KNF:ECK iD doorgeven via Microsoft Entra

Uit Kennisnet Developers Documentatie
Versie door Holierhoek01 (overleg | bijdragen) op 2 mei 2025 om 13:59
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Entree Federatie-symbol.png Entree Federatie: ECK iD doorgeven via Microsoft Entra

ECK iD doorgeven via Microsoft Entra ID

Inleiding

Het ECK iD is een pseudoniem dat in het Nederlandse onderwijs wordt gebruikt om leerlingen, studenten en medewerkers veilig en privacyvriendelijk te identificeren bij digitale leermiddelen. Microsoft Entra ID (voorheen Azure Active Directory) biedt een oplossing om het ECK iD veilig op te slaan en automatisch door te geven aan geautoriseerde dienstverleners, zoals via Entree Federatie.

Deze handleiding beschrijft hoe je het ECK iD configureert via custom claims in Microsoft Entra, en hoe je dit zelfstandig kunt testen via de Referentie Omgeving van Kennisnet.

Verwerking volgens voorschriften

De inrichting voldoet aan de voorschriften voor verwerking van het ECK iD, mits:

  • Het ECK iD wordt versleuteld opgeslagen in een apart attribuut;
  • Het wordt logisch gescheiden van andere persoonsgegevens;
  • Het wordt alleen gedeeld met partijen die daar recht op hebben (zoals Entree Federatie of andere leveranciers met een geldige verwerkersovereenkomst);
  • Verwerking en toegang zijn ingericht volgens de AVG.

Benodigdheden

  • Microsoft Entra ID Premium P1-licentie;
  • Beheerdersrechten in de Azure Portal;
  • Een extensie-attribuut in Microsoft Entra ID (bijvoorbeeld: extension_eckId);
  • Mogelijkheid om custom claims providers te configureren.

Stappenplan: ECK iD inrichten en doorgeven

Stap 1: Opslag van het ECK iD

  • Sla het ECK iD op in een extensie-attribuut, bijvoorbeeld extension_eckId.
  • Zorg ervoor dat het veld uitsluitend het ECK iD bevat en niet wordt gecombineerd met andere persoonsgegevens.
  • Microsoft versleutelt deze gegevens standaard tijdens opslag.

Stap 2: Configureer een Custom Claims Provider

Gebruik de officiële Microsoft-documentatie:

Voorbeeld configuratie: 

{
  "claim": "eckId",
  "source": "user.extension_eckId"
}

Stap 3: Koppel aan Entree Federatie of andere SP’s

  • Ga naar Enterprise Applications in de Azure Portal.
  • Koppel het attribuut eckId aan de juiste applicatie(s).
  • Dit kunnen Entree Federatie en/of andere geautoriseerde leveranciers zijn.

Stap 4: Zelfstandig testen via de Referentie Omgeving

Gebruik de Referentie Omgeving van Entree Federatie om te controleren of het ECK iD goed wordt doorgegeven:

Als de inrichting correct is, wordt het ECK iD automatisch weergegeven in de testomgeving. Hiervoor is geen actie vanuit Kennisnet nodig.

Aandachtspunten

Onderwerp Aandachtspunt
Beveiliging Gebruik alleen versleutelde opslag via extensievelden.
Scheiding van gegevens Combineer het ECK iD niet met andere identificerende gegevens.
Geautoriseerd delen Deel het ECK iD alleen met partijen die daartoe gerechtigd zijn.
Verantwoordelijkheid De school of instelling is zelf verantwoordelijk voor correcte inrichting.

Extra tips

  • Leg verwerking van het ECK iD vast in het verwerkingsregister;
  • Overweeg het gebruik van Conditional Access en token filtering;
  • Laat je inrichting toetsen door je functionaris gegevensbescherming (FG).
Overgenomen van "https://developers.wiki.kennisnet.nl/index.php?title=KNF:ECK_iD_doorgeven_via_Microsoft_Entra&oldid=13127"