KNF:Realm scoping: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
 
(12 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
 
{{Talen}}
 
{{Talen}}
Sommige Identity Providers worden door meerdere scholen gebruikt, dit is met name het geval bij Elektronische Leeromgevingen. Vaak hebben deze applicaties een eigen WAYF ('''W'''here '''A'''re '''Y'''ou '''F'''rom) scherm waar de gebruiker zijn school moet selecteren. Om te voorkomen dat een gebruiker eerst zijn school op het WAYF scherm van Entree Federatie moet selecteren en vervolgens nogmaals op het WAYF scherm van de Identity Provider, kan er gebruik gemaakt worden van BRIN scoping. Dit maakt het mogelijk om het tweede WAYF scherm over te slaan.
+
Sommige Identity Providers worden door meerdere scholen gebruikt, dit is met name het geval bij Elektronische Leeromgevingen. Vaak hebben deze applicaties een eigen WAYF ('''W'''here '''A'''re '''Y'''ou '''F'''rom) scherm waar de gebruiker zijn school moet selecteren. Om te voorkomen dat een gebruiker eerst zijn school op het WAYF scherm van Entree Federatie moet selecteren en vervolgens nogmaals op het WAYF scherm van de Identity Provider, kan er gebruik gemaakt worden van Realm scoping. Dit maakt het mogelijk om het tweede WAYF scherm over te slaan.
   
  +
Wanneer een Service Provider realm scoping meestuurt in het authenticatie verzoek naar Entree Federatie kunnen zelfs de WAYF schermen van zowel Entree Federatie als van de Identity Provider worden overgeslagen.
'''LET OP:''' Om gebruik te kunnen maken van BRIN scoping moet dit door Kennisnet geconfigureerd worden voor de Identity Provider. Neem hiervoor contact op met [https://support.kennisnet.org/Tickets/Submit Kennisnet].
 
   
 
'''LET OP:''' Om gebruik te kunnen maken van Realm scoping moet dit door Kennisnet geconfigureerd worden voor de Identity Provider. Neem hiervoor contact op met [https://support.kennisnet.org/Tickets/Submit Kennisnet].
==BRIN-nummer==
 
De Basisregistratie Instellingen (BRIN) is een register dat door het Nederlandse Ministerie van OCW wordt beheerd. Iedere onderwijsinstelling wordt hierin geïdentificeerd aan de hand van een zogenaamd BRIN-nummer, bestaande uit vier alfanumerieke karakters. Het BRIN-nummer kan worden aangevuld met een tweecijferige code om een vestiging aan te duiden. Deze code van zes karakters wordt het vestigingsnummer genoemd.
 
   
  +
==Realm==
Voorbeelden van BRIN nummers zijn:
 
  +
De realm staat achter het @ bij de uid van gebruikers. Dit bevat een waarde waarmee de school geïdentificeerd kan worden in het systeem van de Identity Provider.
* BRIN-nummer: 99ZZ
 
  +
* Vestigingsnummer: 99ZZ01
 
  +
In het voortgezet onderwijs worden realms worden automatisch toegevoegd aan Entree Federatie nadat een school de controle koppeling heeft gedaan. Daarnaast kunnen realms ook handmatig door Kennisnet worden toegevoegd indien deze ontbreekt.
  +
Informatie over de realms van alle aangesloten scholen is beschikbaar via een JSON bestand.
  +
  +
===Endpoint met aangesloten scholen===
  +
De live data van de WAYF is via een publiek JSON bestand beschikbaar via:
  +
* https://engine.entree.kennisnet.nl/sso/wayfsearch
  +
  +
De lijst kan ook specifiek voor een Service Provider (of Relying Party) worden opgevraagd door het entityID (URL encoded) toe te voegen:
  +
* https://engine.entree.kennisnet.nl/sso/wayfsearch?sp-entity-id=www.kwaliteitscholen.app
  +
  +
Voorbeeld:
  +
<syntaxhighlight lang="json">
  +
{
  +
"idp": {
  +
"friendly_name": "Magister",
  +
"entity_id": "https://saml.magister.net"
  +
},
  +
"institution": {
  +
"friendly_name": "Almende College",
  +
"location": "Silvolde",
  +
"brin": "14UM02"
  +
},
  +
"realm": "magis.almende14UM02"
  +
}
  +
</syntaxhighlight>
   
 
==Scoping==
 
==Scoping==
Scoping is een onderdeel van de SAML 2.0 specificatie. BRIN scoping is dan ook alleen beschikbaar voor Identity Providers met een koppeling op basis van het SAML 2.0 protocol.
+
Scoping is een onderdeel van de SAML 2.0 specificatie. Realm scoping is dan ook alleen beschikbaar voor Identity Providers met een koppeling op basis van het SAML 2.0 protocol.
   
{{Info|Scoping biedt een Service Provider de mogelijkheid om een Identity Provider in een AuthnRequest mee te geven aan een proxy Identity Provider. Hiermee geeft de Service Provider bij de proxy Identity Provider aan dat alleen de Identity Provider in het ''<Scoping>'' element gebruikt mag worden.}}
+
{{Info|Scoping biedt een Service Provider de mogelijkheid om een Identity Provider in een AuthnRequest mee te geven aan een proxy Identity Provider (in dit geval Entree Federatie). Hiermee geeft de Service Provider bij de proxy Identity Provider aan dat alleen de Identity Provider in het ''<Scoping>'' element gebruikt mag worden.}}
   
In het geval van BRIN scoping wordt dus een BRIN nummer in het ''<Scoping>'' element van een AuthnRequest meegegeven aan de proxy Identity Provider om aan te geven voor welke school de gebruiker moet worden geauthentiseerd.
+
In het geval van Realm scoping wordt dus een Realm in het ''<Scoping>'' element van een AuthnRequest meegegeven aan de proxy Identity Provider om aan te geven voor welke school de gebruiker moet worden geauthentiseerd.
   
 
<syntaxhighlight lang="xml">
 
<syntaxhighlight lang="xml">
Regel 23: Regel 47:
 
<Scoping>
 
<Scoping>
 
<IDPList>
 
<IDPList>
<IDPEntry ProviderID="99ZZ" />
+
<IDPEntry ProviderID="realm" />
 
</IDPList>
 
</IDPList>
<RequesterID>https://referentie-s.entree.kennisnet.nl/sp</RequesterID>
+
<RequesterID>Entity ID SP</RequesterID>
  +
...
 
</Scoping>
 
</Scoping>
 
...
 
...
Regel 31: Regel 56:
 
</syntaxhighlight>
 
</syntaxhighlight>
   
Het attribuut ''ProviderID'' van het ''IDPEntry'' element bevat het BRIN nummer van de school die de gebruiker geselecteerd heeft in het WAYF scherm van Entree Federatie.
+
Het attribuut ''ProviderID'' van het ''IDPEntry'' element bevat de realm van de school waarvoor de gebruiker geauthentiseerd moet worden bij de Identity Provider.
   
{{Warn| Het kan voorkomen dat het AuthnRequest geen ''<Scoping>'' element bevat. Dit gebeurt in het scenario wanneer de gebruiker geen school hoeft te selecteren op het WAYF scherm van Entree Federatie, omdat er een SSO notificatie cookie beschikbaar is (zie ook [[KNF:SSOnotification | deze pagina]]). Als de proxy Identity Provider dan geen andere methode heeft om vast te stellen bij welke school de gebruiker hoort, dan zal deze alsnog een WAYF scherm moeten tonen.}}
+
{{Warn| Het kan voorkomen dat het AuthnRequest geen ''<Scoping>'' element bevat. Dit gebeurt in het scenario wanneer de gebruiker geen school hoeft te selecteren op het WAYF scherm van Entree Federatie, omdat er een SSO notificatie cookie beschikbaar is (meer informatie over [[KNF:SSOnotification | SSO notificatie]]). <br/>
  +
Als de proxy Identity Provider dan geen andere methode heeft om vast te stellen bij welke school de gebruiker hoort, dan zal deze alsnog een WAYF scherm moeten tonen.}}
   
   

Huidige versie van 5 apr 2024 om 13:51

Nl.gif Nederlands En.gif English

Sommige Identity Providers worden door meerdere scholen gebruikt, dit is met name het geval bij Elektronische Leeromgevingen. Vaak hebben deze applicaties een eigen WAYF (Where Are You From) scherm waar de gebruiker zijn school moet selecteren. Om te voorkomen dat een gebruiker eerst zijn school op het WAYF scherm van Entree Federatie moet selecteren en vervolgens nogmaals op het WAYF scherm van de Identity Provider, kan er gebruik gemaakt worden van Realm scoping. Dit maakt het mogelijk om het tweede WAYF scherm over te slaan.

Wanneer een Service Provider realm scoping meestuurt in het authenticatie verzoek naar Entree Federatie kunnen zelfs de WAYF schermen van zowel Entree Federatie als van de Identity Provider worden overgeslagen.

LET OP: Om gebruik te kunnen maken van Realm scoping moet dit door Kennisnet geconfigureerd worden voor de Identity Provider. Neem hiervoor contact op met Kennisnet.

Realm

De realm staat achter het @ bij de uid van gebruikers. Dit bevat een waarde waarmee de school geïdentificeerd kan worden in het systeem van de Identity Provider.

In het voortgezet onderwijs worden realms worden automatisch toegevoegd aan Entree Federatie nadat een school de controle koppeling heeft gedaan. Daarnaast kunnen realms ook handmatig door Kennisnet worden toegevoegd indien deze ontbreekt. Informatie over de realms van alle aangesloten scholen is beschikbaar via een JSON bestand.

Endpoint met aangesloten scholen

De live data van de WAYF is via een publiek JSON bestand beschikbaar via:

De lijst kan ook specifiek voor een Service Provider (of Relying Party) worden opgevraagd door het entityID (URL encoded) toe te voegen:

Voorbeeld:

{
	"idp": {
		"friendly_name": "Magister",
		"entity_id": "https://saml.magister.net"
	},
	"institution": {
		"friendly_name": "Almende College",
		"location": "Silvolde",
		"brin": "14UM02"
	},
	"realm": "magis.almende14UM02"
}

Scoping

Scoping is een onderdeel van de SAML 2.0 specificatie. Realm scoping is dan ook alleen beschikbaar voor Identity Providers met een koppeling op basis van het SAML 2.0 protocol.

Info.gif Scoping biedt een Service Provider de mogelijkheid om een Identity Provider in een AuthnRequest mee te geven aan een proxy Identity Provider (in dit geval Entree Federatie). Hiermee geeft de Service Provider bij de proxy Identity Provider aan dat alleen de Identity Provider in het <Scoping> element gebruikt mag worden.

In het geval van Realm scoping wordt dus een Realm in het <Scoping> element van een AuthnRequest meegegeven aan de proxy Identity Provider om aan te geven voor welke school de gebruiker moet worden geauthentiseerd.

<AuthnRequest> 
   ... 
   <Scoping> 
      <IDPList> 
         <IDPEntry ProviderID="realm" /> 
      </IDPList> 
	  <RequesterID>Entity ID SP</RequesterID>
      ... 
   </Scoping> 
   ...
</AuthnRequest>

Het attribuut ProviderID van het IDPEntry element bevat de realm van de school waarvoor de gebruiker geauthentiseerd moet worden bij de Identity Provider.

Warn.gif Het kan voorkomen dat het AuthnRequest geen <Scoping> element bevat. Dit gebeurt in het scenario wanneer de gebruiker geen school hoeft te selecteren op het WAYF scherm van Entree Federatie, omdat er een SSO notificatie cookie beschikbaar is (meer informatie over SSO notificatie).

Als de proxy Identity Provider dan geen andere methode heeft om vast te stellen bij welke school de gebruiker hoort, dan zal deze alsnog een WAYF scherm moeten tonen.