SSO (Single Sign On)

Owned by Gino Steba (Unlicensed)
Last updated: Mar 24, 2022 by Yun Lin
3 min read

Werking Single Sign On

Single Sign On (Eenmalig inloggen) stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties. Om deze toegang te verschaffen is een uitwisseling van authenticatiegegevens nodig. Een van de meest gebruikte standaarden voor het uitwisselen van authenticatiegegevens is SAML. SAML maakt veilige Single Sign On mogelijk.

Voordelen SAML

SAML is een op XML gebaseerde standaard voor eenmalige aanmelding van webbrowsers en is gedefinieerd door de technische commissie van OASIS Security Services. De standaard bestaat al sinds 2002, maar wordt de laatste tijd steeds populairder vanwege de voordelen:

o   Bruikbaarheid: Toegang met één klik vanuit portals of intranetten, deeplinking, wachtwoordverwijdering en automatisch vernieuwende sessies maken het leven van de gebruiker gemakkelijker.
o   Beveiliging: SAML is gebaseerd op sterke digitale handtekeningen voor authenticatie en integriteit en is een veilig single sign-on-protocol waarop de grootste en meest beveiligingsbewuste ondernemingen ter wereld vertrouwen.
o   Snelheid: SAML is snel. Eén browseromleiding is voldoende om een gebruiker veilig aan te melden bij een toepassing.
o   Phishing-preventie: Als je geen wachtwoord voor een systeem of toepassing hebt, kun je niet misleid worden om het in te voeren op een valse inlogpagina.
o   Vereenvoudiging IT beheer: SAML vereenvoudigt het beheer van IT omdat het authenticatie centraliseert, meer zichtbaarheid biedt en directory-integratie eenvoudiger maakt.

 

Werking SAML

Bij SAML spelen drie partijen een rol: de Identity Provider (IdP), de Service Provider (SP) en de gebruiker.

De IdP is het systeem dat de gebruikersverificatie uitvoert. Het is de centrale locatie waar inloggevens daadwerkelijk worden opgeslagen en gevalideerd. IdP’s zijn er in verschillende verschijningsvormen. Een veel gebruikte IdP is (Azure) AD.

SP’s zijn de systemen en toepassingen die gebruikers gedurende de dag gebruiken. In deze uitleg is Roosterplanning de SP. De IdP regelt het authenticatieproces van de gebruiker en kan na succesvolle authenticatie gegevens verstrekken aan de SP over de identiteit, attributen en rechten van een gebruiker.

De uitwisseling van authenticatiegegevens tussen de IdP en SP vindt plaats door middel van uitwisseling van SAML-berichten.

Een gebruiker die de SP aanroept via de browser, zal door de SP doorgestuurd worden naar de IdP  met de vraag om de gebruikersidentiteit aan te tonen. Deze vraag wordt gesteld in de vorm van een SAML-request. Zodra de gebruiker succesvol is ingelogd bij de IdP, zal de gebruiker door de IdP teruggestuurd worden naar de SP met de benodigde gebruikersinformatie. Dit wordt de SAML-response genoemd.

 

Inrichting SSO voor Roosterplanning

Voor de inrichting van SSO voor Roosterplanning worden de volgende stappen doorlopen.

Stap 1. Aanleveren gegevens door klant (technisch beheerder)

Technische beheerder levert onderstaande gegevens aan C-quential aan. Deze worden vanuit de IdP verstrekt.

o   Externe Entiteits-ID: Identiteitsprovider Entiteits-ID
o   Login URL: URL voor Single Sign On aanmelding van identiteitsprovider
o   Logout URL: Uitlog-URL identiteitsprovider
o   x509-certificaat: Het certificaat dat wordt geleverd door Identity Provider in base64-indeling

 Stap 2. Terugleveren gegevens aan klant door C-quential

C-quential voert de aangeleverde gegevens bij stap 1 in Roosterplanning en levert onderstaande gegevens terug voor de Identiteitsprovider aan de technische beheerder.

Stap 3. Klant voert deze gegevens in, in zijn Identiteitsprovider.

Stap 4. Validatie door klant.

Technische beheerder valideert de invoer door in te loggen als een (test)gebruiker.

 

Instellingen en kosten

Default wordt SSO voor Roosterplanning door C-quential hybride ingesteld. Dit betekent dat gebruikers toegang hebben tot Roosterplanning zowel via SSO als via een directe inlog. We kunnen het ook zo instellen dat de toegang alleen via SSO werkt, echter beperk je dan de mogelijkheden voor de eindgebruiker.

Voor de functionaliteit rekenen we geen extra kosten, je betaalt alleen de tijd die wij nodig hebben om het in te richten. Het meerwerk voor het eenmalig inrichten van SSO bedraagt 12 uur. Eventuele aanpassingen na de inrichting zijn op basis van werkelijke uren besteed.