Introductie

Waarom?
Bij het gebruik van Single sign-on-software (afgekort SSO) hoef jij als gebruiker niet telkens verschillende wachtwoorden voor verschillende applicaties te onthouden. Je hoeft nu nog maar één keer in te loggen op jouw werkstation, waarna je automatisch toegang krijgt tot het opleidingsportaal van Coachview. Je hoeft hierdoor niet iedere keer opnieuw in te loggen, en het inlogscherm wordt niet langer getoond.

Er zijn 2 methoden voor het integreren van SSO.
Methode 1 (voorkeur):
Via 'IdpInitiated Single Sign-on' vanuit jullie eigen 'Identity Provider'. Vanuit daar wordt een door ons signed SAML request naar de Idp gestuurd via http-post. Als jij aan jullie kant (de Idp) bent ingelogd en geautoriseerd dan stuurt de Idp een signed SAML response terug met daarin een (eventueel encrypted) assertion met minimaal de “Name Id” claim gevuld. Coachview controleert de handtekening en of in de “name id” claim het unieke (externe)Id staat dat bij ons bij de persoon bekend is. Daarna word je automatisch in het opleidingsportaal ingelogd.

Methode 2:
Je logt in via Single Sign-on via de inlogpagina van het opleidingsportaal. Je surft dus naar https://<klantnaam> opleidingsportaal.nl.
Dit wordt ook wel serviceprovider-initiated Single Sign-on genoemd.
Let op: in de meeste gevallen wordt dit inlogscherm niet meer getoond, maar word je direct doorverwezen en of ingelogd.

Wat is er nodig?
  1. Idp (identity provider) met SAML 2.0 (via http-post) kan een “trust” configureren. (bijvoorbeeld Microsoft Active Directory Federation Services (ADFS))
  2. Unieke identifier: Deze moet worden gevuld met de unieke identifier, die wij ook in Coachview gebruiken voor unieke identificatie van de personen (ExternId bij persoon). Let op: Als er een CRM (bedrijven en personen) import is, moet deze dezelfde identifier gebruiker als voor Single sign-on.
  3. ICT deskundigheid en netwerk/systeembeheerder aan jullie kant die jullie Idp kan configureren

Belangrijke termen:
  1. Identity Provider: Dit moet jij ingericht hebben, dit is een vertrouwde partij die een digitale identiteit creëert en verstrekt aan een individu.
  2. Service Provider: Dit is Coachview, het systeem waar jij toegang tot wil krijgen.
  3. SAML 2.0: Security Assertion Markup Language, de standaard die gebruikt wordt om de berichten tussen de Idp en de SP beveiligd te versturen.  

Wat hebben we van jou nodig?
Twee mogelijkheden:
  1. De metadata URL van jullie Idp Bijvoorbeeld voor Microsoft ADFS: https://klantnaamt/federationmetadata/2007-06/federationmetadata.xml.
  2. Of de instellingen entityID, Idp service URL en het (base64) certificaat (waarmee de response wordt ge-signed). 

Let op: als jouw certificaat verloopt en deze wordt vervangen, dan moet dit nieuwe certificaat tijdig aangeleverd worden bij de Coachview helpdesk. Het nieuwe certificaat wordt namelijk niet automatisch bij ons vervangen.
Eén claim type “Name ID”. Deze moet worden gevuld met de unieke identifier (ExternId bij persoon), die in Coachview gebruikt wordt voor unieke identificatie van de personen.
Het te gebruiken secure hash-algoritm sha-1 of sha-256 (voorkeur) voor het verifiëren van de handtekening.
Mag de persoon automatisch inloggen in het opleidingsportaal? Ja of Nee.
Moet het ook nog mogelijk blijven om via gebruikersnaam en wachtwoord in te loggen? Ja of Nee.
Moet uw certificaat op geldigheid worden beoordeeld? Zo ja, dan moet het  certificaat geldig en vertrouwd zijn. (geen self-signed certificaat, maar uitgegeven door vertrouwde certificaat instantie.

Stappen.
Wie?
Aanleveren benodigde gegevens. zie “Wat hebben wij van klant nodig”.

Aanmaken van het opleidingsportaal.
Jij.

Coachview.
Activeren SAML2 authentication provider en settings inregelen Coachview.
Coachview.
Inrichten Idp wanneer het opleidingsportaal is gemaakt..

Metadata van het opleidingsportaal (serviceprovider) staat op:

Deze kan gebruikt worden om jouw Idp (automatisch) te configureren met bijvoorbeeld voor Microsoft Active Directory Federation Services (ADFS).
Jij.
Claim Type instellen.

Deze moet worden gevuld met de unieke identifier (ExternId bij persoon), die in Coachview gebruikt wordt voor unieke identificatie van de personen.
Jij.
Het te gebruiken secure hash-algoritm sha-256 (geadviseerd) of sha-1 (niet geadviseerd) voor het verifiëren van de handtekening.
Jij.
Hoe ga je de persoon toegang verlenen tot jouw opleidingsportaal?
Je hebt daar 3 methodes voor.

Methode 1:

Automatische actie Coachview
  1. Bijvoorbeeld inschrijven in een opleiding. Persoon krijgt pas toegang tot het opleidingsportaal nadat deze is ingeschreven.
  2. Bij aanmaken persoon met ExternId.

Methode 2: 

Aanmaken in portaal als gebruiker (de 1e keer) wordt ge-authentiseert via SSO in Opleidingsportaal.
Instellen in Opleidingsportaal of persoon in Coachview aangemaakt/ gewijzigd dient te worden. Bij Hrm koppeling is dit standaard NEE
Parameter “Gebruiker aanmaken”.

Methode 3:

Handmatig aanmaken vanuit Coachview.

Coachview.
Aanmaken van 1 test persoon om SSO te controleren.
Jij en Coachview.
Indien er import ‘Bedrijven en Personen’ wordt gebruikt – controleren op ExternID.

Let op: wanneer in deze import een fout in zit is deze moeilijk te corrigeren
Coachview.
Import ‘Bedrijven en Personen’.
Eind controle.
Jij en Coachview.