Koppelprofiel Active directory SAML: verschil tussen versies
(→Inrichting overheidsorganisatie: vv) |
(v) |
||
(Een tussenliggende versie door dezelfde gebruiker niet weergegeven) | |||
Regel 1: | Regel 1: | ||
__TOC__ | __TOC__ | ||
− | + | == Inleiding == | |
Het zaaksysteem ondersteunt het authenticeren op basis van SAML. SAML is open standaard voor het authenticeren van gebruikers op basis van berichtenverkeer. Een voorbeeld hiervan is het inloggen met DigiD. Dit is een koppeling op basis van SAML. Een burger vraagt een eFormulier aan bij het zaaksysteem, maar is nog niet ingelogd. De burger wordt vervolgens doorverwezen naar DigiD, en na een succesvolle inlog ontvangt het zaaksysteem het bericht dat de burger is ingelogd en kan hij zijn aanvraag versturen. Dezelfde techniek kan ook worden gebruikt voor het inloggen van medewerkers. | Het zaaksysteem ondersteunt het authenticeren op basis van SAML. SAML is open standaard voor het authenticeren van gebruikers op basis van berichtenverkeer. Een voorbeeld hiervan is het inloggen met DigiD. Dit is een koppeling op basis van SAML. Een burger vraagt een eFormulier aan bij het zaaksysteem, maar is nog niet ingelogd. De burger wordt vervolgens doorverwezen naar DigiD, en na een succesvolle inlog ontvangt het zaaksysteem het bericht dat de burger is ingelogd en kan hij zijn aanvraag versturen. Dezelfde techniek kan ook worden gebruikt voor het inloggen van medewerkers. | ||
− | + | == Inrichting zaaksysteem == | |
Het inrichten van de koppeling op basis van SAML gaat via een SAML koppelprofiel. Hiervoor zijn ten minste twee koppelprofielen nodig. Het eerste koppelprofiel is de inrichting van het zaaksysteem als Service Provider en het tweede koppelprofiel is voor de SAML koppeling met de Active Directory. | Het inrichten van de koppeling op basis van SAML gaat via een SAML koppelprofiel. Hiervoor zijn ten minste twee koppelprofielen nodig. Het eerste koppelprofiel is de inrichting van het zaaksysteem als Service Provider en het tweede koppelprofiel is voor de SAML koppeling met de Active Directory. | ||
− | + | == Inrichting overheidsorganisatie == | |
De organisatie die gebruik wil maken van dit koppelvlak dient een tweetal zaken in te richten: | De organisatie die gebruik wil maken van dit koppelvlak dient een tweetal zaken in te richten: | ||
* Identity Provider | * Identity Provider | ||
* Zaaksysteem als Service Provider | * Zaaksysteem als Service Provider | ||
− | + | === Identity Provider === | |
Veel organisaties maken gebruik van Microsoft software voor het beheren van een Directory Services. Microsoft biedt ADFS (Active Directory Federation Services) aan als standaard software binnen Windows Server. Met behulp van deze software kan een Identity Provider worden ingericht. Een Identity Provider is een entiteit die de identiteit van gebruikers beheerd. Een systeem dat de gegevens van deze gebruikers wil gebruiken, bevraagt dus een Identity Provider. Voor deze koppeling betekent het dat zaaksysteem een vraagbericht stuurt naar de Identity Provider met de vraag of er een geautoriseerde gebruiker mag inloggen. De gebruiker krijgt het inlogscherm van de Identity Provider (de organisatie waar hij werkt) en na een succesvolle inlog verstuurt de Identity Provider een bericht naar het zaaksysteem met de identificatie of het inloggen gelukt is. De Identity Provider wordt zelf door de organisatie beheerd en kan gebruikt worden voor meerdere koppelvlakken die gebruik maken van SAML. | Veel organisaties maken gebruik van Microsoft software voor het beheren van een Directory Services. Microsoft biedt ADFS (Active Directory Federation Services) aan als standaard software binnen Windows Server. Met behulp van deze software kan een Identity Provider worden ingericht. Een Identity Provider is een entiteit die de identiteit van gebruikers beheerd. Een systeem dat de gegevens van deze gebruikers wil gebruiken, bevraagt dus een Identity Provider. Voor deze koppeling betekent het dat zaaksysteem een vraagbericht stuurt naar de Identity Provider met de vraag of er een geautoriseerde gebruiker mag inloggen. De gebruiker krijgt het inlogscherm van de Identity Provider (de organisatie waar hij werkt) en na een succesvolle inlog verstuurt de Identity Provider een bericht naar het zaaksysteem met de identificatie of het inloggen gelukt is. De Identity Provider wordt zelf door de organisatie beheerd en kan gebruikt worden voor meerdere koppelvlakken die gebruik maken van SAML. | ||
− | + | [http://msdn.microsoft.com/en-us/magazine/ee335705.aspx Lees meer] | |
+ | |||
+ | |||
+ | === Service Provider === | ||
Een Service Provider is een bepaalde dienst die gebruik wil maken van een identiteit. Het zaaksysteem is een voorbeeld van een Service Provider. Een Service Provider moet geautoriseerd zijn om informatie uit te wisselen met de Identity Provider. Dit gebeurt doorgaans met het inrichten van SSL-certificaten. | Een Service Provider is een bepaalde dienst die gebruik wil maken van een identiteit. Het zaaksysteem is een voorbeeld van een Service Provider. Een Service Provider moet geautoriseerd zijn om informatie uit te wisselen met de Identity Provider. Dit gebeurt doorgaans met het inrichten van SSL-certificaten. | ||
− | == | + | == Architectuuroverzicht == |
− |
Huidige versie van 8 okt 2014 om 09:24
Inhoud
Inleiding
Het zaaksysteem ondersteunt het authenticeren op basis van SAML. SAML is open standaard voor het authenticeren van gebruikers op basis van berichtenverkeer. Een voorbeeld hiervan is het inloggen met DigiD. Dit is een koppeling op basis van SAML. Een burger vraagt een eFormulier aan bij het zaaksysteem, maar is nog niet ingelogd. De burger wordt vervolgens doorverwezen naar DigiD, en na een succesvolle inlog ontvangt het zaaksysteem het bericht dat de burger is ingelogd en kan hij zijn aanvraag versturen. Dezelfde techniek kan ook worden gebruikt voor het inloggen van medewerkers.
Inrichting zaaksysteem
Het inrichten van de koppeling op basis van SAML gaat via een SAML koppelprofiel. Hiervoor zijn ten minste twee koppelprofielen nodig. Het eerste koppelprofiel is de inrichting van het zaaksysteem als Service Provider en het tweede koppelprofiel is voor de SAML koppeling met de Active Directory.
Inrichting overheidsorganisatie
De organisatie die gebruik wil maken van dit koppelvlak dient een tweetal zaken in te richten:
- Identity Provider
- Zaaksysteem als Service Provider
Identity Provider
Veel organisaties maken gebruik van Microsoft software voor het beheren van een Directory Services. Microsoft biedt ADFS (Active Directory Federation Services) aan als standaard software binnen Windows Server. Met behulp van deze software kan een Identity Provider worden ingericht. Een Identity Provider is een entiteit die de identiteit van gebruikers beheerd. Een systeem dat de gegevens van deze gebruikers wil gebruiken, bevraagt dus een Identity Provider. Voor deze koppeling betekent het dat zaaksysteem een vraagbericht stuurt naar de Identity Provider met de vraag of er een geautoriseerde gebruiker mag inloggen. De gebruiker krijgt het inlogscherm van de Identity Provider (de organisatie waar hij werkt) en na een succesvolle inlog verstuurt de Identity Provider een bericht naar het zaaksysteem met de identificatie of het inloggen gelukt is. De Identity Provider wordt zelf door de organisatie beheerd en kan gebruikt worden voor meerdere koppelvlakken die gebruik maken van SAML.
Service Provider
Een Service Provider is een bepaalde dienst die gebruik wil maken van een identiteit. Het zaaksysteem is een voorbeeld van een Service Provider. Een Service Provider moet geautoriseerd zijn om informatie uit te wisselen met de Identity Provider. Dit gebeurt doorgaans met het inrichten van SSL-certificaten.