E-UUR heeft verschillende mogelijkheden om in te loggen via SSO. Hieronder vind je een technische uitleg over SSO, zodat je kunt bepalen welke mogelijkheden voor jouw organisatie van toepassing zijn.
Wil je meer weten over de SSO koppelingen die met e-UUR mogelijk zijn, lees dan het artikel Inloggen e-UUR en SSO.
Richting SSO
De richting van de SSO is belangrijk. Wordt er eerst ingelogd in applicatie A en daarna in een andere applicatie B of wordt er eerst ingelogd in applicatie B en daarna in applicatie A?
Afhankelijk van de richting moet applicatie A het versturen van een gebruiker instellen en applicatie B het ontvangen van een gebruiker implementeren of dus andersom.
Standaarden SSO
Er zijn verschillende standaarden voor SSO beschikbaar.
- SAML: een standaard om autorisatie (wat mag jij) en authenticatie (wie ben jij) gegevens uit te wisselen.
OAuth: een standaard om autorisatie gegevens uit te wisselen.
OpenID Connect (OIDC): een standaard, “bovenop” OAuth, om authenticatie gegevens uit te wisselen: wie ben jij? Gebruikt OAuth om te bepalen of de gegevens wie jij bent, uitgewisseld mogen worden.
E-UUR gebruikt de SAML en OIDC standaarden. Hierbij wordt uitgegaan van twee partijen binnen de SSO:
- de partij die de inloggegevens heeft (de Identity Provider (IP)) en
- de partij die de identiteit wil gebruiker (de Service Provider (SP) SAML) of Relying Party (RP) OIDC).
De inloggegevens van de IP worden gebruikt. Bij de SP of RP wil je geen inloggegevens meer invoeren, maar direct de applicatie kunnen gebruiken.
Processen uitwisselen gegevens
Voor het uitwisselen van specifieke gegevens tussen de eindgebruiker, IP en de SP worden verschillende processen gebruikt. E-UUR ondersteunt de Authorization Code Flow (ACF) en de korte variant hierop (ACF short) van de OIDC standaard. Daarnaast ondersteunt e-UUR het Authentication Request Protocol (ARP) en de korte variant (ARP short) van de SAML standaard.
Authorization Code Flow (ACF)
Bij ACF start het proces bij de SP. De eindgebruiker vraagt aan de SP het proces om in te loggen bij de SP te starten.
Bij de ACF short start het proces bij de IP. De eindgebruiker vraagt aan de IP om ervoor te zorgen dat hij kan inloggen bij de SP.
Samengevat is het proces als volgt.
- De End User geeft bij de SP aan dat hij wil inloggen met de IP (ACF).
- De End User kan zijn inloggegevens invoeren bij de IP (ACF short).
- De IP stuurt de End User terug naar de SP met een token.
- De SP gebruikt het IP token om aanvullende gebruikersgegevens op te vragen bij de IP, waarmee de End User in SP bepaald kan worden.
- Hiermee wordt de End User vervolgens ingelogd in de SP.
Authentication Request Protocol (ARP)
De ARP van SAML is wat betreft de werking in hoofdlijnen gelijk aan de ACF van de OIDC. De verschillen zijn dat de eindgebruiker geen toestemming hoeft te geven voor de overdracht van gegegevens tussen beide applicaties en dat de gebruikersgegevens direct in het antwoord verwerkt zijn en niet apart hoeven opgevraagd te worden met een sleutel.
Bij de ARP short start het proces, net als bij de ACF short, bij de IP. De eindgebruiker vraagt aan de IP om ervoor te zorgen dat hij kan inloggen bij de SP.
E-UUR en SSO
Voor e-UUR is het mogelijk om op verschilldende manieren SSO in te stellen. Dit kan via een ADFS koppeling, als Relying party via een SSO Clients koppeling en als Indentity provider. De ADFS koppeling maakt gebruik van het ARP proces van de SAML standaard. De Relying party (SSO Clients koppeling) en Identity provider maken gebruik van het ACF proces van de OIDC standaard.
In de artikelen ADFS koppeling instellen, SSO Clients instellen en OpenId Connect Identity provider instellen kun je lezen hoe je de koppelingen kunt instellen in e-UUR.
Het is ook mogelijk om in meerdere e-UUR omgevingen in te loggen via SSO. Lees het artikel Meerdere e-UUR omgevingen inloggen via SSO voor meer informatie.