KNF:ADFS-SP: verschil tussen versies
(28 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
− | Kennisnet Federatie Handleiding ADFS |
||
− | voor aansluiting als Service Provider |
||
− | |||
==Inleiding== |
==Inleiding== |
||
+ | Het is mogelijk om als Service Provider uw ADFS omgeving aan de Entree Federatie te koppelen. Op deze wijze kunnen gebruikers van de Entree Federatie toegang krijgen tot de applicaties (bijvoorbeeld Sharepoint) die u aan uw ADFS omgeving gekoppeld zijn. |
||
+ | In deze handleiding leest u hoe u als Service Provider uw ADFS omgeving aan de Entree Federatie kunt koppelen. |
||
+ | Om op deze wijze aan te sluiten op de Eentree Federatie moet u de volgende stappen doorlopen: |
||
− | In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Kennisnet Federatie, waarna gebruikers van de Kennisnet Federatie kunnen inloggen op uw op de ADFS omgeving aangesloten diensten. |
||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
+ | *'''Testen van de koppeling''' |
||
+ | ==Aanmelden bij Entree Federatie== |
||
− | De procedure voor het aansluiten als Service Provider bestaat uit de volgende onderdelen: |
||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
− | |||
⚫ | |||
==ADFS-server inrichten== |
==ADFS-server inrichten== |
||
+ | Voor deze stap dient u de documentatie van Microsoft te raadplegen. Dit valt buiten de scope van deze handleiding. |
||
− | Voordat u de specifieke instellingen voor de Kennisnet Federatie kunt invoeren, moet u een basisinstallatie van de ADFS-server uitvoeren. Dat gaat in de volgende stappen: |
||
+ | De basisinstallatie van de ADFS-server bestaat uit de volgende stappen: |
||
#Windows Server 2012 R2 installeren en configureren |
#Windows Server 2012 R2 installeren en configureren |
||
#De ADFS-software installeren |
#De ADFS-software installeren |
||
#Basisinstellingen van ADFS configureren |
#Basisinstellingen van ADFS configureren |
||
+ | Nadat u deze stap succesvol heeft afgerond kunt u verder met de volgende stap waarin u de ADFS-server configureert om deze te koppelen aan de Entree Federatie. |
||
− | Deze handleiding gaat ervan uit dat u deze stappen reeds heeft voorbereid en succesvol afgerond. Het is immers de bedoeling dat u de Kennisnet Federatie als extra ingang voor uw applicaties aan ADFS koppelt. |
||
==ADFS-server configureren als Service Provider== |
==ADFS-server configureren als Service Provider== |
||
− | Om gebruikers met hun instellingsaccount toegang te kunnen geven tot uw diensten via de |
+ | Om gebruikers met hun instellingsaccount toegang te kunnen geven tot uw diensten via de Entree Federatie, moet u uw ADFS-server configureren als Service Provider. |
===Aanmaken van een Claims Provider Trust=== |
===Aanmaken van een Claims Provider Trust=== |
||
− | In ADFS moet een nieuwe Claims Provider Trust worden aangemaakt om attributen te kunnen ontvangen van een andere locatie dan Active Directory. Hier komt dan ook de daadwerkelijke koppeling met de |
+ | In ADFS moet een nieuwe Claims Provider Trust worden aangemaakt om attributen te kunnen ontvangen van een andere locatie dan Active Directory. Hier komt dan ook de daadwerkelijke koppeling met de Entree Federatie. |
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
||
#: [[Bestand:adfssp1.png|500px]] |
#: [[Bestand:adfssp1.png|500px]] |
||
#Kies in de rechterkolom van het overzichtsvenster '''Add Claims Provider Trusts'''. |
#Kies in de rechterkolom van het overzichtsvenster '''Add Claims Provider Trusts'''. |
||
− | # |
+ | #Klik vervolgens in de wizard op '''Start'''. |
#: [[Bestand:adfssp2.png|500px]] |
#: [[Bestand:adfssp2.png|500px]] |
||
− | #Voer in het bovenste invoerveld de metadata url van de |
+ | #Voer in het bovenste invoerveld de metadata url van de Entree Federatie in (https://hub.entree.kennisnet.nl/openaselect/profiles/saml/) |
#: [[Bestand:adfssp3.png|500px]] |
#: [[Bestand:adfssp3.png|500px]] |
||
#Wanneer er een melding voorkomt dat de gegevens die zijn ingevoerd niet geheel compatible zijn met ADFS, klik op '''OK'''. |
#Wanneer er een melding voorkomt dat de gegevens die zijn ingevoerd niet geheel compatible zijn met ADFS, klik op '''OK'''. |
||
#: [[Bestand:adfssp4.png|500px]] |
#: [[Bestand:adfssp4.png|500px]] |
||
− | #Voer een naam in zoals deze in het ADFS systeem geadministreerd dient te worden, bijv. ''' |
+ | #Voer een naam in zoals deze in het ADFS systeem geadministreerd dient te worden, bijv. '''Entree Federatie Productie''' en klik '''Next'''. |
#: [[Bestand:adfssp5.png|500px]] |
#: [[Bestand:adfssp5.png|500px]] |
||
− | # |
+ | #U krijgt nu een overzicht van de eigenschappen van de aan te maken koppeling met de Entree Federatie. Klik op '''Next'''. |
#: [[Bestand:adfssp6.png|500px]] |
#: [[Bestand:adfssp6.png|500px]] |
||
− | #Vink |
+ | #Vink de optie om attributen te configureren uit en klik op '''Close'''. |
#: [[Bestand:adfssp7.png|500px]] |
#: [[Bestand:adfssp7.png|500px]] |
||
#De koppeling is nu aangemaakt en kan Actief of Inactief worden gezet. |
#De koppeling is nu aangemaakt en kan Actief of Inactief worden gezet. |
||
Regel 50: | Regel 50: | ||
===SHA1-algoritme inschakelen=== |
===SHA1-algoritme inschakelen=== |
||
− | In ADFS worden handtekeningen standaard |
+ | In ADFS worden handtekeningen standaard versleuteld met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme. |
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
||
#: [[Bestand:adfssp8.png|500px]] |
#: [[Bestand:adfssp8.png|500px]] |
||
− | #Dubbelklik in de middelste kolom op de ''' |
+ | #Dubbelklik in de middelste kolom op de '''Entree Federatie''' koppeling, kies het '''Advanced''' tab en kies in het veld 'Secure hash algorithm' de waarde '''SHA-1'''. |
#: [[Bestand:adfssp9.png|500px]] |
#: [[Bestand:adfssp9.png|500px]] |
||
− | #Klik op '''OK''' om de configuratie voor de |
+ | #Klik op '''OK''' om de configuratie voor de Entree Federatie af te ronden. |
− | |||
⚫ | |||
⚫ | Attributen zijn gebruikerskenmerken die de ADFS-server na een geslaagde authenticatie van een gebruiker |
||
⚫ | |||
− | De set van gestandaardiseerde attributen die binnen de Kennisnet Federatie kunnen worden gebruikt, vindt u hier: |
||
⚫ | Attributen zijn gebruikerskenmerken die de ADFS-server na een geslaagde authenticatie van een gebruiker ontvangt. De attributen worden vervolgens doorgegeven aan de applicaties die aan uw ADFS gekoppeld zijn. Voorbeelden van attributen die door Entree Federatie kunnen worden aangeleverd zijn de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van een instelling. |
||
− | http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht |
+ | De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier: http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht |
Let erop dat attributen niet allemaal standaard worden doorgegeven in verband met privacy wetgeving. Bij optionele attributen dient de school een schriftelijke goedkeuring aan Kennisnet te verstrekken om de optionele attributen aan u als dienst door te mogen geven. |
Let erop dat attributen niet allemaal standaard worden doorgegeven in verband met privacy wetgeving. Bij optionele attributen dient de school een schriftelijke goedkeuring aan Kennisnet te verstrekken om de optionele attributen aan u als dienst door te mogen geven. |
||
===Door te geven attributen definiëren=== |
===Door te geven attributen definiëren=== |
||
− | + | De attributen die door Entree Federatie worden doorgestuurd dienen te worden geconfigureerd om verder te kunnen verwerken binnen ADFS. Hieronder volgt een voorbeeld van de instellingen voor het ontvangen en transformeren van een attribuut. U moet deze stappen voor elk attribuut dat u wilt gebruiken herhalen. |
|
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
#Kies in de linkerkolom van het overzichtsvenster '''Trust Relationships > Claims Provider Trusts'''. |
||
#: [[Bestand:adfssp8.png|500px]] |
#: [[Bestand:adfssp8.png|500px]] |
||
− | #Rechterklik op de |
+ | #Rechterklik op de Entree Federatie koppeling en kies '''Edit Claim Rules''' |
#: [[Bestand:adfssp10.png|500px]] |
#: [[Bestand:adfssp10.png|500px]] |
||
− | #Klik op '''Add Rule''' om een nieuw attribuut te verwerken. Kies |
+ | #Klik op '''Add Rule''' om een nieuw attribuut te verwerken. Kies voor '''Transform an Incoming Claim''' en klik '''Next'''. |
#: [[Bestand:adfssp11.png|500px]] |
#: [[Bestand:adfssp11.png|500px]] |
||
− | #In dit scherm gaan we het van |
+ | #In dit scherm gaan we het van de Entree Federatie ontvangen attribuut, genaamd '''uid''', transformeren naar een attribuut waar uw eigen applicaties mee om kunnen gaan. In dit voorbeeld wordt '''uid''' attribuut vertaald naar het '''Name ID''' attribuut. Klik op '''Finish'''. |
#: [[Bestand:adfssp12.png|500px]] |
#: [[Bestand:adfssp12.png|500px]] |
||
− | #In het overzicht staat nu dat het attribuut '''uid''' wordt aangepast naar Name ID. Feitelijk veranderd alleen de naam van het attribuut en de waarde blijft hetzelfde. Uw applicatie |
+ | #In het overzicht staat nu dat het attribuut '''uid''' wordt aangepast naar '''Name ID'''. Feitelijk veranderd alleen de naam van het attribuut en de waarde blijft hetzelfde. Uw applicatie die attributen ontvangt uit ADFS zal nu het '''Name ID''' attribuut ontvangen met de waarde van het '''uid''' attribuut dat door de Entree Federatie is verstuurd. Let op, wanneer de gebruiker inlogt via uw lokale Active Directory geldt deze regel niet. |
− | #Herhaal deze stappen voor alle attributen |
+ | #Herhaal deze stappen voor alle attributen die u wilt gebruiken. |
− | + | ==Testen van de koppeling== |
|
− | + | Op de volgende wijze kunt u testen of de aansluiting goed werkt en of de applicatie, die aan uw AFDS gekoppeld is, de attributen juist onvangt. |
|
− | Zodra een authenticatie wordt gestart kunt u kiezen tussen inloggen via Active Directory of via de Kennisnet Federatie. |
||
#Ga naar de url van uw applicatie |
#Ga naar de url van uw applicatie |
||
− | #Kies bij het inloggen voor |
+ | #Kies bij het inloggen voor de Entree Federatie. |
− | #Zodra |
+ | #Zodra het inlogscherm van de Entree Federatie wordt getoond, kies dan voor de school 'ReferentieELO'. |
− | #Pas eventueel de attributen van de |
+ | #Pas eventueel de attributen van de gebruiker die wil inloggen aan en klik op 'Naar dienst' |
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk. |
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk. |
||
− | [[Categorie: |
+ | [[Categorie:Entree Federatie]] |
− | [[Categorie:Handleiding]] |
||
− | [[Categorie:ADFS]] |
Huidige versie van 7 jan 2020 om 11:14
Inleiding
Het is mogelijk om als Service Provider uw ADFS omgeving aan de Entree Federatie te koppelen. Op deze wijze kunnen gebruikers van de Entree Federatie toegang krijgen tot de applicaties (bijvoorbeeld Sharepoint) die u aan uw ADFS omgeving gekoppeld zijn. In deze handleiding leest u hoe u als Service Provider uw ADFS omgeving aan de Entree Federatie kunt koppelen.
Om op deze wijze aan te sluiten op de Eentree Federatie moet u de volgende stappen doorlopen:
- Aanmelden bij de Entree Federatie
- Een ADFS-server inrichten: Dit bestaat uit o.a. Windows Server 2012 R2 configureren en ADFS component installeren (dit zal niet worden besproken in deze handleiding).
- De ADFS-server configureren: voor aansluiting als Service Provider voor de Entree Federatie
- Attributen van de Entree Federatie verwerken
- Testen van de koppeling
Aanmelden bij Entree Federatie
Voordat u begint met de configuratie van de koppeling van ADFS en de Entree Federatie moet u eerst uw instelling aanmelden. Ga hiervoor naar https://www.kennisnet.nl/entree-federatie/aanmelden/aanmelden-voor-aanbieders/.
Nadat uw aanmelding geaccepteerd is, ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op de productie omgeving.
ADFS-server inrichten
Voor deze stap dient u de documentatie van Microsoft te raadplegen. Dit valt buiten de scope van deze handleiding. De basisinstallatie van de ADFS-server bestaat uit de volgende stappen:
- Windows Server 2012 R2 installeren en configureren
- De ADFS-software installeren
- Basisinstellingen van ADFS configureren
Nadat u deze stap succesvol heeft afgerond kunt u verder met de volgende stap waarin u de ADFS-server configureert om deze te koppelen aan de Entree Federatie.
ADFS-server configureren als Service Provider
Om gebruikers met hun instellingsaccount toegang te kunnen geven tot uw diensten via de Entree Federatie, moet u uw ADFS-server configureren als Service Provider.
Aanmaken van een Claims Provider Trust
In ADFS moet een nieuwe Claims Provider Trust worden aangemaakt om attributen te kunnen ontvangen van een andere locatie dan Active Directory. Hier komt dan ook de daadwerkelijke koppeling met de Entree Federatie.
- Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
- Kies in de rechterkolom van het overzichtsvenster Add Claims Provider Trusts.
- Klik vervolgens in de wizard op Start.
- Voer in het bovenste invoerveld de metadata url van de Entree Federatie in (https://hub.entree.kennisnet.nl/openaselect/profiles/saml/)
- Wanneer er een melding voorkomt dat de gegevens die zijn ingevoerd niet geheel compatible zijn met ADFS, klik op OK.
- Voer een naam in zoals deze in het ADFS systeem geadministreerd dient te worden, bijv. Entree Federatie Productie en klik Next.
- U krijgt nu een overzicht van de eigenschappen van de aan te maken koppeling met de Entree Federatie. Klik op Next.
- Vink de optie om attributen te configureren uit en klik op Close.
- De koppeling is nu aangemaakt en kan Actief of Inactief worden gezet.
SHA1-algoritme inschakelen
In ADFS worden handtekeningen standaard versleuteld met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Entree Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.
- Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
- Dubbelklik in de middelste kolom op de Entree Federatie koppeling, kies het Advanced tab en kies in het veld 'Secure hash algorithm' de waarde SHA-1.
- Klik op OK om de configuratie voor de Entree Federatie af te ronden.
Attributen van de Entree Federatie verwerken
Attributen zijn gebruikerskenmerken die de ADFS-server na een geslaagde authenticatie van een gebruiker ontvangt. De attributen worden vervolgens doorgegeven aan de applicaties die aan uw ADFS gekoppeld zijn. Voorbeelden van attributen die door Entree Federatie kunnen worden aangeleverd zijn de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van een instelling.
De set van gestandaardiseerde attributen die binnen de Entree Federatie kunnen worden gebruikt, vindt u hier: http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht
Let erop dat attributen niet allemaal standaard worden doorgegeven in verband met privacy wetgeving. Bij optionele attributen dient de school een schriftelijke goedkeuring aan Kennisnet te verstrekken om de optionele attributen aan u als dienst door te mogen geven.
Door te geven attributen definiëren
De attributen die door Entree Federatie worden doorgestuurd dienen te worden geconfigureerd om verder te kunnen verwerken binnen ADFS. Hieronder volgt een voorbeeld van de instellingen voor het ontvangen en transformeren van een attribuut. U moet deze stappen voor elk attribuut dat u wilt gebruiken herhalen.
- Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
- Rechterklik op de Entree Federatie koppeling en kies Edit Claim Rules
- Klik op Add Rule om een nieuw attribuut te verwerken. Kies voor Transform an Incoming Claim en klik Next.
- In dit scherm gaan we het van de Entree Federatie ontvangen attribuut, genaamd uid, transformeren naar een attribuut waar uw eigen applicaties mee om kunnen gaan. In dit voorbeeld wordt uid attribuut vertaald naar het Name ID attribuut. Klik op Finish.
- In het overzicht staat nu dat het attribuut uid wordt aangepast naar Name ID. Feitelijk veranderd alleen de naam van het attribuut en de waarde blijft hetzelfde. Uw applicatie die attributen ontvangt uit ADFS zal nu het Name ID attribuut ontvangen met de waarde van het uid attribuut dat door de Entree Federatie is verstuurd. Let op, wanneer de gebruiker inlogt via uw lokale Active Directory geldt deze regel niet.
- Herhaal deze stappen voor alle attributen die u wilt gebruiken.
Testen van de koppeling
Op de volgende wijze kunt u testen of de aansluiting goed werkt en of de applicatie, die aan uw AFDS gekoppeld is, de attributen juist onvangt.
- Ga naar de url van uw applicatie
- Kies bij het inloggen voor de Entree Federatie.
- Zodra het inlogscherm van de Entree Federatie wordt getoond, kies dan voor de school 'ReferentieELO'.
- Pas eventueel de attributen van de gebruiker die wil inloggen aan en klik op 'Naar dienst'
Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.