KNF:SSOnotification

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen

Entree Federatie-symbol.png Entree Federatie: SSOnotification

Nl.gif Nederlands En.gif English
Warn.gif Met ingang van 1 juli 2019 maakt Entree Federatie gebruik van een nieuw endpoint voor de SSO notificatie: https://ssonot.aselect.entree.kennisnet.nl/openaselect/profiles/entree

Per 1 september 2020 gaan we het oude endpoint uitzetten. Daarom het verzoek om het nieuwe endpoint zo spoedig mogelijk in gebruik te nemen.

Ga voor het aanpassen van het endpoint naar de gekozen implementatie en pas de URL aan in de betreffende code. Het nieuwe endpoint is opgenomen in de beschrijvingen van de verschillende Implementatie mogelijkheden.

Wat is een SSO notificatie?

Met een SSO notificatie (ook wel vooraanmelding genoemd) kan een Identity Provider ervoor zorgen dat zijn gebruikers het WAYF (Where Are You From) scherm van Entree Federatie automatisch overslaan. Dit is het scherm waar de gebruiker zijn school selecteert.
Where Are You From (WAYF) scherm

Dankzij de SSO notificatie hoeft de gebruiker minder handelingen uit te voeren tijdens het inlogproces en wordt het gebruiksgemak vergroot.

Hoe werkt een SSO notificatie?

Nadat een gebruiker is ingelogd bij zijn Identity Provider (bijvoorbeeld een ELO of via Windows authenticatie), verstuurt de Identity Provider een SSO notificatie verzoek naar Entree Federatie. Deze plaats vervolgens een cookie in de browser van de gebruiker met daarin de versleutelde authenticatie URL van de Identity Provider. Op het moment dat een gebruiker via Entree Federatie wil inloggen bij een aangesloten dienstleverancier zal Entree Federatie het SSO notificatie cookie uitlezen en de gebruiker direct doorsturen naar de authenticatie URL van zijn Identity Provider, waarmee het WAYF scherm dus is overgeslagen.

Hoe SSO notificatie werkt binnen het authenticatie proces is te zien in deze presentatie.

Zelf SSO notificatie uitproberen

Met behulp van onze referentiediensten is het mogelijk om zelf het verschil in het inlogproces te ervaren met en zonder SSO notificatie.

Inloggen zonder SSO notificatie

  1. De gebruiker logt in op zijn ELO
  2. De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier
    • Klik 'Dienstaanbieder (SAML) bezoeken'
  3. Het WAYF scherm wordt nu getoond, omdat bij Entree Federatie niet bekend is van welke Identity Provider de gebruiker komt
    • Zoek en selecteer 'Referentie Omgeving'
    • Klik op 'Verder'
  4. De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie
    • Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving van Entree Federatie is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.
    • Klik op 'Direct verder naar dienstaanbieder'
  5. De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.

Inloggen met SSO notificatie

Wanneer je al bent ingelogd via Entree Federatie sluit dan nu eerst de browser en open deze opnieuw.

  1. De gebruiker logt in op zijn ELO
    • Ga naar de Referentie/demo omgeving van Entree Federatie
    • Klik op "SSO Notificatie cookie instellen", er wordt nu een SSO notificatie cookie geplaatst met het versleutelde adres van de Referentie omgeving.
      In de praktijk zal het plaatsen van het cookie automatisch gebeuren.
  2. De gebruiker klikt op een link naar lesmateriaal of content van een aangesloten dienstleverancier
    • Klik 'Dienstaanbieder (SAML) bezoeken'
      Het WAYF (Where Are You From) scherm wordt niet getoond, omdat de Identity Provider kan worden uitgelezen uit het SSO notificatie cookie.
  3. De gebruikersgegevens (attributen) worden bij de Identity Provider opgevraagd door Entree Federatie
    • Normaal gesproken zal deze stap onder water plaatsvinden, bij de Referentie/demo omgeving is het echter mogelijk om de attributen nog aan te passen voor test doeleinden.
    • Klik op 'Direct verder naar dienstaanbieder'
  4. De attributen worden naar de dienstleverancier doorgestuurd. De gebruiker is ingelogd bij de Referentie Service Provider en de attributen van de gebruiker worden getoond.

Implementatie

De implementatie van een SSO notificatie kan op de volgende drie manieren:


Vanuit Kennisnet adviseren wij het gebruik van de implementatie door middel van een AJAX call. De andere twee methoden hebben namelijk de volgende nadelen:

  • Browsers worden steeds strikter in de omgang met third-party cookies die geplaatst worden via een iframe.
  • De redirect methode heeft als nadeel dat in het geval de Entree Federatie applicatie geen antwoord geeft, door bijvoorbeeld een storing of onderhoud, gebruikers niet meer in staat zijn om in te loggen in de ELO of het schoolportaal.
Overgenomen van "https://developers.wiki.kennisnet.nl/index.php?title=KNF:SSOnotification&oldid=10537"