Overslaan en naar hoofdcontent gaan
Aanmelden

Single Sign On

Roniel Scholma

Wat

Single Sign-On (SSO) ofwel eenmalig inloggen is een manier om gebruikers eenmalig in te laten loggen voor meerdere applicaties of systemen tegelijk. Hierdoor hoeft een gebruiker niet steeds opnieuw in te loggen bij het wisselen tussen verschillende applicaties. Daarnaast hoeft een gebruiker niet voor elke applicatie een gebruikersnaam en wachtwoord combinatie te onthouden. Hierdoor hoeft niet elke applicatie afzonderlijk de inloggegevens hoeft te bewaren, waardoor dit een veiligere en toekomstbestendige manier is van inloggen.

Een bekend voorbeeld van Single Sign-On is het inloggen met een socialmedia-account bij een webwinkel. Hierdoor hoeft de webwinkel geen inloggegevens te bewaren en de gebruiker geen extra gebruikersnaam en wachtwoord te onthouden.

SSO wordt vaak gecombineerd met OpenID Connect (OIDC). Met OIDC vindt de authenticatie van een gebruiker plaats via een externe authenticatie server.  Dit houdt in dat bij het inloggen in Somtoday de gebruiker doorverwezen wordt naar de inlogpagina van de authenticatie server (ofwel Identity Provider, IdP).  De IdP verifieert of het om de juiste gebruiker gaat en of de inloggegevens correct zijn en koppelt dit terug naar Somtoday. Wanneer dit klopt is de gebruiker ingelogd.

 

SSO en Somtoday

Somtoday biedt de toekomstgerichte en veilige optie om in te loggen via OIDC. Leerlingen, verzorgers en medewerkers worden bij het inloggen in Somtoday doorverwezen naar de OIDC-inlogpagina, waardoor de authenticatie buiten Somtoday ligt. Als er gebruik wordt gemaakt van SSO, kunnen leerlingen bijvoorbeeld ook ditzelfde account gebruiken om bij andere systemen van de school die dit ondersteunen in te loggen.

Bij het instellen van OIDC wordt er binnen Somtoday onderscheid gemaakt tussen drie verschillende mogelijkheden:

  1. OIDC: Een eigen portaal of andere externe partij die dit ondersteunt; dit wordt OIDC genoemd
  2. Microsoft Azure
  3. Google

De laatste twee mogelijkheden zijn ook vormen van OIDC, maar worden afzonderlijk ondersteund door Somtoday.

Bij het gebruik van SSO zijn er twee opties om in te loggen in Somtoday.

  1. Gebruikers kunnen eerst inloggen bij OIDC/Azure/Google en vanuit daar met een link naar Somtoday gaan. In dit geval wordt de inlogpagina van Somtoday niet getoond.

  2. De andere manier is om naar Somtoday te gaan en hier de school te selecteren. Zodra vervolgens een gebruikersnaam ingevuld wordt waar een externe gebruikersnaam aan gekoppeld is, wordt deze gebruiker doorverwezen naar het inlogportaal van OIDC/Azure/Google.

Somtoday biedt geen ondersteuning in de inrichting van OIDC/Azure/Google. Hier zijn gespecialiseerde bedrijven voor.

OIDC

Om een OIDC-koppeling tot stand te brengen, zijn de volgende gegevens nodig:

  1. Issuer
  2. Client Id
  3. Client Secret
  4. Optioneel: Username attribute, scopes (spatie gescheiden) en logout URL

Deze gegevens moet je aanleveren via een ticket bij de servicedesk, met uitzondering van het client secret. Deze graag afzonderlijk mailen naar servicedesk@som.today.

Zodra jouw gegevens zijn verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.

 

2FA afdwingen i.c.m. OIDC

Bij gebruik van OIDC kan vanuit Somtoday een optionele acr_values worden meegestuurd naar de IDP (Identity Provider).
De acr_values property kan bijvoorbeeld gebruikt worden om two-factor-authentication af te dwingen in de IDP. De gebruiker logt dan in op het portaal van de school en specifiek voor Somtoday moet er dan nog een token (2FA) worden opgegeven om toegang te krijgen.

Wanneer je gebruik wilt maken van deze optie, neem dan contact op met de servicedesk.

Het is niet mogelijk af te dwingen als met OIDC de inlogflow verloopt dat de gebruiker na een bepaalde tijd ook automatisch wordt uitgelogd. We hebben wel sessies  die kunnen verlopen waarna de gebruiker weer de OIDC flow ingaat. Als school kun je wel een sessie timeout instellen op je OIDC waarna de gebruiker zich na een bepaalde tijd weer moet authenticeren

 

Microsoft Azure

Somtoday biedt de mogelijkheid om een SSO-koppeling tot stand te brengen met Microsoft AzureAD.

Voor het tot stand brengen hiervan zijn de volgende vier stappen vereist:

  1. Somtoday heeft het Tenant ID of de directory name (het gedeelte achter het ‘@’ in de mailadressen) van de school nodig. Deze kun je aanleveren via een ticket bij de servicedesk.

  2. Zodra dit is verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.

  3. Je hebt nu een Somtoday url die je school kan gebruiken als SSO-link. Die ziet er als volgt uit: https://somtoday.nl/azure?tenant=[uw_tenant_id].

  4. Aan de Somtoday-gebruikers van je school die willen inloggen via AzureAD, moet je een externe gebruikersnaam (Azure UPN) koppelen (zie Aanmaken en wijzigen van externe gebruikersnamen).

Daarnaast is het nodig om binnen Microsoft Azure consent-permissies toe te kennen. De beheerder van het Azure-domein moet naar deze URL gaan om admin consent te kunnen geven:

 

Google

Voor het instellen van Google zijn de volgende stappen vereist:

  1. Somtoday heeft de domeinnaam van Google van de school nodig. Deze kun je aanleveren via een ticket bij de servicedesk.

  2. Zodra dit is verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.

  3. Aan de Somtoday-gebruikers van je school die willen inloggen via Google, moet je een externe gebruikersnaam koppelen (zie Aanmaken en wijzigen van externe gebruikersnamen)

 

Combineren van SSO-mogelijkheden

Verschillende of gelijke SSO-mogelijkheden kunnen gecombineerd worden. Zo is het bijvoorbeeld mogelijk om docenten via Azure in te laten loggen en leerlingen via een schooleigen OIDC-portaal. Maar ook bijv. meerdere Azure omgevingen kunnen aan jouw Somtoday omgeving worden gekoppeld.

Per gebruiker regel je op de account-pagina van welke SSO oplossing deze gebruik moet maken.

Aanmaken en wijzigen van externe gebruikersnamen

Om van SSO gebruik te maken, moet in Somtoday bij gebruikers een externe gebruikersnaam bekend zijn.  Zodra de externe gebruikersnaam ingesteld is, kan er niet meer ingelogd worden met de combinatie van gebruikersnaam en wachtwoord in Somtoday.

Aan de Somtoday-gebruikers die willen inloggen via SSO moet je een Externe gebruikersnaam van je Identity Provider koppelen.

Dit veld is alleen zichtbaar als de servicedesk voor jouw school heeft ingesteld dat je school via OIDC / Azure / Google wil inloggen.

Het veld Extern medewerkersnummer wordt gebruikt voor financiële systemen zoals bv Afas.

De Externe gebruikersnaam kan je op twee manieren vullen:


Manier 1
Handmatig, op de accountpagina van de betreffende leerling, verzorger of medewerker.


Manier 2
Dit kan collectief, door een CSV in te lezen met daarin per regel de Somtoday gebruikersnaam en de externe gebruikersnaam van de gebruiker. Het inlezen van de CSV doe je onder Beheer > Import & Export > Imports > Externe gebruikersaccounts.

 

Leerling en Ouder app

De leerling en ouder app ondersteund ook het inloggen via SSO

 

Schoolspecifieke URL

In dit artikel vind je de hoe je een rechtstreekse, schoolspecifieke URL naar jou Somtoday omgeving kan vinden.

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 4 van 8
Terug naar boven


Powered by