KNF:SAML-sp: verschil tussen versies
Regel 56: | Regel 56: | ||
De software van de staging omgeving is identiek aan de productie omgeving en kan gebruikt worden voor ontwikkelpartijen om tegen te testen. |
De software van de staging omgeving is identiek aan de productie omgeving en kan gebruikt worden voor ontwikkelpartijen om tegen te testen. |
||
+ | <!-- |
||
=== Implementatie voorbereiding === |
=== Implementatie voorbereiding === |
||
# Bepaal hoe je wilt koppelen met Entree Federatie, op de wiki staan meerdere standaard pakketten die gebruikt kunnen worden. |
# Bepaal hoe je wilt koppelen met Entree Federatie, op de wiki staan meerdere standaard pakketten die gebruikt kunnen worden. |
||
Regel 115: | Regel 116: | ||
Het belangrijkste verschil tussen deze accounts is dat Federatieve accounts daadwerkelijk van een school komen en ook alle attributen bevatten en Entree Accounts niet gekoppeld zijn aan een school en de waardes voor de attributen eduPersonAffiliation, nlEduPersonHomeOrganization en nlEduPersonHomeOrganizationId en standaard waarde bevatten. |
Het belangrijkste verschil tussen deze accounts is dat Federatieve accounts daadwerkelijk van een school komen en ook alle attributen bevatten en Entree Accounts niet gekoppeld zijn aan een school en de waardes voor de attributen eduPersonAffiliation, nlEduPersonHomeOrganization en nlEduPersonHomeOrganizationId en standaard waarde bevatten. |
||
+ | --> |
Versie van 8 jan 2018 13:54
Nederlands | English |
Inleiding
Entree Federatie geeft gebruikers in het po, vo en mbo toegang tot een groot aantal educatieve diensten met slechts één login (ook wel bekend als Single Sign On of SSO). De federatie wordt gevormd door aanbieders van een educatieve dienst of content (Service Providers), beheerders van identiteiten (Identity Providers) en de applicatie van Kennisnet (Entree Federatie).
Een Identity Provider is de applicatie die voor de school de communicatie met Entree Federatie verzorgt.
De applicatie van Entree Federatie fungeert als een federatieve intermediair (of hub) in het authenticatieproces. Het is dus het centrale knooppunt waarlangs alle federatieve authenticatie berichten worden afgehandeld.
Om een gebruiker te authenticeren worden XML berichten tussen de verschillende partijen uitgewisseld op basis van de open SAML 2.0 standaard (Security Assertion Markup Language). Een technische beschrijving van het authenticatie proces door middel van het SAML 2.0 protocol staat beschreven op Hoe werkt Entree Federatie?
Aansluitproces
Voorbereiding
Voor het aansluiten op Entree Federatie is het belangrijk om de volgende punten te overwegen:
- Welke attributen (persoonsgegevens) heb ik nodig om een gebruiker te kunnen autoriseren?
- Welke software library ga ik gebruiken voor het implementeren van de SAML functionaliteit?
- Wil ik gebruik maken van aanvullende functionaliteit als: SSO query, scoping of forced authentication?
Attributenbeleid
Tijdens het authenticatieproces ontvangt de applicatie van de Service Provider persoonsgegevens van de gebruiker in de vorm van attributen. Dit heeft als doel het identificeren en autoriseren van de persoon die gebruik wil maken van jouw applicatie. Binnen Entree Federatie wordt onderscheid gemaakt tussen twee typen attributen:
- Standaard attributen: worden door alle Service Providers ontvangen
- Aanvullende attributen: worden alleen ontvangen na expliciete toestemming van de onderwijsinstelling
Een overzicht van de attributen is te vinden op de pagina Attributen overzicht voor Service Providers.
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Hiermee worden de privacyrechten van gebruikers versterkt en de verantwoordelijkheden van organisaties vergroot. Een belangrijk uitgangspunt binnen deze wetgeving is Privacy by default. Dit houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Gebruik dus alleen attributen die functioneel essentieel zijn voor de autorisatie van de gebruiker en de werking van de applicatie.
Software library
Voor het implementeren van authenticatie door middel van SAML 2.0 zijn verschillende software libraries beschikbaar. De keuze voor één van deze libraries is vooral afhankelijk van de gebruikte ontwikkeltaal en persoonlijke voorkeur. Voor een aantal veel gebruikte libraries staan handleidingen op deze wiki. Voor het aansluiten op Entree Federatie worden geen specifieke libraries voorgeschreven door Kennisnet. Het is dus aan de dienstaanbier / ontwikkelaar om hier een keuze in te maken.
Aanvullende functionaliteit
In bepaalde use cases kan een dienstaanbieder een aantal aanvullende functionaliteiten implementeren. Deze kunnen het authenticatieproces verbeteren en/of vereenvoudigen.
SSO query
Deze functie biedt de mogelijkheid om te controleren of een gebruiker direct ingelogd kan worden zonder het inlogscherm te tonen. Kijk voor meer informatie op: [KNF:Single_Sign_On_query SSO query]
Scoping
Forced authentication
Testen van de koppeling
Voor het testen van de koppeling kan gebruik gemaakt worden van de Referentie Identity Provider van Entree Federatie. Met behulp van deze applicatie wordt het inloggen van een gebruiker via bijvoorbeeld een Elektronische Leeromgeving gesimuleerd. Het testscenario staat beschreven op: Service provider koppeling testen.
Overeenkomst
Nadat de koppeling op staging geconfigureerd en succesvol getest is, wordt er een overeenkomst afgesloten tussen de dienstaanbieder en Entree Federatie. Kennisnet zal hiervoor contact opnemen met de administratief contactpersoon van de dienstaanbieder.
Staging en productie omgeving
De productie omgeving is alleen bedoeld voor productie omgevingen en is niet bedoeld voor test doeleinde.
De software van de staging omgeving is identiek aan de productie omgeving en kan gebruikt worden voor ontwikkelpartijen om tegen te testen.