KNF:SSOnotification: verschil tussen versies
Naar navigatie springen
Naar zoeken springen
| (67 tussenliggende versies door 3 gebruikers niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
{{Talen}} |
{{Talen}} |
||
| + | |||
| + | <!-- |
||
| + | {{Warn|Met ingang van 1 juli 2019 maakt Entree Federatie gebruik van een nieuw endpoint voor de SSO notificatie: https://ssonot.aselect.entree.kennisnet.nl/openaselect/profiles/entree<br/> |
||
| + | Per 1 september 2020 gaan we het oude endpoint uitzetten. Daarom het verzoek om het nieuwe endpoint zo spoedig mogelijk in gebruik te nemen. |
||
| + | |||
| + | Het nieuwe endpoint is opgenomen in de beschrijvingen van de verschillende [[KNF:SSOnotification#Implementatie|Implementatie]] mogelijkheden voor SSO-notificaties. Ga voor het aanpassen van het endpoint naar de gekozen implementatie en pas de URL aan in de betreffende code van uw implementatie.}} |
||
| + | --> |
||
| + | |||
==Wat is een SSO notificatie?== |
==Wat is een SSO notificatie?== |
||
| − | Met een SSO notificatie (ook wel vooraanmelding genoemd) kan een Identity Provider |
+ | Met een SSO notificatie (ook wel vooraanmelding genoemd) kan een Identity Provider ervoor zorgen dat zijn gebruikers het WAYF ('''W'''here '''A'''re '''Y'''ou '''F'''rom) scherm van Entree Federatie automatisch overslaan. Dit is het scherm waar de gebruiker zijn school selecteert.<br/> |
| − | [[Bestand: |
+ | [[Bestand:Wayf01.PNG|border|400px|Where Are You From (WAYF) scherm]] |
<br/><br/> |
<br/><br/> |
||
| + | Dankzij de SSO notificatie hoeft de gebruiker minder handelingen uit te voeren tijdens het inlogproces en wordt het gebruiksgemak vergroot. |
||
| − | Het gebruiksgemak tijdens het inlogproces wordt vergroot als het WAYF scherm wordt overgeslagen door het gebruik van een SSO notificatie. |
||
==Hoe werkt een SSO notificatie?== |
==Hoe werkt een SSO notificatie?== |
||
| − | Nadat een gebruiker is ingelogd bij zijn Identity Provider (bijvoorbeeld een ELO of via Windows authenticatie), |
+ | Nadat een gebruiker is ingelogd bij zijn Identity Provider (bijvoorbeeld een ELO of via Windows authenticatie), verstuurt de Identity Provider een SSO notificatie verzoek naar Entree Federatie. Deze plaats vervolgens een cookie in de browser van de gebruiker met daarin de versleutelde authenticatie URL van de Identity Provider. Op het moment dat een gebruiker via Entree Federatie wil inloggen bij een aangesloten dienstleverancier zal Entree Federatie het SSO notificatie cookie uitlezen en de gebruiker direct doorsturen naar de authenticatie URL van zijn Identity Provider, waarmee het WAYF scherm dus is overgeslagen. |
| + | Hoe SSO notificatie werkt binnen het authenticatie proces is te zien in [https://prezi.com/eq2xjhid1fxf/entree-federatie-authenticatie/ deze presentatie]. |
||
| − | Op het moment dat een gebruiker via Entree Federatie wil inloggen bij een aangesloten dienstleverancier zal Entree Federatie het SSO notificatie cookie uitlezen en de gebruiker direct doorsturen naar de authenticatie URL van zijn Identity Provider. |
||
== Zelf SSO notificatie uitproberen == |
== Zelf SSO notificatie uitproberen == |
||
Met behulp van onze referentiediensten is het mogelijk om zelf het verschil in het inlogproces te ervaren met en zonder SSO notificatie. |
Met behulp van onze referentiediensten is het mogelijk om zelf het verschil in het inlogproces te ervaren met en zonder SSO notificatie. |
||
===Inloggen zonder SSO notificatie=== |
===Inloggen zonder SSO notificatie=== |
||
| − | #''' |
+ | #'''De gebruiker logt in op zijn ELO''' |
| − | #*Ga naar de [https://referentie.entree.kennisnet.nl/ |
+ | #*Ga naar de [https://referentie.entree.kennisnet.nl/referentie/ Referentie/demo omgeving] van Entree Federatie |
| − | #''' |
+ | #'''De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier''' |
| − | #*Klik ' |
+ | #*Klik ''''Dienstaanbieder (SAML) bezoeken'''' |
| − | #'''Het WAYF |
+ | #'''Het WAYF scherm wordt nu getoond, omdat bij Entree Federatie niet bekend is van welke Identity Provider de gebruiker komt ''' |
| ⚫ | |||
| − | #*Kies 'Inloggen via je school' |
||
| ⚫ | |||
| ⚫ | |||
| + | #'''De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie''' |
||
| − | #*Klik verder |
||
| + | #*Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving van Entree Federatie is het echter mogelijk om de attributen nog aan te passen voor test doeleinden. |
||
| − | #'''Deze stap is uniek voor de ReferentieELO, omdat er dummydata ingevuld kan worden. Normaliter worden onder water de attributen van de ingelogde Leerling/Docent doorgegeven''' |
||
| + | #*Klik op 'Direct verder naar dienstaanbieder' |
||
| − | #*Vul eventueel dummydata in |
||
| + | #'''De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.''' |
||
| ⚫ | |||
| − | #'''Gebruiker is ingelogd, attributen van ingelogde gebruiker worden getoond.''' |
||
| − | |||
| − | == Voorbeeld met SSOnotificatie: == |
||
| − | #'''Leerling/Docent logt in op de ELO/Active directory''' |
||
| − | #*Ga naar de [https://referentie.entree.kennisnet.nl/ReferentieELO/app ReferentieELO] |
||
| − | #*Klik op "SSO Notificatie" (Onderwater of handmatig wordt de SSOnotificatie url aangeroepen) |
||
| − | #'''Leerling/Docent klinkt linkje naar lesmateriaal of content''' |
||
| ⚫ | |||
| − | #'''Deze stap is uniek voor de ReferentieELO, omdat er dummydata ingevuld kan worden. Normaliter worden onder water de attributen van de ingelogde Leerling/Docent doorgegeven''' |
||
| − | #*Vul eventueel dummydata in |
||
| − | #*Klik op 'Naar dienst' |
||
| − | #'''Gebruiker is ingelogd, attributen van ingelogde gebruiker worden getoond.''' |
||
| − | |||
| − | |||
| ⚫ | |||
| − | Hiervoor kan het onderstaande script of webpart voor SharePoint 2007 gebruikt worden. |
||
| − | |||
| − | * Script (voor in een iframe): http://www.kennisnet.nl/fileadmin/contentelementen/kennisnet/Kennisnet_federatie/Plug-ins/EntreeSSONotificatie.txt |
||
| − | * Webpart: http://www.kennisnet.nl/fileadmin/contentelementen/kennisnet/Kennisnet_federatie/Plug-ins/Entree.SSO.1.0.3.wsp |
||
| − | |||
| − | De webpart is voor SharePoint 2007, voor andere versies kan het script gebruikt worden en geplaatst in een hidden webpart. |
||
| − | |||
| − | In dit script moet de Elo Id en de Elo URL aangepast worden. |
||
| − | * Elo Id (Entity Id) : de unieke identifier van de koppeling (kan opgevraagd worden bij Kennisnet). |
||
| − | * Elo URL: https://*.domeinnaam.nl (dit moet de locatie/domein zijn waar het script staat). |
||
| − | |||
| − | |||
| + | === Inloggen met SSO notificatie === |
||
| − | == Implementatie door middel van een redirect: == |
||
| + | Wanneer je al bent ingelogd via Entree Federatie sluit dan nu eerst de browser en open deze opnieuw. |
||
| − | Hiervoor hoeft men slechts 1 url aan te roepen. |
||
| + | #'''De gebruiker logt in op zijn ELO''' |
||
| − | <br> |
||
| − | + | #*Ga naar de [https://referentie.entree.kennisnet.nl/referentie/ Referentie/demo omgeving] van Entree Federatie |
|
| + | #*Klik op "SSO Notificatie cookie instellen", er wordt nu een SSO notificatie cookie geplaatst met het versleutelde adres van de Referentie omgeving. <br/> In de praktijk zal het plaatsen van het cookie automatisch gebeuren. |
||
| + | #'''De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier''' |
||
| ⚫ | |||
| + | #'''De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie''' |
||
| + | #*Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving is het echter mogelijk om de attributen nog aan te passen voor test doeleinden. |
||
| + | #*Klik op 'Direct verder naar dienstaanbieder' |
||
| + | #'''De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.''' |
||
| ⚫ | |||
| − | vb: |
||
| + | De implementatie van een SSO notificatie kan op de volgende drie manieren: |
||
| − | https://aselect.entree.kennisnet.nl/openaselect/profiles/entree?id=http://authenticate.example.org&url=http%3A%2F%2Fwww.example.org&redirectUri=http%3A%2F%2Fwww.example.org |
||
| + | *[[KNF:SSO_notificatie_middels_een_redirect|Meer informatie over een implementatie middels een '''redirect''' - voorkeur]] |
||
| + | *[[KNF:SSO_notificatie_middels_JavaScript|Meer informatie over een implementatie middels een '''AJAX call''']] |
||
| + | *[[KNF:SSO_notificatie_middels_een_iframe|Meer informatie over een implementatie middels een '''iframe''']] |
||
| + | ===Waarom heeft de redirect implementatie de voorkeur?=== |
||
| + | Wanneer vanuit een Identity Provider via een AJAX call of een iframe Entree Federatie een SSO notificatie cookie laat plaatsen dan is dit een third party cookie. Third party cookies (cookies van derden) worden geplaatst door andere domeinen (in dit geval Entree Federatie) dan het domein van de website die je op dat moment bezoekt (de Identity Provider). |
||
| + | Sommige organisaties gebruiken third party cookies voor het volgen van gebruikers wanneer deze verschillende websites bezoekt. Aangezien dit type third party cookies (ook wel tracking cookies genoemd) een inbreuk kunnen maken op de privacy van gebruikers wordt het gebruik hiervan steeds meer ontmoedigd door browsers en vaak ook geblokkeerd. |
||
| + | Hierdoor kan het voorkomen dat ook het SSO notificatie cookie niet geplaatst wordt. De gebruiker kan in zo'n geval nog steeds inloggen via Entree Federatie, maar zal wel zelf zijn of haar school moeten selecteren op het WAYF scherm van Entree Federatie. Aangezien browsers hebben aangegeven om op termijn third party cookies helemaal te blokkeren kan het plaatsen van een SSO notificatie het beste gebeuren door middel van een redirect. |
||
| − | '''Daarnaast moet de Elo URL worden geregistreerd bij Kennisnet, zodat deze kan worden toegevoegd aan de white list, geef deze daarom door aan Kennisnet!!''' |
||
| − | [[Categorie:Kennisnet Federatie]] |
||
[[Categorie:Entree Federatie]] |
[[Categorie:Entree Federatie]] |
||
Versie van 22 mei 2021 20:51
 Nederlands
|
 English
|
Wat is een SSO notificatie?
Met een SSO notificatie (ook wel vooraanmelding genoemd) kan een Identity Provider ervoor zorgen dat zijn gebruikers het WAYF (Where Are You From) scherm van Entree Federatie automatisch overslaan. Dit is het scherm waar de gebruiker zijn school selecteert.
Dankzij de SSO notificatie hoeft de gebruiker minder handelingen uit te voeren tijdens het inlogproces en wordt het gebruiksgemak vergroot.
Hoe werkt een SSO notificatie?
Nadat een gebruiker is ingelogd bij zijn Identity Provider (bijvoorbeeld een ELO of via Windows authenticatie), verstuurt de Identity Provider een SSO notificatie verzoek naar Entree Federatie. Deze plaats vervolgens een cookie in de browser van de gebruiker met daarin de versleutelde authenticatie URL van de Identity Provider. Op het moment dat een gebruiker via Entree Federatie wil inloggen bij een aangesloten dienstleverancier zal Entree Federatie het SSO notificatie cookie uitlezen en de gebruiker direct doorsturen naar de authenticatie URL van zijn Identity Provider, waarmee het WAYF scherm dus is overgeslagen.
Hoe SSO notificatie werkt binnen het authenticatie proces is te zien in deze presentatie.
Zelf SSO notificatie uitproberen
Met behulp van onze referentiediensten is het mogelijk om zelf het verschil in het inlogproces te ervaren met en zonder SSO notificatie.
Inloggen zonder SSO notificatie
- De gebruiker logt in op zijn ELO
- Ga naar de Referentie/demo omgeving van Entree Federatie
- De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier
- Klik 'Dienstaanbieder (SAML) bezoeken'
- Het WAYF scherm wordt nu getoond, omdat bij Entree Federatie niet bekend is van welke Identity Provider de gebruiker komt
- Zoek en selecteer 'Referentie Omgeving'
- Klik op 'Verder'
- De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie
- Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving van Entree Federatie is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.
- Klik op 'Direct verder naar dienstaanbieder'
- De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.
Inloggen met SSO notificatie
Wanneer je al bent ingelogd via Entree Federatie sluit dan nu eerst de browser en open deze opnieuw.
- De gebruiker logt in op zijn ELO
- Ga naar de Referentie/demo omgeving van Entree Federatie
- Klik op "SSO Notificatie cookie instellen", er wordt nu een SSO notificatie cookie geplaatst met het versleutelde adres van de Referentie omgeving.
In de praktijk zal het plaatsen van het cookie automatisch gebeuren.
- De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier
- Klik 'Dienstaanbieder (SAML) bezoeken'
Het WAYF (Where Are You From) scherm wordt niet getoond, omdat de Identity Provider kan worden uitgelezen uit het SSO notificatie cookie.
- Klik 'Dienstaanbieder (SAML) bezoeken'
- De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie
- Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.
- Klik op 'Direct verder naar dienstaanbieder'
- De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.
Implementatie
De implementatie van een SSO notificatie kan op de volgende drie manieren:
- Meer informatie over een implementatie middels een redirect - voorkeur
- Meer informatie over een implementatie middels een AJAX call
- Meer informatie over een implementatie middels een iframe
Waarom heeft de redirect implementatie de voorkeur?
Wanneer vanuit een Identity Provider via een AJAX call of een iframe Entree Federatie een SSO notificatie cookie laat plaatsen dan is dit een third party cookie. Third party cookies (cookies van derden) worden geplaatst door andere domeinen (in dit geval Entree Federatie) dan het domein van de website die je op dat moment bezoekt (de Identity Provider). Sommige organisaties gebruiken third party cookies voor het volgen van gebruikers wanneer deze verschillende websites bezoekt. Aangezien dit type third party cookies (ook wel tracking cookies genoemd) een inbreuk kunnen maken op de privacy van gebruikers wordt het gebruik hiervan steeds meer ontmoedigd door browsers en vaak ook geblokkeerd.
Hierdoor kan het voorkomen dat ook het SSO notificatie cookie niet geplaatst wordt. De gebruiker kan in zo'n geval nog steeds inloggen via Entree Federatie, maar zal wel zelf zijn of haar school moeten selecteren op het WAYF scherm van Entree Federatie. Aangezien browsers hebben aangegeven om op termijn third party cookies helemaal te blokkeren kan het plaatsen van een SSO notificatie het beste gebeuren door middel van een redirect.