KNF:Azure AD Premium - Identity Provider: verschil tussen versies

Uit Kennisnet Developers Documentatie
Ga naar: navigatie, zoeken
(Attributen voor een groep)
 
(32 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 7: Regel 7:
 
#U heeft een werkende Azure AD Premium omgeving
 
#U heeft een werkende Azure AD Premium omgeving
 
#U heeft ervaring met het beheren van een Azure AD Premium omgeving
 
#U heeft ervaring met het beheren van een Azure AD Premium omgeving
#U heeft zich als Identity Provider bij Entree Federatie aangemeld. U kunt zich aanmelden door het invullen van het formulier op: https://forms.kennisnet.nl/entree-instelling.html
+
#U heeft zich als Identity Provider bij Entree Federatie aangemeld. U kunt zich aanmelden door het invullen van het formulier op: https://www.kennisnet.nl/entree-federatie/aanmelden/
 +
 
 +
{{Warn|Recent is de Azure AD omgeving gewijzigd, voor een handleiding verwijzen wij je naar de documentatie van Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-custom-apps#adding-an-unlisted-application}}
  
 
==Stap 1: Configuratie van de koppeling==
 
==Stap 1: Configuratie van de koppeling==
 
Voor het maken van een koppeling moet een app geconfigureerd worden die via het SAML protocol de communicatie tussen Azure AD en Entree Federatie verzorgt. Een dergelijke app kan '''alleen''' met een Azure AD Premium omgeving geconfigureerd worden.
 
Voor het maken van een koppeling moet een app geconfigureerd worden die via het SAML protocol de communicatie tussen Azure AD en Entree Federatie verzorgt. Een dergelijke app kan '''alleen''' met een Azure AD Premium omgeving geconfigureerd worden.
  
# Open de Azure omgeving en ga naar ‘Admin center’
+
#Ga naar https://admin.microsoft.com/
# Klik op ‘Active directory’ en selecteerde directory die je wilt gebruiken.
+
#Klik op 'Show All' en vervolgens 'Azure active Directory'
# Klik op de tab ‘Applications’ en klik onderaan het scherm op ‘Add’ om een nieuwe app aan te maken.<br/>[[Bestand:AzureADIdP01.png|border|600px]]<br/><br/>
+
#*- Als alternatief ga direct naar https://aad.portal.azure.com/
# Klik in het volgende scherm op ‘Add an application from the gallery’.<br/>[[Bestand:AzureADIdP02.png|border|600px]]<br/><br/>
+
 
# Selecteer daarna ‘Custom’ en vul in het veld ‘Name’ vervolgens ‘Entree Federatie’ in. Klik daarna op het vinkje onderaan het scherm om te bevestigen.<br/>[[Bestand:AzureADIdP03.png|border|600px]]<br/><br/>
+
#Klik op 'Enterprise applications'
# Klik in het volgende scherm op de tab ‘Configure’ en klik op de knop ‘Edit settings’.<br/>[[Bestand:AzureADIdP04.png|border|600px]]<br/><br/>
+
#Klik op '+ New application'
# De app kan nu geconfigureerd worden om met Entree Federatie te koppelen. Selecteer ‘Microsoft Azure AD single sign on’ klik op het vinkje.
+
#Kies Non-Gallery Application
#In het volgende scherm worden de endpoints van Entree Federatie geconfigureerd. <br/>'''Let op:''' De endpoints zijn verschillend voor de staging en de productie omgeving van Entree Federatie.
+
#Geef als naam op Entree Federatie staging of productie
#* Zet eerst een vinkje bij ‘Show advanced settings (optional)’
+
#Kies na creëren 'Set up single sign on'
#* Vul bij ‘Sign in URL (optional)’ één van de volgende URL’s in:<br/>'''Staging:''' https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web<br/>'''Productie:''' https://aselect.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web
+
#Kies SAML
#* Vul bij ‘Identifier’ één van de volgende waarden in:<br/>'''Staging:''' https://aselect-s.entree.kennisnet.nl<br/>'''Productie:''' https://aselect.entree.kennisnet.nl
+
#Edit 'Basic SAML Configuration
#* Klik vervolgens op het pijltje onderaan om naar het volgende scherm te gaan.<br/>[[Bestand:AzureADIdP05.png|border|600px]]<br/><br/>
+
#Vul bij Identifier in :
# De app is nu geconfigureerd om met Entree Federatie te communiceren. Echter Kennisnet moet ook Entree Federatie configureren om met de Azure AD omgeving te communiceren. Hiervoor is een metadata bestand nodig die de koppelingsgegevens van de de Azure AD omgeving beschrijft.
+
#*Staging: https://aselect-s.entree.kennisnet.nl
#* Klik op ‘Download Metadata (XML)’ en verstuur dit bestand naar Kennisnet.
+
#*Productie: https://aselect.entree.kennisnet.nl
#* Zet een vinkje bij ‘Confirm that you have configured single sign-on as described above. Checking this will enable the current certificate to start working for this application.’
+
#Reply URL:
#* Klik op het pijltje om naar het volgende scherm te gaan.<br/>[[Bestand:AzureADIdP06.png|border|600px]]<br/><br/>
+
#*Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web
# Klik op het vinkje ‘Complete’
+
#*Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web
 +
#Sign on URL:
 +
#*Staging: https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web
 +
#*Productie: https://aselect.entree.kennisnet.nl/openaselect/profiles/saml/sp/sso/web
 +
# Ga nu naar het menu Single sign-on en kopieer de URL bij 'App Federation Metadata URL' stuur de URL naar [mailto:support@kennisnet.nl| Support Kennisnet]
  
 
De koppeling is nu geconfigureerd, in het volgende deel worden de attributen die worden doorgegeven gedefinieerd.
 
De koppeling is nu geconfigureerd, in het volgende deel worden de attributen die worden doorgegeven gedefinieerd.
  
 
==Stap 2: Attributen definiëren==
 
==Stap 2: Attributen definiëren==
Entree Federatie maakt onderscheid tussen '''‘standaard attributen’''' en '''‘aanvullende attributen’'''. De standaard attributen dienen altijd te worden doorgegeven door de Azure AD applicatie. Een overzicht van de attributen is te vinden op [[KNF:AttributenOverzicht|Attributen overzicht]].
+
Entree Federatie maakt onderscheid tussen '''‘standaard attributen’''' en '''‘aanvullende attributen’'''. De standaard attributen dienen altijd te worden doorgegeven door de Azure AD applicatie. Een overzicht van de attributen is te vinden op [[KNF:Attributen_overzicht_voor_Identity_Providers|Attributen overzicht]].
  
 
Sommige diensten die zijn aangesloten op Entree Federatie vragen naast de standaard attributen ook nog één of meerdere aanvullende attributen. In deze handleiding gaan we alleen uit van de standaard attributen, maar houd er rekening mee dat er meer attributen gedefinieerd moeten worden.
 
Sommige diensten die zijn aangesloten op Entree Federatie vragen naast de standaard attributen ook nog één of meerdere aanvullende attributen. In deze handleiding gaan we alleen uit van de standaard attributen, maar houd er rekening mee dat er meer attributen gedefinieerd moeten worden.
Regel 42: Regel 48:
 
#* '''nlEduPersonHomeOrganizationId:''' in het voorbeeld heeft dit veld de vaste waarde ‘SKNS’. Dit moet het BRIN nummer zijn van de school waarvoor de koppeling wordt gemaakt.
 
#* '''nlEduPersonHomeOrganizationId:''' in het voorbeeld heeft dit veld de vaste waarde ‘SKNS’. Dit moet het BRIN nummer zijn van de school waarvoor de koppeling wordt gemaakt.
 
#* '''nlEduPersonHomeOrganization:''' in het voorbeeld heeft dit veld de vaste waarde ‘Kennisnet kantoor’. Dit moet de naam van de school zijn van de school waarvoor de koppeling wordt gemaakt.<br/>[[Bestand:AzureADIdP08.png|border|600px]]<br/><br/>
 
#* '''nlEduPersonHomeOrganization:''' in het voorbeeld heeft dit veld de vaste waarde ‘Kennisnet kantoor’. Dit moet de naam van de school zijn van de school waarvoor de koppeling wordt gemaakt.<br/>[[Bestand:AzureADIdP08.png|border|600px]]<br/><br/>
 +
 +
Een volledig overzicht van alle attributen is hier te vinden [[KNF:Attributen_overzicht_voor_Identity_Providers|Attributen overzicht]].
  
 
De app is nu geconfigureerd en de attributen zijn gedefinieerd. Nadat Kennisnet de koppeling heeft geconfigureerd op basis van het metadata XML bestand kan de koppeling getest worden.
 
De app is nu geconfigureerd en de attributen zijn gedefinieerd. Nadat Kennisnet de koppeling heeft geconfigureerd op basis van het metadata XML bestand kan de koppeling getest worden.
 +
 +
===Attributen voor een groep===
 +
Het is mogelijk om bepaalde attributen door te geven aan de hand van groepen in de AD. Bijvoorbeeld voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff').
 +
 +
Tijdens het configureren van een attribuut, staat eronder een drop down menu "Claim conditions" waarmee het attribuut voor een groep ingesteld kan worden.
 +
 +
[[Bestand:ManageGroupClaim.png|border|600px]]
 +
 +
===Session tokens===
 +
Azure AD levert session tokens met een onbeperkte levensduur, in tegenstelling tot AD FS, waarbij de session tokens na 8 uren verlopen. Dit kan tot inlogproblemen leiden bij aangesloten diensten die een eigen session timeout kennen.
 +
 +
Met behulp van onderstaande documentatie van Microsoft is het mogelijk de waarden MaxAgeSessionSingleFactor en MaxAgeSessionMultiFactor in te stellen op 8 uren.
 +
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes
  
 
==Stap 3: Testen==
 
==Stap 3: Testen==
Regel 49: Regel 70:
  
 
# Ga naar de Kennisnet referentie Service Provider.<br/>'''Staging:''' https://referentie-s.entree.kennisnet.nl/referentiesp<br/>'''Productie:''' https://referentie.entree.kennisnet.nl/referentiesp
 
# Ga naar de Kennisnet referentie Service Provider.<br/>'''Staging:''' https://referentie-s.entree.kennisnet.nl/referentiesp<br/>'''Productie:''' https://referentie.entree.kennisnet.nl/referentiesp
# Je wordt nu doorgestuurd naar het WAYF (Where Are You From) scherm van Entree Federatie.
+
# Je wordt nu doorgestuurd naar het WAYF ('''W'''here '''A'''re '''Y'''ou '''F'''rom) scherm van Entree Federatie.
# Kies voor ‘Log in met je schoolaccount’ en zoek vervolgens de school waarmee je wilt inloggen.<br/>[[Bestand:wayf02.png|border|600px]]<br/><br/>
+
# Zoek de school waarmee je wilt inloggen.<br/>[[Bestand:Wayf01.PNG|border|400px]]<br/><br/>
 
# Selecteer de school en klik op ‘Verder’. Je wordt nu doorgestuurd naar de Azure AD omgeving die bij de school hoort.
 
# Selecteer de school en klik op ‘Verder’. Je wordt nu doorgestuurd naar de Azure AD omgeving die bij de school hoort.
 
# Log in op de Azure AD omgeving.
 
# Log in op de Azure AD omgeving.

Huidige versie van 31 jul 2020 om 12:08

Deze handleiding bevat een stappenplan om een Azure AD Premium omgeving in te zetten als Identity Provider en aan Entree Federatie te koppelen.

Let op: Deze handleiding is niet geschikt voor de Gratis en Basic edities van Azure AD

Om aan de hand van deze handleiding een koppeling te kunnen realiseren moet aan de volgende voorwaarden worden voldaan:

  1. U heeft een werkende Azure AD Premium omgeving
  2. U heeft ervaring met het beheren van een Azure AD Premium omgeving
  3. U heeft zich als Identity Provider bij Entree Federatie aangemeld. U kunt zich aanmelden door het invullen van het formulier op: https://www.kennisnet.nl/entree-federatie/aanmelden/
Warn.gif Recent is de Azure AD omgeving gewijzigd, voor een handleiding verwijzen wij je naar de documentatie van Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-custom-apps#adding-an-unlisted-application

Stap 1: Configuratie van de koppeling

Voor het maken van een koppeling moet een app geconfigureerd worden die via het SAML protocol de communicatie tussen Azure AD en Entree Federatie verzorgt. Een dergelijke app kan alleen met een Azure AD Premium omgeving geconfigureerd worden.

  1. Ga naar https://admin.microsoft.com/
  2. Klik op 'Show All' en vervolgens 'Azure active Directory'
  1. Klik op 'Enterprise applications'
  2. Klik op '+ New application'
  3. Kies Non-Gallery Application
  4. Geef als naam op Entree Federatie staging of productie
  5. Kies na creëren 'Set up single sign on'
  6. Kies SAML
  7. Edit 'Basic SAML Configuration
  8. Vul bij Identifier in :
  9. Reply URL:
  10. Sign on URL:
  11. Ga nu naar het menu Single sign-on en kopieer de URL bij 'App Federation Metadata URL' stuur de URL naar Support Kennisnet

De koppeling is nu geconfigureerd, in het volgende deel worden de attributen die worden doorgegeven gedefinieerd.

Stap 2: Attributen definiëren

Entree Federatie maakt onderscheid tussen ‘standaard attributen’ en ‘aanvullende attributen’. De standaard attributen dienen altijd te worden doorgegeven door de Azure AD applicatie. Een overzicht van de attributen is te vinden op Attributen overzicht.

Sommige diensten die zijn aangesloten op Entree Federatie vragen naast de standaard attributen ook nog één of meerdere aanvullende attributen. In deze handleiding gaan we alleen uit van de standaard attributen, maar houd er rekening mee dat er meer attributen gedefinieerd moeten worden.

  1. Open de tab ‘Attributes’.
  2. Azure AD heeft de volgende attributen gedefinieerd:
    AzureADIdP07.png

  3. Pas de attributen aan zodat ze gelijk zijn aan het onderstaande scherm.
    Let op: Er zijn twee waarden die moeten worden aangepast aan de eigen specifieke situatie.
    • nlEduPersonHomeOrganizationId: in het voorbeeld heeft dit veld de vaste waarde ‘SKNS’. Dit moet het BRIN nummer zijn van de school waarvoor de koppeling wordt gemaakt.
    • nlEduPersonHomeOrganization: in het voorbeeld heeft dit veld de vaste waarde ‘Kennisnet kantoor’. Dit moet de naam van de school zijn van de school waarvoor de koppeling wordt gemaakt.
      AzureADIdP08.png

Een volledig overzicht van alle attributen is hier te vinden Attributen overzicht.

De app is nu geconfigureerd en de attributen zijn gedefinieerd. Nadat Kennisnet de koppeling heeft geconfigureerd op basis van het metadata XML bestand kan de koppeling getest worden.

Attributen voor een groep

Het is mogelijk om bepaalde attributen door te geven aan de hand van groepen in de AD. Bijvoorbeeld voor het doorgeven van de EduPersonAffiliation (de rol van de gebruiker, 'student', 'employee' of 'staff').

Tijdens het configureren van een attribuut, staat eronder een drop down menu "Claim conditions" waarmee het attribuut voor een groep ingesteld kan worden.

ManageGroupClaim.png

Session tokens

Azure AD levert session tokens met een onbeperkte levensduur, in tegenstelling tot AD FS, waarbij de session tokens na 8 uren verlopen. Dit kan tot inlogproblemen leiden bij aangesloten diensten die een eigen session timeout kennen.

Met behulp van onderstaande documentatie van Microsoft is het mogelijk de waarden MaxAgeSessionSingleFactor en MaxAgeSessionMultiFactor in te stellen op 8 uren. https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes

Stap 3: Testen

Om de koppeling te testen kan gebruik gemaakt worden van de referentie Service Provider van Kennisnet. Na een succesvolle authenticatie via de Azure AD worden de aan de referentie SP doorgegeven attributen getoond.

  1. Ga naar de Kennisnet referentie Service Provider.
    Staging: https://referentie-s.entree.kennisnet.nl/referentiesp
    Productie: https://referentie.entree.kennisnet.nl/referentiesp
  2. Je wordt nu doorgestuurd naar het WAYF (Where Are You From) scherm van Entree Federatie.
  3. Zoek de school waarmee je wilt inloggen.
    Wayf01.PNG

  4. Selecteer de school en klik op ‘Verder’. Je wordt nu doorgestuurd naar de Azure AD omgeving die bij de school hoort.
  5. Log in op de Azure AD omgeving.
  6. Hierna wordt je teruggestuurd naar de referentie Service Provider en krijg je een overzicht van de attributen die zijn ontvangen.
    Refsp.png

Mocht er in dit scenario iets fout gaan neem dan contact op met Kennisnet.