KNF:Google Apps for Education - Identity Provider: verschil tussen versies
Regel 40: | Regel 40: | ||
# Vul bij het veld 'customerId' de volgende waarde in: 'my_customer'.<br/>[[Bestand:GoogleAppsIdP010.png|border|600px]]<br/><br/> |
# Vul bij het veld 'customerId' de volgende waarde in: 'my_customer'.<br/>[[Bestand:GoogleAppsIdP010.png|border|600px]]<br/><br/> |
||
# Klik in het veld 'Request body' en selecteer in de drop down 'Freeform editor'.<br/>[[Bestand:GoogleAppsIdP011.png|border|600px]]<br/><br/> |
# Klik in het veld 'Request body' en selecteer in de drop down 'Freeform editor'.<br/>[[Bestand:GoogleAppsIdP011.png|border|600px]]<br/><br/> |
||
− | # Vervang de reeds ingevulde tekst met de onderstaande tekst:<br/><syntaxhighlight lang=" |
+ | # Vervang de reeds ingevulde tekst met de onderstaande tekst:<br/><syntaxhighlight lang="php"> |
+ | // default-sp kan worden aangepast naar een eigen te kiezen naam van de dienst |
||
− | { "fields": [ { "fieldName": "BRIN", "fieldType": "STRING" }, { "fieldName": Schoolnaam", "fieldType": "STRING" }, { "fieldName": "Leerlingnummer", "fieldType": STRING" }, { "fieldName": "Rol", "fieldType": "STRING" } ], "schemaName": EntreeFederatie"} |
||
+ | // noodzakelijk bij meerdere app achter deze koppeling. |
||
+ | |||
+ | 'default-sp' => array( |
||
+ | 'saml:SP', |
||
+ | |||
+ | // Voer een entityID in voor uw applicatie (meestal unieke url van de dienst) |
||
+ | 'entityID' => 'https://domainname.com', |
||
+ | |||
+ | // Certificaat gegenereerd in stap 1.1 uit de Quickstart |
||
+ | // pad is te configureren in config.php bij 'certdir' => 'cert/'; map is nog niet aangemaakt door installer. |
||
+ | 'privatekey' => 'saml.pem', |
||
+ | 'certificate' => 'saml.crt', |
||
+ | |||
+ | // Standaard keuzemenu voor Identity Provider uitzetten en direct naar Entree Federatie wijzen |
||
+ | // Onderstaande configuratie is voor staging. |
||
+ | // Bij livegang hoeft alleen deze waarde aangepast te worden naar aselect.entree.kennisnet.nl |
||
+ | 'idp' => 'aselect-s.entree.kennisnet.nl', // staging/test url |
||
+ | // 'idp' => 'aselect.entree.kennisnet.nl', // productie url |
||
+ | |||
+ | // Entree Federatie attribuut formaten aanpassen |
||
+ | 'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', |
||
+ | 'AttributeNameFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified', |
||
+ | |||
+ | // Optionele configuratie voor-selectie aan te spreken Identity Provider/school |
||
+ | // 'IDPList' => array( 'entityidofidp', ), |
||
+ | // 'ProxyCount' => 1, |
||
+ | ), |
||
+ | </syntaxhighlight> |
||
+ | |||
+ | ====config.php==== |
||
+ | <syntaxhighlight lang="php"> |
||
+ | // Het pad waarop simpleSAMLphp bereikbaar is. Dit moet overeenkomen met de Alias locatie in de webserver configuratie. |
||
+ | 'baseurlpath' => 'simplesaml/', |
||
+ | |||
+ | // Pas het admin wachtwoord voor de webinterface aan!!! |
||
+ | 'auth.adminpassword' => '!123456!', |
||
+ | |||
+ | // Voer de juiste contactgegevens in. |
||
+ | 'technicalcontact_name' => 'Servicedesk Kennisnet', |
||
+ | 'technicalcontact_email' => 'servicedesk@kennisnet.nl', |
||
</syntaxhighlight><br/>In een later stap zullen we dit schema gebruiken bij het toewijzen van attributen die worden doorgegeven aan Entree Federatie. |
</syntaxhighlight><br/>In een later stap zullen we dit schema gebruiken bij het toewijzen van attributen die worden doorgegeven aan Entree Federatie. |
||
# Klik op ‘Authorize and execute’.<br/>[[Bestand:GoogleAppsIdP012.png|border|600px]]<br/><br/> |
# Klik op ‘Authorize and execute’.<br/>[[Bestand:GoogleAppsIdP012.png|border|600px]]<br/><br/> |
Versie van 8 apr 2016 11:26
Deze handleiding bevat een stappenplan om een Google Apps for Education omgeving in te zetten als Identity Provider en aan Entree Federatie te koppelen.
Om aan de hand van deze handleiding een koppeling te kunnen realiseren moet aan de volgende voorwaarden worden voldaan:
- U heeft een werkende Google Apps for Education omgeving
- U heeft ervaring met het beheren van een Google Apps for Education omgeving
- U heeft zich als Identity Provider bij Entree Federatie aangemeld. U kunt zich aanmelden door het invullen van het formulier op: https://forms.kennisnet.nl/entree-instelling.html
- Voor het geautomatiseerd vullen van attributen voor meerdere gebruikers moet u zelf een script maken dat communiceert met de Google Directory API. In deze handleiding wordt alleen beschreven hoe u dit voor een enkele gebruiker handmatig kunt doen.
Stap 1: Configuratie van de koppeling
De eerste stap is om de koppeling met Entree Federatie te configureren in Google Apps for Education. Op deze manier wordt er een vertrouwde verbinding, ook wel trustrelatie genoemd, opgezet.
- Log in op de Beheerconsole van de Google Apps omgeving (https://admin.google.com) met een beheerders account.
- Ga in de Beheerdersconsole naar ‘Meer besturingslementen en klik op ‘Apps’.
- Klik vervolgens op ‘SAML-apps’.
- Klik op de link ‘Een service/app toevoegen aan uw domein’.
- Er verschijnt nu een pop-up scherm ‘SSO inschakelen voor SAML-applicatie’.
Klik op ‘Mijn eigen aangepaste app instellen’ onderaan dit scherm. - In het volgende scherm kunt u een metadata bestand van uw Google Apps for Education downloaden. Kennisnet heeft dit bestand een latere stap nodig om een vertrouwde verbinding te configureren tussen uw Google Apps omgeving en Entree Federatie.
Klik onder ‘Optie 2’ op de knop ‘Downloaden’. - Klik op ‘Volgende’ als het downloaden voltooid is.
- Vul in het volgende scherm bij ‘Applicatienaam’ ‘Entree Federatie’ in.
- Indien gewenst kunt u het veld 'Omschrijving' invullen, maar u mag dit veld ook leeg laten.
- U kunt eventueel onderstaand logo toevoegen (niet verplicht).
- Als u klaar bent klikt u op ‘Volgende’.
- In het volgende scherm geeft u de gegevens van Entree Federatie op om de Single Sign On verbinding te configureren.
Voor een koppeling met de productie omgeving van Entree Federatie gebruikt u:
ASC-URL: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2/sp/sso/web
Entiteits-ID: aselect.entree.kennisnet.nl
De overige velden hoeven niet te worden ingevuld of gewijzigd.
Onderstaand voorbeeld is een configuratie voor de productie omgeving van Entree Federatie. - Klik vervolgens op ‘Volgende’.
- Klik in het volgende scherm op ‘Voltooien’
- Als de koppeling juist geconfigureerd is ziet u de volgende melding:
- Klik op ‘Ok’
Stap 2: Versturen metadata
In stap 1.6 heeft u een metadata bestand gedownload. Kennisnet heeft dit bestand nodig om de koppeling tussen uw Google Apps for Education omgeving en Entree Federatie te configureren. U kunt dit bestand versturen naar de Servicedesk van Kennisnet. Dit kan door te antwoorden op de mail die u heeft ontvangen na het invullen van het aanmeldformulier of u kunt u gebruik maken van onze Support tool: https://support.kennisnet.org/. Klik vervolgens op ‘Stel een vraag’.
Stap 3: Definiëren van door te geven attributen
Voor een goede werking van Entree Federatie is het nodig om een minimale set aan standaard attributen te versturen (zie voor meer informatie over attributen: Overzicht van Federatieve attributen. Om deze attributen door te geven naar Entree Fedratie moet er in de Google Apps for Education omgeving een apart schema worden gemaakt, waarin deze attributen gedefinieerd worden.
Het aanmaken van een dergelijk schema kan uitsluitend via de Google Directory API, zoals beschreven in de stappen hieronder.
- Ga naar https://developers.google.com/admin-sdk/directory/v1/reference/schemas/insert#try-it.
- Als u nog niet bent ingelogd, log dan in met uw Google Apps for Education beheerders account.
- Vul bij het veld 'customerId' de volgende waarde in: 'my_customer'.
- Klik in het veld 'Request body' en selecteer in de drop down 'Freeform editor'.
- Vervang de reeds ingevulde tekst met de onderstaande tekst:
// default-sp kan worden aangepast naar een eigen te kiezen naam van de dienst // noodzakelijk bij meerdere app achter deze koppeling. 'default-sp' => array( 'saml:SP', // Voer een entityID in voor uw applicatie (meestal unieke url van de dienst) 'entityID' => 'https://domainname.com', // Certificaat gegenereerd in stap 1.1 uit de Quickstart // pad is te configureren in config.php bij 'certdir' => 'cert/'; map is nog niet aangemaakt door installer. 'privatekey' => 'saml.pem', 'certificate' => 'saml.crt', // Standaard keuzemenu voor Identity Provider uitzetten en direct naar Entree Federatie wijzen // Onderstaande configuratie is voor staging. // Bij livegang hoeft alleen deze waarde aangepast te worden naar aselect.entree.kennisnet.nl 'idp' => 'aselect-s.entree.kennisnet.nl', // staging/test url // 'idp' => 'aselect.entree.kennisnet.nl', // productie url // Entree Federatie attribuut formaten aanpassen 'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', 'AttributeNameFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified', // Optionele configuratie voor-selectie aan te spreken Identity Provider/school // 'IDPList' => array( 'entityidofidp', ), // 'ProxyCount' => 1, ),
config.php
// Het pad waarop simpleSAMLphp bereikbaar is. Dit moet overeenkomen met de Alias locatie in de webserver configuratie.
'baseurlpath' => 'simplesaml/',
// Pas het admin wachtwoord voor de webinterface aan!!!
'auth.adminpassword' => '!123456!',
// Voer de juiste contactgegevens in.
'technicalcontact_name' => 'Servicedesk Kennisnet',
'technicalcontact_email' => 'servicedesk@kennisnet.nl',
In een later stap zullen we dit schema gebruiken bij het toewijzen van attributen die worden doorgegeven aan Entree Federatie.