Koppelprofiel SAML IDP
Inhoud
Algemeen
De SAML koppeling kan voor verschillende leveranciers van authenticatie gebruikt worden:
- Logius voor de authenticatie van burgers via DigiD
- Gemnet voor de authenticatie van bedrijven via eHerkenning
- AD FS voor de authenticatie van medewerkers via AD FS
- Mintlab spoofmode
Let op: Dit koppelprofiel vereist dat het koppelprofiel SAML Service Provider aanwezig en geconfigureerd is.
DigiD
Een burger kan via DigiD inloggen op het zaaksysteem om een zaak aan te vragen via het Webformulier en/of om zijn zaken en gegevens in te zien op de Persoonlijke internetpagina.
De burger wordt bij het inloggen omgeleid naar de inlogpagina van digid en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het BSN-nummer. Wanneer deze burger als contact in het zaaksysteem aanwezig is zal het systeem de gegevens van de burger weergeven. Wanneer deze burger nog niet als contact in het zaaksysteem aanwezig is verplicht het systeem de burger om deze gegevens zelf in te vullen alvorens de PIP te tonen.
Instellingen
Titel | Omschrijving |
---|---|
Betrouwbaarheidsniveau | Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS). |
SSO Binding | Selecteer hier altijd 'HTTP Redirect'. |
SAML Implementatie | Selecteer hier altijd 'Logius'. |
SAML Metadata URL | Stel voor productieomgevingen https://was.digid.nl/saml/idp/metadata in. Stel voor acceptatieomgevingen https://was-preprod1.digid.nl/saml/idp/metadata in. |
Entity ID | Dit veld moet leeg blijven. |
CA Certificaat van de IdP | |
Gebruik op burgerloginpagina | Toont inlogknop op /pip en /form |
Gebruik op medewerkerloginpagina | |
Gebruik op bedrijfloginpagina | |
Stuur medewerkers direct naar de SAML loginpagina bij inloggen | |
Log SAML Response XML | Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht |
eHerkenning
Een bedrijf kan via eHerkenning inloggen op het zaaksysteem om een zaak aan te vragen via het Webformulier en/of om haar zaken en gegevens in te zien op de Persoonlijke internetpagina.
Het bedrijf wordt bij het inloggen omgeleid naar de inlogpagina van eHerkenning en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het KVK-nummer en indien aanwezig het vestigingsnummer.
Afhankelijk van de inloglocatie (/form of /pip), de aanwezigheid van een vestigingsnummer en of het bedrijf reeds bekend is als contact binnen het zaaksysteem zal het volgende gebeuren:
Vestigingsnummer aanwezig | Vestigingsnummer niet aanwezig | |||
---|---|---|---|---|
Bekend | Onbekend | Bekend | Onbekend | |
Webformulier | Contactgegevens gebruikt | Contactgegevens zelf invullen | Keuze uit vestiging | Contactgegevens zelf invullen |
Persoonlijke internetpagina | Contactgegevens gebruikt | Automatische uitlog | Keuze uit vestiging | Automatische uitlog |
Instellingen
Titel | Omschrijving |
---|---|
Betrouwbaarheidsniveau | Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS). |
SSO Binding | Selecteer hier altijd 'HTTP Redirect'. |
SAML Implementatie | Selecteer hier altijd 'KPN Lokale Overheid' (gemnet). |
SAML Metadata URL | Stel voor productieomgevingen https://hm.gemnet.nl/metadata/ehhm15gemnet.xml in. Stel voor acceptatieomgevingen https://hmacc.gemnet.nl/metadata/ehhm15gemnetacc-v17.xml in. |
Entity ID | Vul hier de volgende waarde in: urn:nl:eherkenning:DV:<oin>:entities:<entity>
Vervang hierbij <oin> en <entity> door de OIN en bijbehorende entiteitsnummer van de organisatie. |
CA Certificaat van de IdP | |
Gebruik op burgerloginpagina | |
Gebruik op medewerkerloginpagina | |
Gebruik op bedrijfloginpagina | Toont inlogknop op /pip en /form |
Stuur medewerkers direct naar de SAML loginpagina bij inloggen | |
Log SAML Response XML | Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht |
AD FS
Medewerkers kunnen zich authenticeren bij een remote inlog op de Active Directory van de organisatie.
Instellingen
Titel | Omschrijving |
---|---|
Betrouwbaarheidsniveau | |
SSO Binding | Selecteer hier altijd 'HTTP Redirect' |
SAML Implementatie | Selecteer hier altijd 'Microsoft AD FS' |
SAML Metadata URL | Stel voor productieomgevingen ### in. Stel voor acceptatieomgevingen https://win1.test-ad.zaaksysteem.nl/FederationMetadata/2007-06/FederationMetadata.xml in. |
Entity ID | |
CA Certificaat van de IdP | |
Gebruik op burgerloginpagina | |
Gebruik op medewerkerloginpagina | Toont inlogknop op /auth/login |
Gebruik op bedrijfloginpagina | |
Stuur medewerkers direct naar de SAML loginpagina bij inloggen | Redirect medewerkers automatisch naar de AD FS loginpagina |
Log SAML Response XML | Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht |
Nieuwe gebruiker
Wanneer een medewerker voor het eerst op het zaaksysteem inlogt zal deze gebruiker aangemaakt en geaccepteerd moeten worden. Dit gaat alsvolgt:
- De medewerker logt in
- De medewerker krijgt de introductietekst te zien en moet een afdeling kiezen
- De gebruiker wordt aangemaakt wordt in de Inbox op de medewerkerpagina geplaatst
- De medewerker krijgt de bedanktekst te zien
- De zaaksysteembeheerder accepteert de nieuwe gebruiker vanuit de Inbox op de medewerkerpagina
- De gebruiker wordt in de (voor)geselecteerde afdeling geplaatst
- De medewerker ontvangt een email
- De medewerker kan aan de slag
Mintlab spoofmode
De spoofmodus kan ingezet worden om een DigiD- of eHerkenninginlog te spoofen. Dit vereist momenteel de volledige configuratie van het koppelprofiel, met uitzondering van de instelling 'SAML implementatie' die op 'Mintlab spoofmode' ingesteld moet worden.
Wanneer het koppelprofiel correct is ingesteld kan via /form en /pip ingelogd worden met de spoofmodus. Voor de DigiD-spoof moet een BSN van 8-9 cijfers opgegeven worden. Voor de eHerkenning-spoof moet een KVK-nummer van 8 cijfers opgegeven worden, met eventueel een vestigingsnummer van 1-12 cijfers.