/
Identity Provider (IdP) aansluitproces

Identity Provider (IdP) aansluitproces

  • Klaar voor beoordeling

    • Het aansluitproces voor IdP’s op govConext werkt als volgt:

    1. De overeenkomst tussen uw organisatie en stichting govroam is gereed

    2. De organisatie-contactpersoon vraagt dienst(en) aan via het klantportaal waarvoor (eenmalig) de govconext koppeling benodigd is. De Service Providers die stichting govroam zelf biedt, zijn:

      1. govguest

      2. getgovroam

      3. govvpn

    3. De technisch contactpersoon ontvangt de handleiding en het Technisch Intakeformulier voor govconext

    4. De technisch contactpersoon maakt een koppeling voor Acceptatie en Productie (zie OTAP) aan in het IAM-systeem van de organisatie op basis van de aangeleverde informatie op deze wiki. Let op:

      1. Zitten de accounts voor alle medewerkers personen allemaal in 1 gebruikersdatabase (zoals EntraID of een andere gebruikersdatabase met een SSO-koppelmogelijkheid)? Dan moet één koppeling en dus één metadata-URL aangemaakt en aangeleverd worden. Worden meerdere domeinen gebruikt, vermeld dan per domein hoe de organisatie genoemd moet worden.

      2. Zit elke gebruikersgroep in een separate gebruikersdatabase (zoals EntraID of een andere gebruikersdatabase)? Vink dan "Meerdere separate SAML-aansluitingen" aan. Maak dan een koppeling en dus metadata-URL per gebruikersgroep.

    5. De technisch contactpersoon vult het Technisch Intakeformulier in. Let op:

      1. In geval van één aansluiting voor alle gebruikersgroepen en domeinen: vink "Enkelvoudige SAML-aansluiting met meerdere achterliggende organisaties (multi domain)" aan.

      2. In geval elke gebruikersgroep in een separate gebruikersdatabase (zoals EntraID of een andere gebruikersdatabase) is ondergebracht, vink dan "Meerdere separate SAML-aansluitingen" aan en vermeld per domein elke metadata-URL separaat.

    6. De technisch contactpersoon stuurt het formulier dit naar tech@govroam.nl

    7. Stichting govroam realiseert de koppeling, eerst op Acceptatie en dan op Productie

    8. De technisch contactpersoon controleert of de koppeling werkt via:

      1. Acceptatie: https://engine.acc.govconext.nl/authentication/sp/debug

      2. Productie: https://engine.govconext.nl/authentication/sp/debug

    9. Stichting govroam activeert de benodigde Service Providers voor de IdP

    10. De technisch contactpersoon ontvangt instructies voor eerste ingebruikname van de dienst(en)

     

    Vooralsnog ondersteunt govConext SAML2.0 voor het koppelen van Identity Providers.

    De benodigde gegevens voor de koppeling met govConext Acceptatie zijn: 

    Identifier (Entity ID) 

    https://engine.acc.govconext.nl/authentication/sp/metadata 

    Reply URL (ACS URL) 

    https://engine.acc.govconext.nl/authentication/sp/consume-assertion 

    Sign On URL 

    https://engine.acc.govconext.nl/authentication/sp/debug 

     voor govConext Productie gelden de volgende URL’s:

    Identifier (Entity ID) 

    https://engine.govconext.nl/authentication/sp/metadata 

    Reply URL (ACS URL) 

    https://engine.govconext.nl/authentication/sp/consume-assertion 

    Sign On URL 

    https://engine.govconext.nl/authentication/sp/debug 

    De benodigde attributenmapping is te vinden in het artikel ‘SAML attributen’.

    Omdat EntraID (Azure Active Directory) veel gebruikt wordt, hebben we een artikel gewijd aan hoe de SAML-koppeling o.b.v. EntraID gemaakt kan worden.