Koppelprofiel SAML IDP: verschil tussen versies

Uit ZaaksysteemWiki
Ga naar: navigatie, zoeken
(DigiD)
(Instellingen)
 
(16 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 1: Regel 1:
 
__TOC__
 
__TOC__
=== Algemeen ===
+
= Algemeen =
 
De SAML koppeling kan voor verschillende leveranciers van authenticatie gebruikt worden:
 
De SAML koppeling kan voor verschillende leveranciers van authenticatie gebruikt worden:
 
<ul>
 
<ul>
Regel 9: Regel 9:
 
</ul>
 
</ul>
  
Let op: Dit koppelprofiel vereist dat het koppelprofiel [http://wiki.zaaksysteem.nl/Koppelprofiel_SAML_SP SAML Service Provider] aanwezig en geconfigureerd is.
+
Let op: Dit koppelprofiel vereist dat het koppelprofiel [[Koppelprofiel_SAML_SP|SAML Service Provider]] aanwezig en geconfigureerd is.
 
 
=== Instellingen ===
 
Elke leverancier heeft zijn eigen specifieke instellingen. Raadpleeg deze voor meer informatie.
 
  
 
= DigiD =
 
= DigiD =
Een burger kan via DigiD inloggen op het zaaksysteem om een zaak aan te vragen via het [http://wiki.zaaksysteem.nl/Webformulier Webformulier] en/of om zijn zaken en gegevens in te zien op de [http://wiki.zaaksysteem.nl/Pip Persoonlijke internetpagina].
+
Een burger kan via DigiD inloggen op het zaaksysteem om een zaak aan te vragen via het [[Webformulier|Webformulier]] en/of om zijn zaken en gegevens in te zien op de [[Pip|Persoonlijke internetpagina]].
  
 
De burger wordt bij het inloggen omgeleid naar de inlogpagina van digid en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het BSN-nummer. Wanneer deze burger als contact in het zaaksysteem aanwezig is zal het systeem de gegevens van de burger weergeven. Wanneer deze burger nog niet als contact in het zaaksysteem aanwezig is verplicht het systeem de burger om deze gegevens zelf in te vullen alvorens de PIP te tonen.
 
De burger wordt bij het inloggen omgeleid naar de inlogpagina van digid en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het BSN-nummer. Wanneer deze burger als contact in het zaaksysteem aanwezig is zal het systeem de gegevens van de burger weergeven. Wanneer deze burger nog niet als contact in het zaaksysteem aanwezig is verplicht het systeem de burger om deze gegevens zelf in te vullen alvorens de PIP te tonen.
Regel 26: Regel 23:
 
|-
 
|-
 
|Betrouwbaarheidsniveau
 
|Betrouwbaarheidsniveau
|Select the security level appropriate for this integration. This setting depends on whatever deal was cut with the provider. Level 3 selects a two-factor authentication level, where the user must login with user/password credentials as well as a transaction code provided by a second path (usually SMS).
+
|Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS).
 
|-
 
|-
 
|SSO Binding
 
|SSO Binding
|This option allows the SSO binding method to be changed. Always set it to HTTP Redirect.
+
|Selecteer hier altijd 'HTTP Redirect'.
 
|-
 
|-
 
|SAML Implementatie
 
|SAML Implementatie
|Set this to the name of the provider of the IdP we're talking to. Set it to Logius, since this manpage describes SAML for them.
+
|Selecteer hier altijd 'Logius'.
 
|-
 
|-
 
|SAML Metadata URL
 
|SAML Metadata URL
|Set this to one of the links found "Metadata". For the forseeable future this value will always be Pre-prod Koppelvlak.
+
|Stel voor productieomgevingen https://was.digid.nl/saml/idp/metadata in. Stel voor acceptatieomgevingen https://was-preprod1.digid.nl/saml/idp/metadata in.
 
|-
 
|-
 
|Entity ID
 
|Entity ID
|In the case for Logius, this field should remain empty, the Entity ID is automatically derived from other settings in this interface.
+
|Dit veld moet leeg blijven.
 
|-
 
|-
 
|CA Certificaat van de IdP
 
|CA Certificaat van de IdP
|This item expects a CA Certificate that was used to sign the exchanges and metadata provided by the provider. Plain-old ASCII (Base64) armored PEM format expected.
+
|
 
 
At the time of writing, the certificate is available for download here
 
 
 
The Subject for this certificate is C=NL, O=QuoVadis Trustlink BV, OU=Issuing Certification Authority, CN=QuoVadis CSP - PKI Overheid CA - G2 (Serial number 20001554), issued by C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Organisatie CA - G2.
 
 
 
Let's hope we need not change this contant before the expiration date of the certificate on 23rd of March, 2020.
 
 
|-
 
|-
 
|Gebruik op burgerloginpagina
 
|Gebruik op burgerloginpagina
Regel 61: Regel 52:
 
|
 
|
 
|-
 
|-
|Log SAML Response XML
+
|Log SAML XML
|Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht
+
|Hiermee worden alle XML berichten welke opgestuurd/ontvangen worden van de IDP (Logius, eHerkenning, ADFS, etc) bijgeschreven in het transactielog.
 +
 
 +
Let op: Zet deze optie alleen aan wanneer er problemen zijn met de koppeling om te voorkomen dat het transactieoverzicht vervuild wordt met logregels van elke geslaagde inlog.
 
|}
 
|}
  
 
= eHerkenning =
 
= eHerkenning =
Een bedrijf kan via eHerkenning inloggen op het zaaksysteem om een zaak aan te vragen via het [http://wiki.zaaksysteem.nl/Webformulier Webformulier] en/of om haar zaken en gegevens in te zien op de [http://wiki.zaaksysteem.nl/Pip Persoonlijke internetpagina].
+
Een bedrijf kan via eHerkenning inloggen op het zaaksysteem om een zaak aan te vragen via het [[Webformulier|Webformulier]] en/of om haar zaken en gegevens in te zien op de [[Pip|Persoonlijke internetpagina]].
  
 
Het bedrijf wordt bij het inloggen omgeleid naar de inlogpagina van eHerkenning en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het KVK-nummer en indien aanwezig het vestigingsnummer.
 
Het bedrijf wordt bij het inloggen omgeleid naar de inlogpagina van eHerkenning en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het KVK-nummer en indien aanwezig het vestigingsnummer.
Regel 97: Regel 90:
 
|}
 
|}
  
===== Instellingen =====
+
=== Instellingen ===
 
{| class="wikitable"
 
{| class="wikitable"
 
|-
 
|-
Regel 104: Regel 97:
 
|-
 
|-
 
|Betrouwbaarheidsniveau
 
|Betrouwbaarheidsniveau
|Select the security level appropriate for this integration. This setting depends on whatever deal was cut with the provider. Level 3 selects a two-factor authentication level, where the user must login with user/password credentials as well as a transaction code provided by a second path (usually SMS).
+
|Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS).
 
|-
 
|-
 
|SSO Binding
 
|SSO Binding
|This option allows the SSO binding method to be changed. Always set it to HTTP Redirect.
+
|Selecteer hier altijd 'HTTP Redirect'.
 
|-
 
|-
 
|SAML Implementatie
 
|SAML Implementatie
|Set this to the name of the provider of the IdP we're talking to, Gemnet renamed itself to KPN Lokale Overheid some time ago, so use that in case of the intent to establish an eHerkenning integration.
+
|Selecteer hier altijd 'KPN Lokale Overheid' (gemnet).
 
|-
 
|-
 
|SAML Metadata URL
 
|SAML Metadata URL
|Set this to one of the links found "Metadata". For the forseeable future this value will always be HM Koppelvlak 1.5. Gemnet has been known to change this URL ad-hoc without informing us, so in case of a malfunctioning integration, check that the configured URL actually has metadata content (if it's XML, it usually means we're okay).
+
|Stel voor productieomgevingen https://hm.gemnet.nl/metadata/ehhm15gemnet.xml in. Stel voor acceptatieomgevingen https://hmacc.gemnet.nl/metadata/ehhm15gemnetacc-v17.xml in.
 
|-
 
|-
 
|Entity ID
 
|Entity ID
|This field must be filled with the OIN that was supplied during the registration phase. It can be found on the intakeform for this customer.
+
|Vul hier de volgende waarde in: urn:nl:eherkenning:DV:<oin>:entities:<entity>
 +
 
 +
Vervang hierbij <oin> en <entity> door de OIN en bijbehorende entiteitsnummer van de organisatie.
 
|-
 
|-
 
|CA Certificaat van de IdP
 
|CA Certificaat van de IdP
|This item expects a CA Certificate that was used to sign the exchanges and metadata provided by the provider. Plain-old ASCII (Base64) armored PEM format expected.
+
|
 
 
The subject for the current certificate is C=NL, ST=Zuid-Holland, L=Den Haag, O=Gemnet BV, OU=SSL, CN=hmacc.gemnet.nl, issued by C=NL, OU=SmartXS, O=KPN, CN=KPN Private Root CA (serial 26:8f:45:78:00:00:00:00:00:5a).
 
 
 
It is not available for download at the time of writing.
 
 
 
Let's hope this certificate remains constant until it's expiration date on the 21st of Febuary, 2016.
 
 
|-
 
|-
 
|Gebruik op burgerloginpagina
 
|Gebruik op burgerloginpagina
|Toont inlogknop op /pip en /form
+
|
 
|-
 
|-
 
|Gebruik op medewerkerloginpagina
 
|Gebruik op medewerkerloginpagina
Regel 134: Regel 123:
 
|-
 
|-
 
|Gebruik op bedrijfloginpagina
 
|Gebruik op bedrijfloginpagina
|
+
|Toont inlogknop op /pip en /form
 
|-
 
|-
 
|Stuur medewerkers direct naar de SAML loginpagina bij inloggen
 
|Stuur medewerkers direct naar de SAML loginpagina bij inloggen
Regel 145: Regel 134:
 
= AD FS =
 
= AD FS =
 
Medewerkers kunnen zich authenticeren bij een remote inlog op de Active Directory van de organisatie.
 
Medewerkers kunnen zich authenticeren bij een remote inlog op de Active Directory van de organisatie.
 +
 +
=== Instellingen ===
 +
{| class="wikitable"
 +
|-
 +
!Titel
 +
!Omschrijving
 +
|-
 +
|Betrouwbaarheidsniveau
 +
|Selecteer het beveiligingsniveau dat is afgestemd met de beheerder van de Active Directory.
 +
|-
 +
|SSO Binding
 +
|Selecteer hier altijd 'HTTP Redirect'
 +
|-
 +
|SAML Implementatie
 +
|Selecteer hier altijd 'Microsoft AD FS'
 +
|-
 +
|SAML Metadata URL
 +
|
 +
|-
 +
|Entity ID
 +
|
 +
|-
 +
|CA Certificaat van de IdP
 +
|
 +
|-
 +
|Gebruik op burgerloginpagina
 +
|
 +
|-
 +
|Gebruik op medewerkerloginpagina
 +
|Toont inlogknop op /auth/login
 +
|-
 +
|Gebruik op bedrijfloginpagina
 +
|
 +
|-
 +
|Stuur medewerkers direct naar de SAML loginpagina bij inloggen
 +
|Redirect medewerkers automatisch naar de AD FS loginpagina
 +
|-
 +
|Log SAML Response XML
 +
|Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht
 +
|}
 +
 
=== Nieuwe gebruiker ===
 
=== Nieuwe gebruiker ===
 
Wanneer een medewerker voor het eerst op het zaaksysteem inlogt zal deze gebruiker aangemaakt en geaccepteerd moeten worden. Dit gaat alsvolgt:
 
Wanneer een medewerker voor het eerst op het zaaksysteem inlogt zal deze gebruiker aangemaakt en geaccepteerd moeten worden. Dit gaat alsvolgt:
 
<ol>
 
<ol>
 
<li>De medewerker logt in</li>
 
<li>De medewerker logt in</li>
<li>De medewerker krijgt de [http://wiki.zaaksysteem.nl/Configuratie#Introductietekst_nieuwe_gebruiker introductietekst] te zien en moet een afdeling kiezen </li>
+
<li>De medewerker krijgt de [[Configuratie#Introductietekst_nieuwe_gebruiker|Introductietekst]] te zien en moet een afdeling kiezen </li>
<li>De gebruiker wordt aangemaakt wordt in de Inbox op de [http://wiki.zaaksysteem.nl/Gebruikers medewerkerpagina] geplaatst</li>
+
<li>De gebruiker wordt aangemaakt wordt in de Inbox op de [[Gebruikers|Medewerkerpagina]] geplaatst</li>
<li>De medewerker krijgt de [http://wiki.zaaksysteem.nl/Configuratie#Bedanktekst_nieuwe_gebruiker bedanktekst] te zien</li>
+
<li>De medewerker krijgt de [[Configuratie#Bedanktekst_nieuwe_gebruiker|Bedanktekst]] te zien</li>
 
<li>De zaaksysteembeheerder accepteert de nieuwe gebruiker vanuit de Inbox op de medewerkerpagina</li>
 
<li>De zaaksysteembeheerder accepteert de nieuwe gebruiker vanuit de Inbox op de medewerkerpagina</li>
 
<li>De gebruiker wordt in de (voor)geselecteerde afdeling geplaatst</li>
 
<li>De gebruiker wordt in de (voor)geselecteerde afdeling geplaatst</li>
<li>De medewerker ontvangt een [http://wiki.zaaksysteem.nl/Configuratie#Gebruikersacceptatie_sjabloon email]</li>
+
<li>De medewerker ontvangt een [[Configuratie#Gebruikersacceptatie_sjabloon|Email]]</li>
 
<li>De medewerker kan aan de slag</li>
 
<li>De medewerker kan aan de slag</li>
 
</ol>
 
</ol>

Huidige versie van 29 jun 2017 om 07:39

Algemeen

De SAML koppeling kan voor verschillende leveranciers van authenticatie gebruikt worden:

  • Logius voor de authenticatie van burgers via DigiD
  • Gemnet voor de authenticatie van bedrijven via eHerkenning
  • AD FS voor de authenticatie van medewerkers via AD FS
  • Mintlab spoofmode

Let op: Dit koppelprofiel vereist dat het koppelprofiel SAML Service Provider aanwezig en geconfigureerd is.

DigiD

Een burger kan via DigiD inloggen op het zaaksysteem om een zaak aan te vragen via het Webformulier en/of om zijn zaken en gegevens in te zien op de Persoonlijke internetpagina.

De burger wordt bij het inloggen omgeleid naar de inlogpagina van digid en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het BSN-nummer. Wanneer deze burger als contact in het zaaksysteem aanwezig is zal het systeem de gegevens van de burger weergeven. Wanneer deze burger nog niet als contact in het zaaksysteem aanwezig is verplicht het systeem de burger om deze gegevens zelf in te vullen alvorens de PIP te tonen.

Instellingen

Titel Omschrijving
Betrouwbaarheidsniveau Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS).
SSO Binding Selecteer hier altijd 'HTTP Redirect'.
SAML Implementatie Selecteer hier altijd 'Logius'.
SAML Metadata URL Stel voor productieomgevingen https://was.digid.nl/saml/idp/metadata in. Stel voor acceptatieomgevingen https://was-preprod1.digid.nl/saml/idp/metadata in.
Entity ID Dit veld moet leeg blijven.
CA Certificaat van de IdP
Gebruik op burgerloginpagina Toont inlogknop op /pip en /form
Gebruik op medewerkerloginpagina
Gebruik op bedrijfloginpagina
Stuur medewerkers direct naar de SAML loginpagina bij inloggen
Log SAML XML Hiermee worden alle XML berichten welke opgestuurd/ontvangen worden van de IDP (Logius, eHerkenning, ADFS, etc) bijgeschreven in het transactielog.

Let op: Zet deze optie alleen aan wanneer er problemen zijn met de koppeling om te voorkomen dat het transactieoverzicht vervuild wordt met logregels van elke geslaagde inlog.

eHerkenning

Een bedrijf kan via eHerkenning inloggen op het zaaksysteem om een zaak aan te vragen via het Webformulier en/of om haar zaken en gegevens in te zien op de Persoonlijke internetpagina.

Het bedrijf wordt bij het inloggen omgeleid naar de inlogpagina van eHerkenning en wordt vervolgens (bij succesvolle inlog) teruggeleid naar het zaaksysteem. Het zaaksysteem ontvangt hierbij enkel het KVK-nummer en indien aanwezig het vestigingsnummer.

Afhankelijk van de inloglocatie (/form of /pip), de aanwezigheid van een vestigingsnummer en of het bedrijf reeds bekend is als contact binnen het zaaksysteem zal het volgende gebeuren:

Vestigingsnummer aanwezig Vestigingsnummer niet aanwezig
Bekend Onbekend Bekend Onbekend
Webformulier Contactgegevens gebruikt Contactgegevens zelf invullen Keuze uit vestiging Contactgegevens zelf invullen
Persoonlijke internetpagina Contactgegevens gebruikt Automatische uitlog Keuze uit vestiging Automatische uitlog

Instellingen

Titel Omschrijving
Betrouwbaarheidsniveau Selecteer het beveiligingsniveau dat is afgestemd met de leverancier. Het derde niveau is een two-factor authenticatie, waarbij de gebruiker moet inloggen met zijn gebruikersnaam en wachtwoord en vervolgens deze moet bevestigen met een tweede code dat geleverd is via een tweede kanaal (meestal SMS).
SSO Binding Selecteer hier altijd 'HTTP Redirect'.
SAML Implementatie Selecteer hier altijd 'KPN Lokale Overheid' (gemnet).
SAML Metadata URL Stel voor productieomgevingen https://hm.gemnet.nl/metadata/ehhm15gemnet.xml in. Stel voor acceptatieomgevingen https://hmacc.gemnet.nl/metadata/ehhm15gemnetacc-v17.xml in.
Entity ID Vul hier de volgende waarde in: urn:nl:eherkenning:DV:<oin>:entities:<entity>

Vervang hierbij <oin> en <entity> door de OIN en bijbehorende entiteitsnummer van de organisatie.

CA Certificaat van de IdP
Gebruik op burgerloginpagina
Gebruik op medewerkerloginpagina
Gebruik op bedrijfloginpagina Toont inlogknop op /pip en /form
Stuur medewerkers direct naar de SAML loginpagina bij inloggen
Log SAML Response XML Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht

AD FS

Medewerkers kunnen zich authenticeren bij een remote inlog op de Active Directory van de organisatie.

Instellingen

Titel Omschrijving
Betrouwbaarheidsniveau Selecteer het beveiligingsniveau dat is afgestemd met de beheerder van de Active Directory.
SSO Binding Selecteer hier altijd 'HTTP Redirect'
SAML Implementatie Selecteer hier altijd 'Microsoft AD FS'
SAML Metadata URL
Entity ID
CA Certificaat van de IdP
Gebruik op burgerloginpagina
Gebruik op medewerkerloginpagina Toont inlogknop op /auth/login
Gebruik op bedrijfloginpagina
Stuur medewerkers direct naar de SAML loginpagina bij inloggen Redirect medewerkers automatisch naar de AD FS loginpagina
Log SAML Response XML Van elke login zal de 'response XML' gelogd worden in het transactieoverzicht

Nieuwe gebruiker

Wanneer een medewerker voor het eerst op het zaaksysteem inlogt zal deze gebruiker aangemaakt en geaccepteerd moeten worden. Dit gaat alsvolgt:

  1. De medewerker logt in
  2. De medewerker krijgt de Introductietekst te zien en moet een afdeling kiezen
  3. De gebruiker wordt aangemaakt wordt in de Inbox op de Medewerkerpagina geplaatst
  4. De medewerker krijgt de Bedanktekst te zien
  5. De zaaksysteembeheerder accepteert de nieuwe gebruiker vanuit de Inbox op de medewerkerpagina
  6. De gebruiker wordt in de (voor)geselecteerde afdeling geplaatst
  7. De medewerker ontvangt een Email
  8. De medewerker kan aan de slag

Mintlab spoofmode

De spoofmodus kan ingezet worden om een DigiD- of eHerkenninginlog te spoofen. Dit vereist momenteel de volledige configuratie van het koppelprofiel, met uitzondering van de instelling 'SAML implementatie' die op 'Mintlab spoofmode' ingesteld moet worden.

Wanneer het koppelprofiel correct is ingesteld kan via /form en /pip ingelogd worden met de spoofmodus. Voor de DigiD-spoof moet een BSN van 8-9 cijfers opgegeven worden. Voor de eHerkenning-spoof moet een KVK-nummer van 8 cijfers opgegeven worden, met eventueel een vestigingsnummer van 1-12 cijfers.