KNF:Korte uitleg SAML protocol: verschil tussen versies
Regel 1: | Regel 1: | ||
+ | {{Talen}} |
||
+ | <br/> |
||
+ | __TOC__ |
||
+ | |||
Entree Federatie functioneert op basis van het '''Single Sign On''' (SSO) principe. Een gebruiker logt slechts één keer in op zijn schoolomgeving (Identity Provider) en heeft vervolgens automatisch toegang tot de vele aangesloten diensten (Service Providers). |
Entree Federatie functioneert op basis van het '''Single Sign On''' (SSO) principe. Een gebruiker logt slechts één keer in op zijn schoolomgeving (Identity Provider) en heeft vervolgens automatisch toegang tot de vele aangesloten diensten (Service Providers). |
||
Versie van 10 dec 2016 21:58
Nederlands | English |
Entree Federatie functioneert op basis van het Single Sign On (SSO) principe. Een gebruiker logt slechts één keer in op zijn schoolomgeving (Identity Provider) en heeft vervolgens automatisch toegang tot de vele aangesloten diensten (Service Providers).
Binnen Entree Federatie verloopt de communicatie tussen Service Providers en Identity Providers via de centrale hub van Kennisnet. Het voordeel hiervan is dat iedere Service Provider (SP) en iedere Identity Provider (IdP) slechts één enkele koppeling met de centrale hub hoeft te onderhouden. De applicatie van Kennisnet vervult hierdoor de rol van Identity Provider voor alle aangesloten Service Providers en tegelijkertijd de rol van Service Provider richting alle Identity Providers.
Single Sign On is mogelijk doordat de verschillende applicaties volgens het SAML 2.0 protocol met elkaar communiceren. SAML staat voor Security Assertion Markup Language en is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens. De standaard is ontwikkeld door het non-profit consortium OASIS.
Web Browser SSO profiel
In de SAML specificatie zijn profielen gedefinieerd voor verschillende use cases, in de context van Entree Federatie richten we ons op het Web browser SSO profiel. Hierin wil een gebruiker via zijn browser de afgeschermde website van de Service Provider bezoeken. Om te bepalen of de gebruiker toegang krijgt tot de website wil de Service Provider de identiteit van de gebruiker vaststellen. De Service Provider vraagt hiervoor de Identity Provider om een verklaring (assertion) over de identiteit van de gebruiker af te leggen. Op basis van het antwoord van de Identity Provider bepaalt de Service Provider of de gebruiker toegang krijgt.