Aanvraag SSO leeromgeving

Single sign-on (afgekort SSO) stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources waarvoor dezelfde (gedelegeerde) toegang is ingeregeld. Een veelgebruikte variant die men tegenwoordig tegenkomt is een SSO gebaseerd op Office 365, Google of Facebook. Het account dat men bij één van deze providers heeft, kan dus gebruikt worden om toegang te krijgen tot andere applicaties die hiervoor ingeregeld zijn.

De voornaamste redenen voor organisaties om SSO te gaan inregelen zijn:

  • Gebruikersgemak voor de eindgebruiker (men hoeft slechts 1 gebruikersnaam en wachtwoord te onthouden).
  • Meer controle op de aanmeldprocedure met als gevolg dat het netwerk veiliger wordt.

Soorten SSO

Hieronder volgt een opsomming van de soorten SSO die inmiddels door The Courseware Company zijn ingeregeld en worden ondersteund.

Protocol/methode
NetDimensions
Totara
SAML (dit is de TCC voorkeur) (tick) (tick)
CAS   (tick)
LDAP (tick) (tick)
OpenID/OAUTH 2.0 (tick)  

User Provisioning

Met User Provisioning kan een organisatie er voor zorgen dat de gegevens van gebruikers binnen meerdere applicaties beschikbaar komen. Hoewel dit in sommige gevallen tijdens het proces van Single sign-on gefaciliteerd kan worden, is dit geen SSO.

Standaard zullen wij de inrichting niet voorzien met de mogelijkheid van User Provisioning. De werkwijze die TCC daarbij hanteert is om de gebruikers asynchroon aan te maken op basis van een CSV-bestand met daarin de gewenste gebruikersinformatie. De voornaamste reden is, dat we op deze manier meer velden kunnen inlezen dan enkel die velden die noodzakelijk zijn voor het inloggen.

NetDimensions - inlezen gebruikersgegevens

In het geval van NetDimensions zullen we de klant vragen periodiek een CSV-bestand aan te leveren op een locatie op onze server. Daar zal dit bestand opgepakt worden door de dagelijkse processen. Het bestand moet de opbouw hebben van een bestand dat ook via de gebruikersinterface via de dataloader zou kunnen worden ingelezen.

Totara - HR-import

In het geval van Totara zullen we de klant vragen periodiek CSV-bestanden (bijv. gebruikers, posities en organisaties) aan te leveren op een locatie op onze server. Daar zullen deze bestanden worden opgepakt als onderdeel van de CRON-jobs.

Woordenlijst

Term
Betekenis
SAML Security Assertion Markup Language is een op XML gebaseerde standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen domeinen.
CAS The Central Authentication Service is a single sign-on protocol for the web.
SSO Single Sign-on
LDAP Lightweight Directory Access Protocol is een netwerkprotocol dat beschrijft hoe gegevens uit directoryservices benaderd moeten worden over bijvoorbeeld TCP/IP.
OpenID OpenID is een gedecentraliseerd authenticatiemechanisme om Single Sign-on op het internet mogelijk te maken.
OAuth Open Authorization is een open standaard voor autorisatie.
ADFS Active Directory Federation Services is a Single Sign-On solution created by Microsoft.
Azure Microsoft Azure Platform is een cloud computing-platform van Microsoft waarmee een aantal internetdiensten aangeboden kan worden via het internet of binnen de omgeving van het eigen bedrijf.
IdP

Identity Provider is de partij (het systeem) dat de identiteiten van de gebruikers bevat. Dit systeem levert de identiteiten aan de SP.

Dit is de SAML Authority.

Als de workflow van het SAML-protocol wordt gestart vanaf de IdP, dan noemt men deze IdP initiated.

Dit is in principe altijd het systeem van de klant!

SP

Service Provider is de partij (het systeem) waarop wordt ingelogd door middel van een geauthentiseerd identiteit van een andere partij (IdP). Dit systeem gebruikt de identiteiten van het andere systeem om op haar systeem in te loggen en autorisatie af te dwingen.

Dit is de SAML Consumer

Als de workflow van het SAML-protocol wordt gestart vanaf de SP, dan noemt men deze SP initiated.

Dit is in principe altijd het systeem aan de leeromgevingkant!

LMS Leer Management Systeem

scenarios.jpg

Standaard protocol TCC

NetDimensions

Het standaard protocol waarmee The Courseware Company SSO inregelt voor de leeromgeving van de klant is SAML.

Dit protocol kunnen wij in twee varianten inzetten:

  • Voor ADFS/Azure. Hiervoor gebruiken wij Shibboleth als SP.
  • Voor de overige SAML-compliant systemen (denk aan OKTA, SIMS en Custodix.). Hiervoor gebruiken we een binnen TCC ontwikkelde connector.
Totara

Het standaard protocol waarmee The Courseware Company SSO inregelt voor de leeromgeving van de klant is SAML.

Dit protocol zetten we in op basis van de plugin SimpleSAMLphp.

 

Opmerkingen

Mogelijk gemaakt door Zendesk