...
In het Edu-V afsprakenstelsel ondersteunen we de mogelijkheid om als dienst gebruik te maken van single-sign-on toegang via de Identity Provider van de onderwijsorganisatie. Hierdoor kunnen Personen via single-sign-on gebruik maken van applicaties van verschillende Leveranciers. Deze wijze van identificeren en authenticeren is gebaseerd op het toepassingspatroon Federatieve toegang.
Het federatieve patroon is een manier van samenwerken en gegevensuitwisseling tussen een IAM-inrichting van een (onderwijs)organisatie, een systeem voor federatieve toegang en een dienstverlener, die tot doel heeft om de gebruiker op een veilige en transparante manier te autoriseren voor gebruik van een dienst. De samenwerking gaat als volgt:
Als een Eindgebruiker een Dienst met SSO wil gebruiken, vraagt de Dienst met SSO aan een (Authenticerende of Delegerende) Identity Provider of aan een Federatieve Hub om een Identiteitsverklaring voor de betreffende Eindgebruiker, zodat de autorisatievoorziening het proces van autorisateren kan uitvoeren en een autorisatiebeslissing kan nemen.
In het geval van een Federatieve hub gaat de Federatieve hub na of de Eindgebruiker al is geauthenticeerd door zijn organisatie, en stelt een identiteitsverklaring met gebruikersgegevens op als dat zo is (single sign-on).
Als de gebruiker nog niet is ingelogd, vraagt de Federatieve
...
hub aan de (Authenticerende of Delegerende) Identity Provider van de onderwijsorganisatie om een Identiteitsverklaring voor deze Eindgebruiker. Als de Federatieve hub niet kan achterhalen bij welke onderwijsorganisatie de Eindgebruiker hoort, presenteert de Federatieve hub een selectiescherm aan de Eindgebruiker.
De Authenticerende van de onderwijsorganisatie presenteert de Eindgebruiker een scherm om zich met het authenticatiemiddel te identificeren (bijvoorbeeld, inloggen met gebruikersnaam en wachtwoord). Als de Eindgebruiker kan worden geauthenticeerd, stelt de Identity Provider een identiteitsverklaring op, met de overeengekomen attributen.
De werking van Federatieve toegang is nader uitgewerkt in de praktijksituatie Doorgifte identiteiten. Daarnaast is ook meer informatie te vinden over het toepassingspatroon Federatieve toegang en de Architectuurkaders toegang en digitale identiteit onderwijs, in de ROSA die onder beheer zijn in is van de Werkgroep Toegang van Edustandaard. Meer informatie over de werking van dit toepassingspatroon kan daar gevonden worden.
Identiteitsverklaring
Via een toegangsketen (van Identity Providers met al dan niet een Federatieve hub) kan een Dienst met SSO een identiteitsverklaring verkrijgen van een Onderwijsdeelnemer of -medewerker. Een identiteitsverklaring is een geverifieerde digitale identiteit met een minimale set aan attributen, eventueel aangevuld met vooraf overeengekomen aanvullende attributen.
...
Scenario’s voor SSO toegang tot (portaal)diensten en devices
Single-sign-on ketens voor accountgegevens (conceptueel model)
Provisioning van profielgegevens (conceptueel model)Conceptueel model Doorgifte identiteiten
Voorbeelden van toegangsketens (invulling van scenario’s met referentiecomponenten in een toegangsketen)
Gegevensdiensten van Administratiesystemen onderwijsdeelnemer en –medewerker
...