KNF:Korte uitleg SAML protocol: verschil tussen versies
| Regel 7: | Regel 7: | ||
Binnen Entree Federatie verloopt de communicatie tussen Service Providers en Identity Providers via de centrale hub van Kennisnet. Het voordeel hiervan is dat iedere Service Provider (SP) en iedere Identity Provider (IdP) slechts één enkele koppeling met de centrale hub hoeft te onderhouden. De applicatie van Kennisnet vervult hierdoor de rol van Identity Provider voor alle aangesloten Service Providers en tegelijkertijd de rol van Service Provider richting alle Identity Providers. |
Binnen Entree Federatie verloopt de communicatie tussen Service Providers en Identity Providers via de centrale hub van Kennisnet. Het voordeel hiervan is dat iedere Service Provider (SP) en iedere Identity Provider (IdP) slechts één enkele koppeling met de centrale hub hoeft te onderhouden. De applicatie van Kennisnet vervult hierdoor de rol van Identity Provider voor alle aangesloten Service Providers en tegelijkertijd de rol van Service Provider richting alle Identity Providers. |
||
| − | Single Sign On is mogelijk doordat de verschillende applicaties volgens het '''SAML 2.0 protocol''' met elkaar communiceren. SAML staat voor '''S'''ecurity '''A'''ssertion '''M'''arkup '''L'''anguage en is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens. De standaard is ontwikkeld door het non-profit consortium [https://wiki.oasis-open.org/security/FrontPage OASIS]. |
+ | Single Sign On is mogelijk doordat de verschillende applicaties volgens het '''SAML 2.0 protocol''' met elkaar communiceren. SAML staat voor '''S'''ecurity '''A'''ssertion '''M'''arkup '''L'''anguage en is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens. De standaard is ontwikkeld en wordt beheerd door het non-profit consortium [https://wiki.oasis-open.org/security/FrontPage OASIS]. |
==Metadata== |
==Metadata== |
||
Versie van 11 dec 2016 15:45
 Nederlands
|
 English
|
Entree Federatie functioneert op basis van het Single Sign On (SSO) principe. Een gebruiker logt slechts één keer in op zijn schoolomgeving (Identity Provider) en heeft vervolgens automatisch toegang tot de vele aangesloten diensten (Service Providers).
Binnen Entree Federatie verloopt de communicatie tussen Service Providers en Identity Providers via de centrale hub van Kennisnet. Het voordeel hiervan is dat iedere Service Provider (SP) en iedere Identity Provider (IdP) slechts één enkele koppeling met de centrale hub hoeft te onderhouden. De applicatie van Kennisnet vervult hierdoor de rol van Identity Provider voor alle aangesloten Service Providers en tegelijkertijd de rol van Service Provider richting alle Identity Providers.
Single Sign On is mogelijk doordat de verschillende applicaties volgens het SAML 2.0 protocol met elkaar communiceren. SAML staat voor Security Assertion Markup Language en is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens. De standaard is ontwikkeld en wordt beheerd door het non-profit consortium OASIS.
Metadata
De verschillende partijen binnen Entree Federatie communiceren met elkaar op basis van vertrouwensrelatie. Hiervoor worden een aantal afspraken gemaakt over onder andere een unieke identifier, de rol van de partij, endpoints en informatie over versleuteling. Iedere partij legt dit vast in een metadata bestand in XML formaat. Een vereenvoudigd voorbeeld van een metadata bestand voor een Service Provider ziet er als volgt uit:
<EntityDescriptor entityID="https://example.com">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor>
...
</KeyDescriptor>
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/sso" index="0"/>
</SPSSODescriptor>
</EntityDescriptor>
- Het verplichte attribuut entityID bevat de unieke identifier van de applicatie, bij voorkeur in de vorm van een URL.
- Het element <SPSSODescriptor> beschrijft de rol van de Service Provider. Voor een Identity Provider is dit <IDPSSODescriptor>.
- Het attribuut protocolSupportEnumeration bevat de ondersteunde protocollen.
- <KeyDescriptor> bevat informatie over de gebruikte versleuteling.
- De <AssertionConsumerService> bevat het endpoint waarnaar een Identity Provider de berichten voor de Service Provider kan versturen via de HTTP-POST binding.
Web Browser SSO profiel
In de SAML specificatie zijn profielen gedefinieerd voor verschillende use cases, in de context van Entree Federatie richten we ons op het Web browser SSO profiel. Hierin wil een gebruiker via zijn browser de afgeschermde website van de Service Provider bezoeken. Om te bepalen of de gebruiker toegang krijgt tot de website wil de Service Provider de identiteit van de gebruiker vaststellen. De Service Provider vraagt hiervoor de Identity Provider om een verklaring (assertion) over de identiteit van de gebruiker af te leggen. Op basis van het antwoord van de Identity Provider bepaalt de Service Provider of de gebruiker toegang krijgt.