Service Provider (SP) o.b.v. OIDC aansluiten
- tech
Via een OIDC-koppeling kan de Service Provider diensten aanbieden aan meerdere op govconext aangesloten Identity Providers. Dit proces is beschreven in Service Provider (SP) aansluitproces . Voor elke aan te sluiten (web)app(licatie) dient een individueel formulier ingediend te worden (geldt ook voor aansluiten van een Test- of Acceptatie-applicatie).
Testen op Acceptatie, dan naar Productie
Van elke (web)app(licatie) wordt eerst een Acceptatie-versie op govconext-Acceptatie aangesloten ter verificatie. Na geslaagde tests kan de Productie-applicatie op govconext-Productie worden aangesloten.
Let op: op govconext-Productie worden uitsluitend Productie-SP's aangesloten. Zie ook ons OTAP/DTAP beleid
Let op: voor govconext-Acceptatie worden geen beschikbaarheid gegarandeerd. Testen met beschikbaarheidsgarantie op specifieke momenten dient overeengekomen worden.
Aan te leveren gegevens door SP
Via het Technisch intakeformulier “Technisch Intakeformulier govconext OIDC voor SPs” dat de SP ontvangt na aanmelding in het klantportaal, geeft de SP (naast contactinformatie) minimaal aan:
soort aansluiting: OIDC op Acceptatie of Productie-govconext
OIDC Applicatie-URL
Redirect-URL
(Link naar) logo (96x96 pixels PNG bestand met transparante of witte achtergrond)
Let op: voor elke applicatie, en elke Productie- of Acceptatie-versie ervan, dient een individueel aansluitformulier te worden ingestuurd.
De Technisch Contactpersoon van de SP stuurt het formulier naar tech@govroam.nl.
De technische aansluiting wordt verzorgd door onze partner Prolocation .
Voorwaarden
govconext hanteert het OIDC profiel dat door Forum Standaardisatie voorgeschreven wordt.
Inlogmogelijkheid eindgebruikers
De loginmogelijkheid op de applicatie via govconext dient op een voor eindgebruikers duidelijk vindbare locatie in de applicatie te worden aangebracht met daarbij de vermelding ‘govconext’, al dan niet met logo van govconext.
Claims
De claims die elke IdP verplicht aan moet leveren, en beschikbaar zijn voor SP’s:
Uniek gebruikers-ID: urn:mace:dir:attribute-def:uid (URI)
Uniek organisatie-ID: urn:mace:terena.org:attribute-def:schacHomeOrganization (URI)
Andere door de SP benodigde of gewenste claims/attributen kunnen in onderstaande tabel worden aangegeven (attribuutnaam en format). Op de SURFconext-wiki is een lijst met veel voorkomende claims te vinden.
Mogelijkerwijs stellen wij alternatieven voor wanneer al attributen gedeeld worden die dezelfde informatie bevatten.
Voor sommige projecten of ‘use cases’ zijn zeer specifieke attributen of claims nodig. Deze kan de SP opvragen bij de koepelorganisatie die deze use cases bedient. Indien nieuwe attributen benodigd zijn, dienen deze afgestemd te worden.
govconext-gegevens:
OIDC Kenmerk | Waarde / meer informatie |
Scopes: | openid (andere worden genegeerd) |
Claims: | In overeenstemming te bepalen (gewenste claims aangeven in formulier hieronder) |
govconext OIDC configuratie-URL Acceptatie: | https://connect.acc.govconext.nl/.well-known/openid-configuration |
govconext OIDC configuratie-URL Productie: | https://connect.govconext.nl/.well-known/openid-configuration |
ClientID: | Dit ontvangt u van ons wanneer de aansluiting geconfigureerd is aan onze zijde |
ClientSecret: | Dit ontvangt u van ons wanneer de aansluiting geconfigureerd is aan onze zijde |
Discovery endpoint: | Dit ontvangt u van ons wanneer de aansluiting geconfigureerd is aan onze zijde |
Testen
Op de ‘OIDC Playground’ kan de ontwikkelaar (al voordat de koppeling in de applicatie geintegreerd wordt) testen of en hoe de claims via de koppeling gebruikt kunnen worden:
Acceptatie: https://oidc-playground.acc.govconext.nl/
Productie: https://oidc-playground.govconext.nl/
Meer informatie
Zie voor meer informatie de SURFconext wiki, waarbij overal waar ‘SURFconext’ vermeld is dit vervangen kan worden door ‘govconext'. Vragen, opmerkingen en het ingevulde formulier kunnen gestuurd worden naar tech@govroam.nl.