KNF:SAML-sp
Introductie
Deze handleiding legt uit hoe je kunt koppelen met Entree Federatie als Service Provider via SAML 2.0.
Beschrijving Entree Federatie
Entree Federatie fungeert als hub tussen alle aangesloten Service Providers (SP) en alle Identity Providers (IdP). Hieronder staat schematisch weergegeven wat de rol van Entree Federatie is.
- Een gebruiker gaat naar de dienst (SP) om in te loggen
- De dienst stuurt de gebruiker naar Entree Federatie om te authentiseren.
- Entree Federatie bepaalt de organisatie (IdP) waar de gebruiker bij hoort via het WAYF inlogscherm (Where are you from), of via het uitlezen van het SSO cookie.
- De IdP wordt gekozen.
- Entree Federatie stuurt de gebruiker naar de IdP
- De IdP authentiseert de gebruiker en stuurt de gebruiker terug naar Entree Federatie met een set attributen (persoonsgegevens).
- Entree Federatie controleert het resultaat, en bepaalt welke attributen mogen worden doorgestuurd naar de SP o.b.v. de ARP (Attribute Release Policy) en stuurt dit door naar de SP.
- De SP verwerkt het resultaat, de gebruiker is nu ingelogd.
Staging en productie omgeving
De productie omgeving is alleen bedoeld voor productie omgevingen en is niet bedoeld voor test doeleinde.
De software van de staging omgeving is identiek aan de productie omgeving en kan gebruikt worden voor ontwikkelpartijen om tegen te testen.
Implementatie voorbereiding
- Bepaal hoe je wilt koppelen met Entree Federatie, op de wiki staan meerdere standaard pakketten die gebruikt kunnen worden.
- Na het installeren en configureren van de software, stuur je de metadata url van de omgeving naar Kennisnet.
- Kennisnet maakt in eerste instantie een koppeling met de staging omgeving.
- Maak een test project waarmee je een authenticatie verzoek naar Entree Federatie kunt sturen.
- Implementeer authenticatie in de software van de dienst.
- Test of het authentiseren werkt, hiervoor kun je gebruik maken van de Referentie diensten
- ? Implement and test passive authentication (optionally)
SSO Query
SAML support
Een korte uitleg over het SAML protocol kun je hier vinden: https://blog.surf.nl/en/saml-for-dummies/
Op deze website kun je verschillende SAML tools en ondersteuning vinden: https://www.samltool.com/online_tools.php
Een overzicht van standaard pakketten om te koppelen kun je hier vinden: http://developers.wiki.kennisnet.nl/index.php?title=KNF:Hoofdpagina
Een volledige uitleg van het SAML protocol kun je hier vinden: http://docs.oasis-open.org/security/saml/v2.0/
Koppelen met Entree Federatie
Metadata URL's
De metadata van Entree Federatie bevat zowel SP als IdP metadata.
of https://aselect.entree.kennisnet.nl/openaselect/profiles/saml2/
of https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2/
Protocol & bindings
Entree Federatie ondersteund de volgende bindings:
- HTTP-Redirect, HTTP-Artifact and HTTP-POST for all incoming messages,
- HTTP-Redirect and HTTP-POST for outgoing messages.
Entree Federatie stuurt alleen <AuthnRequest>’s naar IdP's. Er worden geen andere SAML requests verstuurd. Daarom bevat het antwoord een <AuthnStatement> en een <AttributeStatement>, als de authenticatie succesvol is.
Name ID Format
De Name ID (Name ID in de <AuthnStatement>) die Entree Federatie heeft de volgende eigenschappen:
- De waarde is als volgt opgebouwd (username)@(realm). De Name ID heeft hetzelfde formaat als een e-mailadres, maar is het niet.
- De waarde voor de realm is uniek binnen Entree Federatie en bevat bij voorkeur