KNF:ADFS-SP

Uit Kennisnet Developers Documentatie
Versie door Vandenhoek01 (overleg | bijdragen) op 21 mei 2015 om 12:06 (Door te geven attributen definiëren)
Ga naar: navigatie, zoeken

Entree Federatie-symbol.png Entree Federatie: ADFS-SP

Kennisnet Federatie Handleiding ADFS voor aansluiting als Service Provider

Inleiding

In deze handleiding leest u hoe u uw organisatie middels ADFS aansluit op de Kennisnet Federatie, waarna gebruikers van de Kennisnet Federatie kunnen inloggen op uw op de ADFS omgeving aangesloten diensten.

De procedure voor het aansluiten als Service Provider bestaat uit de volgende onderdelen:

  1. Een ADFS-serversysteem inrichten, o.a. Windows Server 2012 R2 configureren en ADFS component installeren (dit zal niet worden besproken in deze handleiding)
  2. De ADFS-server configureren voor aansluiting als Service Provider voor de Kennisnet Federatie
  3. Attributen van de Kennisnet Federatie verwerken

Aanmelden bij Kennisnet Federatie

Alvorens u begint met de configuratie van de koppeling van ADFS en Kennisnet Federatie kunt beginnen moet u eerst uw instelling aan melden. Ga hiervoor naar http://www.kennisnet.nl/diensten/kennisnet-federatie/leveranciers/diensten-aanbieden/.

Als uw aanmelding geaccepteerd is ontvangt u hiervan een bericht. U kunt met onze servicedesk afstemmen of u eerst op onze staging omgeving wilt aansluiten of direct op productie.

ADFS-server inrichten

Voordat u de specifieke instellingen voor de Kennisnet Federatie kunt invoeren, moet u een basisinstallatie van de ADFS-server uitvoeren. Dat gaat in de volgende stappen:

  1. Windows Server 2012 R2 installeren en configureren
  2. De ADFS-software installeren
  3. Basisinstellingen van ADFS configureren

Deze handleiding gaat ervan uit dat u deze stappen reeds heeft voorbereid en succesvol afgerond. Het is immers de bedoeling dat u de Kennisnet Federatie als extra ingang voor uw applicaties aan ADFS koppelt.

ADFS-server configureren als Service Provider

Om gebruikers met hun instellingsaccount toegang te kunnen geven tot uw diensten via de Kennisnet Federatie, moet u uw ADFS-server configureren als Service Provider.

Aanmaken van een Claims Provider Trust

In ADFS moet een nieuwe Claims Provider Trust worden aangemaakt om attributen te kunnen ontvangen van een andere locatie dan Active Directory. Hier komt dan ook de daadwerkelijke koppeling met de Kennisnet Federatie.

  1. Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
    Adfssp1.png
  2. Kies in de rechterkolom van het overzichtsvenster Add Claims Provider Trusts.
  3. Vervolgens in de wizard en klik op Start.
    Adfssp2.png
  4. Voer in het bovenste invoerveld de metadata url van de Kennisnet Federatie in (https://hub.entree.kennisnet.nl/openaselect/profiles/saml2/)
    Adfssp3.png
  5. Wanneer er een melding voorkomt dat de gegevens die zijn ingevoerd niet geheel compatible zijn met ADFS, klik op OK.
    Adfssp4.png
  6. Voer een naam in zoals deze in het ADFS systeem geadministreerd dient te worden, bijv. Kennisnet Federatie Productie en klik Next.
    Adfssp5.png
  7. Vervolgens toont een overzicht van de aan te maken koppeling de gegevens van de Kennisnet Federatie. Klik op Next.
    Adfssp6.png
  8. Vink het optie om attributen te configureren uit en klik op Close.
    Adfssp7.png
  9. De koppeling is nu aangemaakt en kan Actief of Inactief worden gezet.
    Adfssp8.png

SHA1-algoritme inschakelen

In ADFS worden handtekeningen standaard gezet met behulp van het SHA256-algoritme. Dit algoritme werkt niet goed samen met de Kennisnet Federatie. Voor een goede werking moet dit vervangen worden door het SHA1-algoritme.

  1. Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
    Adfssp8.png
  2. Dubbelklik in de middelste kolom op de Kennisnet Federatie koppeling, kies het Advanced tab en kies in het veld 'Secure hash algorithm' de waarde SHA-1.
    Adfssp9.png
  3. Klik op OK om de configuratie voor de Kennisnet Federatie af te ronden.

Attributen van de Kennisnet Federatie verwerken

Attributen zijn gebruikerskenmerken die de ADFS-server na een geslaagde authenticatie van een gebruiker kan ontvangen en doorgeven aan uw eigen applicaties welke aan ADFS zijn gekoppeld. Voorbeelden van attributen die door Kennisnet Federatie kunnen worden aangeleverd zijn bijvoorbeeld de voornaam, achternaam, e-mailadres, geboortedatum en rol van de gebruiker of de naam en de BRIN van een instelling.

De set van gestandaardiseerde attributen die binnen de Kennisnet Federatie kunnen worden gebruikt, vindt u hier:

http://developers.wiki.kennisnet.nl/index.php?title=KNF:AttributenOverzicht

Let erop dat attributen niet allemaal standaard worden doorgegeven in verband met privacy wetgeving. Bij optionele attributen dient de school een schriftelijke goedkeuring aan Kennisnet te verstrekken om de optionele attributen aan u als dienst door te mogen geven.

Door te geven attributen definiëren

De attributen die door Kennisnet Federatie worden doorgestuurd dienen te worden geconfigureerd in ADFS om verder te kunnen verwerken binnen ADFS. Hierna volgt een voorbeeld van een enkel attribuut zoals de implementatie zou kunnen zijn.

  1. Kies in de linkerkolom van het overzichtsvenster Trust Relationships > Claims Provider Trusts.
    Adfssp8.png
  2. Rechterklik op de Kennisnet Federatie koppeling en kies Edit Claim Rules
    Adfssp10.png
  3. Klik op Add Rule om een nieuw attribuut te verwerken. Kies (voobeeld) voor Transform an Incoming Claim en klik Next.
    Adfssp11.png
  4. In dit scherm gaan we het van Kennisnet Federatie ontvangen attribuut uid transformeren naar een attribuut waar uw eigen applicaties iets mee kunnen. Bijvoorbeeld Name ID. Klik op Finish.
    Adfssp12.png
  5. In het overzicht staat nu dat het attribuut uid wordt aangepast naar Name ID. Feitelijk veranderd alleen de naam van het attribuut en de waarde blijft hetzelfde. Uw applicatie welke attributen ontvangt uit ADFS zal nu Name ID ontvangen met de waarde van het uid door Kennisnet Federatie opgestuurd. Let op, wanneer men inlogt vanuit uw lokale Active Directory geldt deze regel niet.
  6. Herhaal deze stappen voor alle attributen welke u wilt gebruiken.

Testen

U kunt testen of de aansluiting en het ontvangen van de attributen is gelukt door uw eigen applicatie aangesloten aan ADFS te raadplegen. Zodra een authenticatie wordt gestart kunt u kiezen tussen inloggen via Active Directory of via de Kennisnet Federatie.

  1. Ga naar de url van uw applicatie
  2. Kies bij het inloggen voor Kennisnet Federatie.
  3. Zodra u het inlogscherm van Kennisnet wordt getoond, kies dan voor school 'ReferentieELO'.
  4. Pas eventueel de attributen van de door te geven gebruiker aan en klik op 'Naar dienst'

Indien u in plaats daarvan een foutmelding ziet dient u contact op te nemen met onze servicedesk.