volgende voorbeelden van de configuratie zijn toevoegingen of wijzigingen. De php-tags zijn niet meegenomen.<br />
<br />
===Userstore configureren in authsources.php===<br />
In het bestand <source lang="text" enclose="none">authsources.php</source> kan op diverse manieren geconfigureerd worden wat voor userstore er gebruikt zou moeten worden. Dit kan bijvoorbeeld een LDAP, SQL database, bestand of een array zijn, een overzicht van de opties staat in [http://simplesamlphp.org/docs/1.5/simplesamlphp-idp#section_2 de Quickstart van SimpleSAMLphp].<br />
<br />
Als voorbeeld gebruiken we de optie <source lang="text" enclose="none">exampleauth:UserPass</source>. Hierbij wordt als userstore een lijst (array) met gebruikersnamen en wachtwoorden gebruikt.<br />
<br />
<syntaxhighlight lang="php"><br />
'demoSAMLIdP' => array(<br />
'exampleauth:UserPass',<br />
'gebruiker:demo' => array(<br />
'uid' => array('gebruikernaam@demoELO'),<br />
'eduPersonAffiliation' => array('student'),<br />
'employeeNumber' => '123456789',<br />
'mail' => 'email@adres.nl',<br />
'givenName' => 'Voornaam',<br />
'sn' => 'Achternaam',<br />
'nlEduPersonHomeOrganizationId' => 'BRIN',<br />
'nlEduPersonHomeOrganization' => 'Schoolnaam'<br />
),<br />
</syntaxhighlight><br />
<br />
===Userstore aanroepen in metadata/saml20-idp-hosted.php===<br />
In het bestand <source lang="text" enclose="none">metadata/saml20-idp-hosted.php</source> moet nu de geconfigureerde userstore (in ons voorbeeld de array met de naam <source lang="text" enclose="none">demoSAMLIdP</source>) aangeroepen worden.<br />
<syntaxhighlight lang="php"><br />
'demoSAMLIdP' => array(<br />
//Bepaald de standaard host als IdP in geval van meerdere IdP's zijn gekoppeld<br />
'host' => '__DEFAULT__',<br />
<br />
//Specifieke attribuut formaten voor Entree Federatie<br />
'NameIDPolicy' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',<br />
'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified',<br />
<br />
//Het element NameID moet dezelfde waarde bevatten als het attribuut uid<br />
'simplesaml.nameidattribute' => 'uid',<br />
<br />
//Certificaten voor versleutelen van berichten. Zie http://simplesamlphp.org/docs/1.5/simplesamlphp-idp#section_6<br />
'privatekey' => 'server.pem',<br />
'certificate' => 'server.crt',<br />
<br />
//De authenticatie bron waar de gebruikers uit geverifieerd dienen te worden. Dit moet overeenkomen met een van de waarden uit de config/authsources.php<br />
'auth' => 'demoSAMLIdP',<br />
),<br />
</syntaxhighlight><br />
Met ingang van SimpleSAMLphp versie 1.15 is 'NameIDFormat' vervangen door 'NameIDPolicy'. Het gebruik van 'NameIDFormat' wordt niet meer ondersteunt.<br />
<br />
'''LET OP:''' Entree Federatie ververst elke 4 uur de metadata. Een wijziging van het entityID wordt echter niet automatisch opgepakt. Als je op een later tijdstip het entityID in de metadata wijzigt neem dan contact op met de servicedesk van Kennisnet: https://support.kennisnet.org/<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:SimpleSAMLphp-sp&diff=7950KNF:SimpleSAMLphp-sp2018-01-09T08:40:48Z<p>Vandenhoek01: </p>
<hr />
<div>{{Talen}}<br />
<br />
===Installatie===<br />
Bij installatie zijn de volgende stappen nodig:<br />
<br />
# [http://simplesamlphp.org/docs/stable/simplesamlphp-install Installatie documentatie SimpleSAMLphp]<br />
# [http://simplesamlphp.org/docs/stable/simplesamlphp-sp Quickstart document SimpleSAMLphp]<br />
# De Entree Federatie specifieke data die hieronder is beschreven.<br />
<br />
===Configuratie===<br />
De Entree Federatie vraagt een aantal specifieke configuraties aan SimpleSAMLphp.<br><br />
'''LET OP!''' Volgende configuraties zijn toevoegingen of wijzigingen. De php tags zijn niet meegenomen.<br />
<br />
====authsources.php====<br />
<syntaxhighlight lang="php"><br />
// default-sp kan worden aangepast naar een eigen te kiezen naam van de dienst<br />
// noodzakelijk bij meerdere app achter deze koppeling.<br />
<br />
'default-sp' => array(<br />
'saml:SP',<br />
<br />
// Voer een entityID in voor uw applicatie (meestal unieke url van de dienst) <br />
'entityID' => 'https://domainname.com',<br />
<br />
// Certificaat gegenereerd in stap 1.1 uit de Quickstart<br />
// pad is te configureren in config.php bij 'certdir' => 'cert/'; map is nog niet aangemaakt door installer.<br />
'privatekey' => 'saml.pem',<br />
'certificate' => 'saml.crt',<br />
<br />
// Standaard keuzemenu voor Identity Provider uitzetten en direct naar Entree Federatie wijzen<br />
// Onderstaande configuratie is voor staging. <br />
// Bij livegang hoeft alleen deze waarde aangepast te worden naar aselect.entree.kennisnet.nl<br />
'idp' => 'aselect-s.entree.kennisnet.nl', // staging/test url<br />
// 'idp' => 'aselect.entree.kennisnet.nl', // productie url<br />
<br />
// Entree Federatie attribuut formaten aanpassen<br />
'NameIDPolicy' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',<br />
'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified',<br />
<br />
// Optionele configuratie voor-selectie aan te spreken Identity Provider/school<br />
// 'IDPList' => array( 'entityidofidp', ),<br />
// 'ProxyCount' => 1,<br />
),<br />
</syntaxhighlight><br />
<br />
Met ingang van SimpleSAMLphp versie 1.15 is 'NameIDFormat' vervangen door 'NameIDPolicy'. Het gebruik van 'NameIDFormat' wordt niet meer ondersteunt.<br />
<br />
'''LET OP:''' Entree Federatie ververst elke 4 uur de metadata. Een wijziging van het entityID wordt echter niet automatisch opgepakt. Als je op een later tijdstip het entityID in de metadata wijzigt neem dan contact op met de servicedesk van Kennisnet: https://support.kennisnet.org/<br />
<br />
====config.php====<br />
<syntaxhighlight lang="php"><br />
// Het pad waarop simpleSAMLphp bereikbaar is. Dit moet overeenkomen met de Alias locatie in de webserver configuratie.<br />
'baseurlpath' => 'simplesaml/',<br />
<br />
// Pas het admin wachtwoord voor de webinterface aan!!!<br />
'auth.adminpassword' => '!123456!',<br />
<br />
// Voer de juiste contactgegevens in.<br />
'technicalcontact_name' => 'Technisch contactpersoon',<br />
'technicalcontact_email' => 'na@example.org',<br />
</syntaxhighlight><br />
<br />
====metadata/saml20-idp-remote.php====<br />
Het ophalen van de metadata dient automatisch te gebeuren. Dit is belangrijk wanneer aan Kennisnet zijde metadata wordt gewijzigd (bijvoorbeeld door een certificaatwijziging) dat de koppeling blijft werken.<br />
<br />
De instructies voor het automatisch ophalen van de metadata staat beschreven op de volgende pagina: [[KNF:SimpleSAMLphp-metadata]]<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Aselect.entree.kennisnet.nl.crt.zip&diff=7564Bestand:Aselect.entree.kennisnet.nl.crt.zip2017-08-08T13:22:31Z<p>Vandenhoek01: Bastiaan.vandenhoek heeft een nieuwe versie van &quot;Bestand:Aselect.entree.kennisnet.nl.crt.zip&quot; toegevoegd</p>
<hr />
<div>[[Categorie:Entree Federatie]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Aselect-s.entree.kennisnet.nl.crt.zip&diff=7563Bestand:Aselect-s.entree.kennisnet.nl.crt.zip2017-08-08T13:21:56Z<p>Vandenhoek01: Bastiaan.vandenhoek heeft een nieuwe versie van &quot;Bestand:Aselect-s.entree.kennisnet.nl.crt.zip&quot; toegevoegd</p>
<hr />
<div>[[Categorie:Entree Federatie]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7538KNF:ADFSx-IdP2017-07-17T09:18:16Z<p>Vandenhoek01: Bastiaan.vandenhoek heeft de pagina KNF:ADFS3x-IdP hernoemd naar KNF:ADFSx-IdP zonder een doorverwijzing achter te laten</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server, bijv. Windows Server 2016.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-federation-service-proxy-role-service<br />
<br />
===ADFS Proxy Configuratie===<br />
<br />
Voor het configureren van AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/configure-a-computer-for-the-federation-server-proxy-role<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services <versie>\WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7537KNF:ADFSx-IdP2017-07-17T09:17:51Z<p>Vandenhoek01: </p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server, bijv. Windows Server 2016.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-federation-service-proxy-role-service<br />
<br />
===ADFS Proxy Configuratie===<br />
<br />
Voor het configureren van AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/configure-a-computer-for-the-federation-server-proxy-role<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services <versie>\WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7536KNF:ADFSx-IdP2017-07-17T09:14:27Z<p>Vandenhoek01: /* Loginpagina aanpassen */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server: Windows Server SP2 of Windows Server R2 (standaard of enterprise).<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-federation-service-proxy-role-service<br />
<br />
===ADFS Proxy Configuratie===<br />
<br />
Voor het configureren van AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/configure-a-computer-for-the-federation-server-proxy-role<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services <versie>\WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7535KNF:ADFSx-IdP2017-07-17T09:13:58Z<p>Vandenhoek01: /* ADFS Proxy Configuratie */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server: Windows Server SP2 of Windows Server R2 (standaard of enterprise).<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-federation-service-proxy-role-service<br />
<br />
===ADFS Proxy Configuratie===<br />
<br />
Voor het configureren van AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/configure-a-computer-for-the-federation-server-proxy-role<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services \WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7534KNF:ADFSx-IdP2017-07-17T09:08:49Z<p>Vandenhoek01: /* ADFS software installeren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server: Windows Server SP2 of Windows Server R2 (standaard of enterprise).<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS proxy volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-federation-service-proxy-role-service<br />
<br />
===ADFS Proxy Configuratie===<br />
#Kies '''Start > Programs > Administrative Tools > ADFS Federation Server Proxy Configuration Wizard''' om de ADFS proxy configuratie applicatie te starten.<br />
#: [[Bestand:adfs18.jpg|500px]]<br />
#Klik op Next.<br />
#: [[Bestand:adfs19.png|500px]]<br />
#Vul in het veld 'Federation Service name' de naam in van uw ADFS server die u in paragraaf 2.4 hebt gekozen. Normaal gesproken is dit de hostnaam van de ADFS server. Als hier een onjuiste naam wordt opgegeven, dan kunnen er problemen ontstaan met het opbouwen van de trust. Als er problemen ontstaan, dan kan de eventlog op beide machines bekeken worden.<br />
#Klik op Next.<br />
#: [[Bestand:adfs20.jpg|500px]]<br />
#De popup geeft aan dat er een succesvolle verbinding van de proxy naar de server gelegd kon worden.<br />
#Klik op '''OK'''.<br />
#: [[Bestand:adfs21.png|500px]]<br />
#Voer gebruikersnaam en wachtwoord in van het adminstrator-account van de ADFS server en klik op '''OK'''.<br />
#: [[Bestand:adfs22.jpg|500px]]<br />
#Klik op '''Next'''.<br />
#: [[Bestand:adfs23.jpg|500px]]<br />
#Klik op '''Close''' als de installatie voltooid is.<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services \WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7533KNF:ADFSx-IdP2017-07-17T09:07:43Z<p>Vandenhoek01: </p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==ADFS proxy inrichten==<br />
De ADFS-proxy hoeft niet op een aparte machine te worden geïnstalleerd, maar kan op een bestaande machine komen te staan die ook al voor andere doeleinden in gebruik is, bijvoorbeeld een webserver.<br />
<br />
De installatie van een ADFS proxy gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 4.1)<br />
#ADFS software installeren (paragraaf 4.2)<br />
#De instellingen van de ADFS proxy configureren (paragraaf 4.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS proxy te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
<br />
*Installeer de juiste versie van het besturingssysteem op de server: Windows Server SP2 of Windows Server R2 (standaard of enterprise).<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Zorg ervoor dat de server niet opgenomen is in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft. U kunt servercertificaten onder meer verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx<br />
<br />
===ADFS software installeren===<br />
Zie paragraaf 2.2 voor het installeren van de ADFS software, met dit verschil:<br />
<br />
kies bij stap 3 voor '''Federation server'''.<br />
<br />
[[Bestand:adfs17.jpg|500px]]<br />
<br />
===ADFS Proxy Configuratie===<br />
#Kies '''Start > Programs > Administrative Tools > ADFS Federation Server Proxy Configuration Wizard''' om de ADFS proxy configuratie applicatie te starten.<br />
#: [[Bestand:adfs18.jpg|500px]]<br />
#Klik op Next.<br />
#: [[Bestand:adfs19.png|500px]]<br />
#Vul in het veld 'Federation Service name' de naam in van uw ADFS server die u in paragraaf 2.4 hebt gekozen. Normaal gesproken is dit de hostnaam van de ADFS server. Als hier een onjuiste naam wordt opgegeven, dan kunnen er problemen ontstaan met het opbouwen van de trust. Als er problemen ontstaan, dan kan de eventlog op beide machines bekeken worden.<br />
#Klik op Next.<br />
#: [[Bestand:adfs20.jpg|500px]]<br />
#De popup geeft aan dat er een succesvolle verbinding van de proxy naar de server gelegd kon worden.<br />
#Klik op '''OK'''.<br />
#: [[Bestand:adfs21.png|500px]]<br />
#Voer gebruikersnaam en wachtwoord in van het adminstrator-account van de ADFS server en klik op '''OK'''.<br />
#: [[Bestand:adfs22.jpg|500px]]<br />
#Klik op '''Next'''.<br />
#: [[Bestand:adfs23.jpg|500px]]<br />
#Klik op '''Close''' als de installatie voltooid is.<br />
<br />
===DNS configureren===<br />
Als de server en de proxy zijn ingericht, moet u de DNS-configuratie nog aanpassen. Interne verzoeken (van binnen het Windows-domein) moeten namelijk direct naar de server worden geleid, externe verzoeken moeten via de proxy lopen.<br />
<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf uw eigen domein resolven naar de ADFS server<br />
*‘adfs.hostnaam.nl’ moet voor verzoeken vanaf externe domeinen resolven naar de ADFS proxy.<br />
<br />
Het testen van de proxy kan verlopen door op een client machine tijdelijk de HOSTS-file aan te passen naar de nieuwe situatie.<br />
<br />
===Loginpagina aanpassen===<br />
De standaard loginpagina op de ADFS proxy kan desgewenst worden aangepast naar de look-and-feel van uw instelling, door de file:<br />
<br />
:C:\Program Files\Active Directory Federation Services \WSFederationPassive.Web\FormsSignIn.aspx<br />
<br />
te wijzigen. Bij voorkeur dient hier tekst te worden opgenomen over:<br />
<br />
*De manier waarop gebruikers moeten inloggen, bijvoorbeeld in welk formaat de inlognaam moet worden ingevoerd (studentnummer of e-mailadres)<br />
*Een waarschuwing dat (bij gebruik op gedeelde werkstations) uitloggen alleen gegarandeerd kan worden door de browser af te sluiten<br />
*Dat bij het inloggen moet worden gelet op een geldige HTTPS URL op de juiste server<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7532KNF:ADFSx-IdP2017-07-17T08:56:52Z<p>Vandenhoek01: /* Basisinstellingen ADFS configureren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
#Voor het configureren van AD FS volg de volgende online handleiding: https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
#Controleer of de metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7531KNF:ADFSx-IdP2017-07-17T08:55:28Z<p>Vandenhoek01: /* ADFS software installeren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7530KNF:ADFSx-IdP2017-07-17T08:54:39Z<p>Vandenhoek01: /* ADFS software installeren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
Voor het installeren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service<br />
<br />
Voor het configureren van de rol AD FS volg de volgende online handleiding:<br />
https://docs.microsoft.com/nl-nl/windows-server/identity/ad-fs/deployment/create-a-stand-alone-federation-server<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7528KNF:ADFSx-IdP2017-07-13T09:00:31Z<p>Vandenhoek01: /* Meer over ADFS */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
Een volledige beschrijving over AD FS is te vinden op:<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7527KNF:ADFSx-IdP2017-07-13T08:34:27Z<p>Vandenhoek01: /* Basisinstellingen ADFS 2.0 configureren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7526KNF:ADFSx-IdP2017-07-13T08:33:26Z<p>Vandenhoek01: /* Inleiding */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7525KNF:ADFSx-IdP2017-07-13T08:33:01Z<p>Vandenhoek01: /* Aanmelden bij Entree Federatie */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS moet u eerst uw instelling aan melden. <br />
Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7524KNF:ADFSx-IdP2017-07-13T08:31:36Z<p>Vandenhoek01: /* Windows Server installeren en configureren */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*AD FS bevat een eigen webserver implementatie en heeft voor veilige communicatie een geldig SSL- servercertificaat nodig. Vraag deze voortijdig aan als deze niet beschikbaar is. Deze zal bij installatie worden gevraagd.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-16.png&diff=7523Bestand:Adfs3-16.png2017-07-13T08:22:15Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7522KNF:ADFSx-IdP2017-07-13T08:21:59Z<p>Vandenhoek01: /* SHA1-algoritme inschakelen */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#: [[Bestand:adfs3-16.png|500px]]<br />
#Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden.<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7521KNF:ADFSx-IdP2017-07-13T08:19:10Z<p>Vandenhoek01: /* Basisconfiguratie */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Configure claims issuance policy for this application''' Hiermee worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#: [[Bestand:adfs16.png|500px]]<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#Klik op '''OK''' om de configuratie voor de Kennisnet Federatie af te ronden.<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7520KNF:ADFSx-IdP2017-07-13T07:50:49Z<p>Vandenhoek01: /* Basisconfiguratie */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.png|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.png|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.png|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.png|500px]]<br />
#Deselecteer '''Open the Edit Claim Rules dialog…''' Met de 'Claims Rules dialog' worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#: [[Bestand:adfs16.png|500px]]<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#Klik op '''OK''' om de configuratie voor de Kennisnet Federatie af te ronden.<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-14.png&diff=7519Bestand:Adfs3-14.png2017-07-13T07:48:04Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-13.png&diff=7518Bestand:Adfs3-13.png2017-07-13T07:47:56Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-12.png&diff=7517Bestand:Adfs3-12.png2017-07-13T07:47:48Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-11.png&diff=7516Bestand:Adfs3-11.png2017-07-13T07:47:42Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-10.png&diff=7515Bestand:Adfs3-10.png2017-07-13T07:47:30Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-09.png&diff=7514Bestand:Adfs3-09.png2017-07-13T07:47:21Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7513KNF:ADFSx-IdP2017-07-13T07:47:11Z<p>Vandenhoek01: </p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
==ADFS server configureren als identity provider==<br />
<br />
Om uw gebruikers met hun instellingsaccount toegang te kunnen geven tot diensten van de Entree Federatie, moet u uw ADFS server configureren als Identity Provider. <br />
<br />
===Basisconfiguratie===<br />
#Kies '''Start > AD FS Management''' om de ADFS configuratieapplicatie te starten.<br />
#: [[Bestand:adfs3-09.jpg|500px]]<br />
#Klik op '''Required: Add a trusted relying party'''.<br />
#: [[Bestand:adfs3-10.jpg|500px]]<br />
#Klik op '''Start'''.<br />
#: [[Bestand:adfs3-11.png|500px]]<br />
#Vul in het veld 'Federation metadata address (host name or URL)' onderstaande URL in en klik op '''Next'''. Wanneer een melding over missende onderdelen verschijnt, klik Ok, dit gaat over logout welke niet wordt ondersteund.<br />
#: Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#: Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2<br />
#Vervang in het veld 'Display name' de default hostname (aselect.entree.kennisnet.nl) door de naam '''Entree Federatie''' en klik op '''Next'''.<br />
#: [[Bestand:adfs3-12.jpg|500px]]<br />
#Controleer of '''Permit everyone''' onder policy staat en klik op '''Next'''.<br />
#: [[Bestand:adfs3-13.png|500px]]<br />
#Klik in dit overzichtsvenster op '''Next'''. <br />
#: [[Bestand:adfs3-14.jpg|500px]]<br />
#Deselecteer '''Open the Edit Claim Rules dialog…''' Met de 'Claims Rules dialog' worden de attributen geconfigureerd. Dit doet u later in het configuratieproces (zie hoofdstuk 5). <br />
#Klik op '''Close''' om deze configuratie af te ronden.<br />
<br />
===Instellen metadata ververs interval===<br />
#Stel nu de 'MonitoringInterval' in zodat de metadata van Kennisnet vaker kan worden opgehaald. Microsoft heeft de 'MonitoringInterval' standaard op 24 uur (1440 minuten) ingesteld. Kennisnet adviseert de 'MonitoringInterval' op een maximum van 2 uur (120 minuten) in te stellen, om een (langdurige) onderbreking te voorkomen zodra Kennisnet haar certificaten wijzigt.<br>Het instellen van de 'MonitoringInterval' kan worden gedaan met het volgende Powershell commando op de ADFS server: <br />
<syntaxhighlight lang='powershell'><br />
Set-AdfsProperties -MonitoringInterval <tijd in minuten><br />
#Voor meer informatie over Set-AdfsProperties: https://technet.microsoft.com/en-us/library/dn479342%28v=wps.630%29.aspx<br />
</syntaxhighlight><br />
<br />
===SHA1-algoritme inschakelen===<br />
In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.<br />
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Relying Party Trusts'''. <br />
#: [[Bestand:adfs15.png|500px]]<br />
#Dubbelklik in de middelste kolom op Entree Federatie.<br />
#: [[Bestand:adfs16.png|500px]]<br />
#Selecteer het tabblad '''Advanced''' en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''.<br />
#Klik op '''OK''' om de configuratie voor de Kennisnet Federatie af te ronden.<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7512KNF:ADFSx-IdP2017-07-12T12:28:48Z<p>Vandenhoek01: </p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
==ADFS server inrichten==<br />
Voordat u de specifieke instellingen voor de Entree Federatie kunt invoeren, moet u een basisinstallatie van ADFS uitvoeren. Dat gaat in de volgende stappen:<br />
#Windows Server installeren en configureren (paragraaf 2.1)<br />
#De ADFS software installeren (paragraaf 2.2)<br />
#Basisinstellingen van ADFS configureren (paragraaf 2.3)<br />
<br />
===Windows Server installeren en configureren===<br />
Om een ADFS server te kunnen inrichten, moet u eerst Windows Server installeren en configureren:<br />
*Installeer de juiste versie van het besturingssysteem op de server: bij voorkeur Windows Server 2016 of Windows Server 2012 R2.<br />
*Stel de tijd op de server correct in zorg dat deze wordt gesynchroniseerd met een time server.<br />
*Neem de server op in het domein van de Active Directory waaruit de accounts voor de federatie komen.<br />
*Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL- servercertificaat heeft.<br />
<br />
===ADFS software installeren===<br />
<br />
#Kies Start en ga naar Server Manager<br />
#Klik Manage<br />
#Klik Add Roles and Features en klik Next<br />
#Kies Role-based or feature-based installation en klik Next<br />
#Kies de server die de ADFS functie gaat vervullen en klik Next<br />
#Vink Active Directory Federation Services aan en klik Next<br />
#Klik Next<br />
#Klik Next<br />
#Klik Install<br />
#Klik na installatie Close<br />
<br />
<br />
===Basisinstellingen ADFS 2.0 configureren===<br />
<br />
TODO<br />
<br />
#Controleer of de SAML 2.0 metadata informatie van uw server beschikbaar is op de volgende URL: https://<hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml (vul zelf de juiste hostnaam in).<br />
#Deel deze URL mee aan de servicedesk van Kennisnet.<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7511KNF:ADFSx-IdP2017-07-12T12:19:29Z<p>Vandenhoek01: </p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Inleiding==<br />
<br />
In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Entree Federatie, waarna gebruikers van uw organisatie met hun Active Directory account kunnen inloggen op alle aangesloten diensten, zoals WikiWijs en Teleblik. <br />
<br />
De procedure voor het aansluiten als IdP bestaat uit de volgende onderdelen:<br />
#Een ADFS serversysteem inrichten, bijv. Windows Server 2016<br />
#De ADFS 2.0-server configureren voor aansluiting als Identity Provider voor de Entree Federatie (hoofdstuk 3)<br />
#Een ADFS 2.0 proxy inrichten (hoofdstuk 4)<br />
#Attributen vrijgeven aan de Kennisnet Federatie (hoofdstuk 5)<br />
<br />
===Meer over ADFS===<br />
TODO<br />
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services<br />
<br />
===Waarom server en proxy?===<br />
Naast het inrichten van een ADFS server is het noodzakelijk om 'voor' de ADFS-server, buiten het Windows-domein, een ADFS-proxy in te richten die het verkeer van buitenaf doorstuurt naar de ADFS-server. Dit houdt in dat er 2 aparte Windows Server machines geconfigureerd worden in deze setup.<br />
<br />
Dit heeft de volgende reden: de ADFS-server moet in het Windows-domein worden opgenomen en daarom liever niet direct bereikbaar zijn van buitenaf. Door een ADFS-proxy in te richten en deze voor de ADFS-server te plaatsen, '''buiten het Windows-domein''', is de ADFS-server minder kwetsbaar voor aanvallen van buitenaf.<br />
<br />
Bijkomend voordeel is dat een proxy kan worden geconfigureerd om een loginpagina met de look-and-feel van de instelling te tonen aan de gebruiker, in plaats van de standaard popup-prompt die de ADFS-server laat zien. Dit verbetert de herkenbaarheid van de login voor de eindgebruiker en biedt de mogelijkheid extra informatie aan de gebruiker te tonen. Daarnaast kan phishing beter worden voorkomen door het door het toepassen van een geldig SSL-servercertificaat.<br />
<br />
===Aanmelden bij Entree Federatie===<br />
Alvorens u begint met de installatie van ADFS 2.0 moet u eerst uw instelling aan melden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-scholen/.<br />
<br />
Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.<br />
<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7510KNF:ADFSx-IdP2017-07-12T11:59:59Z<p>Vandenhoek01: /* AD attributen toewijzen */</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px|left]]<br clear="all"><br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs3-32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs3-33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs3-34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs3-35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:ADFSx-IdP&diff=7506KNF:ADFSx-IdP2017-07-12T08:12:28Z<p>Vandenhoek01: Nieuwe pagina aangemaakt met 'Entree Federatie Handleiding ADFS 3.x voor aansluiting als identity provider (DOCUMENT IN BEWERKING) ==Attributen vrijgeven== Attributen zijn gebruikerskenmerken d...'</p>
<hr />
<div>Entree Federatie Handleiding ADFS 3.x<br />
voor aansluiting als identity provider (DOCUMENT IN BEWERKING)<br />
<br />
==Attributen vrijgeven==<br />
Attributen zijn gebruikerskenmerken die de ADFS server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan de Entree Federatie wordt doorgegeven. Voorbeelden van attributen zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van uw instelling. <br />
<br />
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier:<br />
<br />
http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht<br />
<br />
U dient tenminste de als verplicht aangemerkte attributen vrij te geven aan de Entree Federatie, anders werkt de koppeling niet. <br />
<br />
===Attributen definiëren===<br />
Als eerste dienen alle attributen welke u van plan bent door te geven aan de Entree Federatie gedefinieerd te worden. Volg hiertoe de volgende stappen.<br />
<br />
#Kies op de '''ADFS server Start > (tik) AD FS Management > (klik) AD FS Management''' om de ADFS configuratie applicatie te starten.<br />
#Selecteer '''Service > Claims Descriptions''' in de linker kolom van het overzichtsvenster.<br />
#: [[Bestand:adfs3-24.png|500px]]<br />
#Klik in de rechterkolom onder 'Actions' op '''Add Claim Description…'''<br />
#: [[Bestand:adfs3-25.png|500px]]<br />
#Vul in de velden 'Display name', 'Short name' en 'Claim identifier' de waarde in van het attribuut dat u wilt vrijgeven aan de Entree Federatie, bijvoorbeeld ‘employeeNumber’. Vul voor elk attribuut in beide velden exact hetzelfde in.<br />
#Klik op '''OK'''. <br />
#Herhaal stappen 3 t/m 5 tot tenminste de volgende attributen gedefinieerd zijn:<br />
::*uid<br />
::*employeeNumber<br />
::*givenName<br />
::*nlEduPersonTussenvoegsels<br />
::*sn<br />
::*mail<br />
::*eduPersonAffiliation<br />
::*nlEduPersonHomeOrganizationId<br />
::*nlEduPersonHomeOrganization<br />
<br />
Indien u meer attributen wilt meesturen (bijvoorbeeld ‘nlEduPersonBirthDate’ omdat een bepaalde dienstaanbieder hier om vraagt) kunt u deze op dezelfde wijze definiëren. <br />
[[Bestand:adfs3-26.png|500px]]<br />
<br />
===AD attributen toewijzen===<br />
Vervolgens dient u de attributen vrij te geven aan de Entree Federatie. Als eerste beginnen we met de attributen die standaard aanwezig zijn in Active Directory. Dit zijn LDAP-attributen.<br />
<br />
#Kies in de linker kolom '''Relying Party Trusts'''.<br />
#: [[Bestand:adfs3-27.png|500px]]<br />
#Klik in de middelste kolom op '''Entree Federatie''' en vervolgens in de rechterkolom op '''Edit Claim Issuance Policy'''.<br />
#: [[Bestand:adfs3-28.png|500px]]<br />
#Klik op '''Add Rule…'''<br />
#: [[Bestand:adfs3-29.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send LDAP Attributes as Claims''' klik op '''Next'''.<br />
#: [[Bestand:adfs3-30.png|500px]]<br />
#Vul een zinvolle naam in in het veld ‘Claim rule name’, bijvoorbeeld ‘Entree’.<br />
#Selecteer onder ‘Attribute store’ de optie '''Active Directory'''.<br />
#Voeg ten minste de volgende attribuutmappings toe en klik daarna op '''Finish''': <br />
:{| class="wikitable" width="600px"<br />
! LDAP Attribute (in de Active Directory)<br />
! Outgoing Claim Type (naar Kennisnet toe)<br />
|-<br />
| '''User Principal Name (UPN) *'''||Name ID<br />
|-<br />
| '''User Principal Name (UPN) *'''||uid<br />
|-<br />
| Employee-Number||employeeNumber<br />
|-<br />
| Given-Name||givenName<br />
|-<br />
| Surname||sn<br />
|-<br />
| E-Mail-Addresses||mail<br />
|-<br />
|}<br />
:'''User Principal Name (UPN) *''' Voor deze gids wordt de User Principal Name (UPN) geselecteerd als bron voor de waarde van de uitgaande ‘Name ID’ en ‘uid’ claims. Het is van essentieel belang dat de ‘Name ID’ en ‘uid’ dezelfde waarde bevatten, maar dit hoeft niet perse de User Principal Name (UPN) te zijn. De waarde moet voldoen aan de beschrijving zoals deze in de Federatieve Attributen documentatie is gegeven. Dit kan heel goed uit een alternatief attribuut afkomstig zijn, of een samengesteld attribuut zijn. Het formaat moet in ieder geval als volgt zijn userid@realm wat dus sterk lijkt op het mailadres.<br />
<br />
:Belangrijk is dat dit attribuut niet meer wijzigt omdat dit de unieke identifier is waarmee de gebruiker bekend is binnen de (aangesloten diensten van de) Entree Federatie.<br />
<br />
===Custom attributen toewijzen===<br />
Voor attributen die niet (of niet direct) in de Active Directory aanwezig zijn maar wel verplicht zijn voor de Entree Federatie kunt u custom rules aanmaken. Met behulp van custom rules kunt u een bepaalde statische waarde definiëren, of deze laten afhangen van een bepaalde groep.<br />
<br />
====Statische attributen====<br />
Als de ‘nlEduPersonHomeOrganizationId’ (de BRIN van de instelling) niet aanwezig is in de AD dient hiervoor een 'Custom Rule' worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven. <br />
#Klik op Add Rule<br />
#: [[image:adfs32.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Claims Using a Custom Rule'''. Klik op '''Next'''<br />
#: [[image:adfs33.png|500px]]<br />
#Geef hier een beschrijving op, bijvoorbeeld 'BRIN'.<br />
#Bij ‘Custom rule’ moet een rule ingesteld worden die er voor zorgt dat de BRIN wordt meegestuurd. Hier is 'abcd' als BRIN gekozen, deze moet vervangen worden door de daadwerkelijke BRIN. Voorbeeld Custom rule:<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganizationId", Value = "abcd");'''<br />
#Klik op OK.<br />
#Herhaal stappen 1 t/m 5 voor het attribuut nlEduPersonHomeOrganization (de naam van de school)<br />
#::'''=> issue(Type = "nlEduPersonHomeOrganization", Value = "Regenboogcollege");'''<br />
<br />
====Lidmaatschapsattribuut====<br />
Voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff') dienen drie Custom Rules te worden aangemaakt. Hiermee kunt u het attribuut een statische waarde geven afhankelijk van de groep van de gebruiker. <br />
<br />
#Klik op '''Add rule'''. <br />
#: [[image:adfs34.png|500px]]<br />
#Kies onder 'Claim rule template' voor '''Send Group Membership as a Claim''' en klik op '''Next'''.<br />
#: [[image:adfs35.png|500px]]<br />
#Kies een omschrijving en vul deze in bij ‘Claim rule name’, bijvoorbeeld ‘eduPersonAffiliation-staff’.<br />
#Selecteer bij ‘User's group’ de naam van de group die bij het type gebruiker 'staff' hoort.<br />
#Bij ‘Outgoing claim type’ moet 'eduPersonAffiliation' worden ingevuld.<br />
#Bij ‘Outgoing claim value’ moet 'staff' worden ingevuld.<br />
#Herhaal de stappen 3 t/m 6 voor ‘student’ en ‘employee’.<br />
#Klik op '''OK'''.<br />
#Klik op '''OK'''.<br />
<br />
===Testen===<br />
U kunt testen of de aansluiting en de vrijgave van de attributen is gelukt via de ReferentieSP:<br />
<br />
* Productie: https://referentie.entree.kennisnet.nl/referentiesp<br />
* Staging: https://referentie-s.entree.kennisnet.nl/referentiesp<br />
<br />
#Selecteer uw instelling in het Where Are You From gedeelte en druk op Verder<br />
#U komt nu uit op een inlogpagina van uw ADFS server<br />
#Log in met uw instellingsaccount<br />
#Als alles goed is gegaan ziet u een overzicht van de attributen die worden vrijgegeven door uw instelling.<br />
<br />
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]<br />
[[Categorie:Handleiding]]<br />
[[Categorie:ADFS]]</div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-35.png&diff=7505Bestand:Adfs3-35.png2017-07-12T08:10:31Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-34.png&diff=7504Bestand:Adfs3-34.png2017-07-12T08:10:23Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-33.png&diff=7503Bestand:Adfs3-33.png2017-07-12T08:10:15Z<p>Vandenhoek01: Bastiaan.vandenhoek heeft een nieuwe versie van &quot;Bestand:Adfs3-33.png&quot; toegevoegd</p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-33.png&diff=7502Bestand:Adfs3-33.png2017-07-12T08:10:00Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-32.png&diff=7501Bestand:Adfs3-32.png2017-07-12T08:09:52Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-30.png&diff=7500Bestand:Adfs3-30.png2017-07-12T08:09:43Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-29.png&diff=7499Bestand:Adfs3-29.png2017-07-12T08:09:33Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-28.png&diff=7498Bestand:Adfs3-28.png2017-07-12T08:09:25Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-26.png&diff=7497Bestand:Adfs3-26.png2017-07-12T08:09:17Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-25.png&diff=7496Bestand:Adfs3-25.png2017-07-12T08:09:06Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=Bestand:Adfs3-24.png&diff=7495Bestand:Adfs3-24.png2017-07-12T08:08:53Z<p>Vandenhoek01: </p>
<hr />
<div></div>Vandenhoek01https://developers.wiki.kennisnet.nl/index.php?title=KNF:SSOnotification&diff=7224KNF:SSOnotification2017-04-13T08:37:03Z<p>Vandenhoek01: /* Implementatie */</p>
<hr />
<div>{{Talen}}<br />
==Wat is een SSO notificatie?==<br />
Met een SSO notificatie (ook wel vooraanmelding genoemd) kan een Identity Provider ervoor zorgen dat zijn gebruikers het WAYF (Where Are You From) scherm van Entree Federatie automatisch overslaan. Dit is het scherm waar de gebruiker zijn school selecteert.<br/><br />
[[Bestand:WAYF-scherm.png|border|600px|Where Are You From (WAYF) scherm]]<br />
<br/><br/><br />
Dankzij de SSO notificatie hoeft de gebruiker minder handelingen uit te voeren tijdens het inlogproces en wordt het gebruiksgemak vergroot.<br />
<br />
==Hoe werkt een SSO notificatie?==<br />
Nadat een gebruiker is ingelogd bij zijn Identity Provider (bijvoorbeeld een ELO of via Windows authenticatie), verstuurt de Identity Provider een SSO notificatie verzoek naar Entree Federatie. Deze plaats vervolgens een cookie in de browser van de gebruiker met daarin de versleutelde authenticatie URL van de Identity Provider. Op het moment dat een gebruiker via Entree Federatie wil inloggen bij een aangesloten dienstleverancier zal Entree Federatie het SSO notificatie cookie uitlezen en de gebruiker direct doorsturen naar de authenticatie URL van zijn Identity Provider, waarmee het WAYF scherm dus is overgeslagen.<br />
<br />
Hoe SSO notificatie werkt binnen het authenticatie proces is te zien in [https://prezi.com/eq2xjhid1fxf/entree-federatie-authenticatie/ deze presentatie].<br />
<br />
== Zelf SSO notificatie uitproberen ==<br />
Met behulp van onze referentiediensten is het mogelijk om zelf het verschil in het inlogproces te ervaren met en zonder SSO notificatie.<br />
===Inloggen zonder SSO notificatie===<br />
#'''De gebruiker logt in op zijn ELO'''<br />
#*Ga naar de [https://referentie.entree.kennisnet.nl/referentie/ Referentie/demo omgeving] van Entree Federatie<br />
#'''De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier'''<br />
#*Klik ''''Dienstaanbieder (SAML) bezoeken''''<br />
#'''Het WAYF scherm wordt nu getoond, omdat bij Entree Federatie niet bekend is van welke Identity Provider de gebruiker komt '''<br />
#*Kies 'Log in met je schoolaccount'<br />
#*Zoek en selecteer 'Referentie Klant Organisatie'<br />
#*Klik op 'Verder'<br />
#'''De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie'''<br />
#*Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving van Entree Federatie is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.<br />
#*Klik op 'Direct verder naar dienstaanbieder'<br />
#'''De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.'''<br />
<br />
=== Inloggen met SSO notificatie ===<br />
#'''De gebruiker logt in op zijn ELO'''<br />
#*Ga naar de [https://referentie.entree.kennisnet.nl/referentie/ Referentie/demo omgeving] van Entree Federatie<br />
#*Klik op "SSO Notificatie cookie instellen", er wordt nu een SSO notificatie cookie geplaatst met het versleutelde adres van de Referentie omgeving. <br/> In de praktijk zal het plaatsen van het cookie automatisch gebeuren.<br />
#'''De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier'''<br />
#*Klik 'Dienstaanbieder (SAML) bezoeken'<br/> <span style="color:#ff0000">Het WAYF (Where Are You From) scherm wordt '''niet''' getoond, omdat de Identity Provider kan worden uitgelezen uit het SSO notificatie cookie.</span><br />
#'''De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie'''<br />
#*Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.<br />
#*Klik op 'Direct verder naar dienstaanbieder'<br />
#'''De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.'''<br />
<br />
== Implementatie ==<br />
De implementatie van een SSO notificatie kan door middel van het gebruik van een iframe of via een redirect.<br />
*[[KNF:SSO_notificatie_middels_een_iframe|Meer informatie over een implementatie middels een '''iframe''']]<br />
*[[KNF:SSO_notificatie_middels_een_redirect|Meer informatie over een implementatie middels een '''redirect''']]<br />
<br />
<br />
[[Categorie:Kennisnet Federatie]]<br />
[[Categorie:Entree Federatie]]</div>Vandenhoek01