Hoe
Single Sign-On (SSO) ofwel eenmalig inloggen is een manier om gebruikers eenmalig in te laten loggen voor meerdere applicaties of systemen tegelijk. Hierdoor hoeft een gebruiker niet steeds opnieuw in te loggen bij het wisselen tussen verschillende applicaties. Daarnaast hoeft een gebruiker niet voor elke applicatie een gebruikersnaam en wachtwoord combinatie te onthouden. Omdat niet elke applicatie afzonderlijk gegevens hoeft te bewaren is dit een veiligere en toekomstbestendige manier van inloggen.
Een bekend voorbeeld van Single Sign-On is het inloggen met een socialmedia-account bij een webwinkel. Hierdoor hoeft de webwinkel geen inloggegevens te bewaren en de gebruiker geen extra gebruikersnaam en wachtwoord te onthouden.
SSO wordt vaak gecombineerd met OpenID Connect (OIDC). Met OIDC vindt de authenticatie van een gebruiker plaats via een externe authenticatie server. Dit houdt in dat bij het inloggen in Somtoday de gebruiker doorverwezen wordt naar de inlogpagina van de authenticatie server (ofwel Identity Provider, IdP). De IdP verifieert of het om de juiste gebruiker gaat en of de inloggegevens correct zijn en koppelt dit terug naar Somtoday. Wanneer dit klopt is de gebruiker ingelogd.
SSO en Somtoday
Somtoday biedt de toekomstgerichte en veilige optie om in te loggen via OIDC. Leerlingen, verzorgers en medewerkers worden bij het inloggen in Somtoday doorverwezen naar de OIDC-inlogpagina, waardoor de authenticatie buiten Somtoday ligt. Als er gebruik wordt gemaakt van SSO, kunnen leerlingen bijvoorbeeld ook ditzelfde account gebruiken om bij andere systemen van de school die dit ondersteunen in te loggen.
Bij het instellen van OIDC wordt er binnen Somtoday onderscheid gemaakt tussen drie verschillende mogelijkheden:
- OIDC: Een eigen portaal of andere externe partij die dit ondersteunt; dit wordt OIDC genoemd
- Microsoft Azure
De laatste twee mogelijkheden zijn ook vormen van OIDC, maar worden afzonderlijk ondersteund door Somtoday.
Bij het gebruik van SSO zijn er twee opties om in te loggen in Somtoday.
- Gebruikers kunnen eerst inloggen bij OIDC/Azure/Google en vanuit daar met een link naar Somtoday gaan. In dit geval wordt de inlogpagina van Somtoday niet getoond.
- De andere manier is om naar Somtoday te gaan en hier de school te selecteren. Zodra vervolgens een gebruikersnaam ingevuld wordt waar een externe gebruikersnaam aan gekoppeld is, wordt deze gebruiker doorverwezen naar het inlogportaal van OIDC/Azure/Google.
Somtoday biedt geen ondersteuning in de inrichting van OIDC/Azure/Google. Hier zijn gespecialiseerde bedrijven voor.
OIDC
Om een OIDC-koppeling tot stand te brengen, zijn de volgende gegevens nodig:
- Issuer
- Client Id
- Client Secret
- Optioneel: Username attribute, scopes (spatie gescheiden) en logout URL
Deze gegevens moet je aanleveren via een ticket bij de servicedesk, met uitzondering van het client secret. Deze graag afzonderlijk mailen naar servicedesk@som.today.
Zodra jouw gegevens zijn verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.
2FA afdwingen i.c.m. OIDC
Bij gebruik van OIDC kan vanuit Somtoday een optionele acr_values worden meegestuurd naar de IDP (Identity Provider).
De acr_values property kan bijvoorbeeld gebruikt worden om two-factor-authentication af te dwingen in de IDP. De gebruiker logt dan in op het portaal van de school en specifiek voor Somtoday moet er dan nog een token (2FA) worden opgegeven om toegang te krijgen.
Wanneer je gebruik wilt maken van deze optie, neem dan contact op met de servicedesk.
Het is niet mogelijk af te dwingen als met OIDC de inlogflow verloopt dat de gebruiker na een bepaalde tijd ook automatisch wordt uitgelogd. We hebben wel sessies die kunnen verlopen waarna de gebruiker weer de OIDC flow ingaat. Als school kun je wel een sessie timeout instellen op je OIDC waarna de gebruiker zich na een bepaalde tijd weer moet authenticeren
Microsoft Azure
Somtoday biedt de mogelijkheid om een SSO-koppeling tot stand te brengen met Microsoft AzureAD.
Voor het tot stand brengen hiervan zijn de volgende vier stappen vereist:
-
Somtoday heeft het Tenant ID of de directory name (het gedeelte achter het ‘@’ in de mailadressen) van de school nodig. Deze kun je aanleveren via een ticket bij de servicedesk.
-
Zodra dit is verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.
-
Je hebt nu een Somtoday url die je school kan gebruiken als SSO-link. Die ziet er als volgt uit: https://somtoday.nl/azure?tenant=[uw_tenant_id].
-
Aan de Somtoday-gebruikers van je school die willen inloggen via AzureAD, moet je een externe gebruikersnaam (Azure UPN) koppelen (zie Aanmaken en wijzigen van externe gebruikersnamen).
Daarnaast is het nodig om binnen Microsoft Azure consent-permissies toe te kennen. De beheerder van het Azure-domein moet naar deze URL gaan om admin consent te kunnen geven:
Voor het instellen van Google zijn de volgende stappen vereist:
- Somtoday heeft de domeinnaam van Google van de school nodig. Deze kun je aanleveren via een ticket bij de servicedesk.
- Zodra dit is verwerkt, krijg je een melding van de servicedesk. De benodigde informatie is dan toegevoegd aan Somtoday.
- Aan de Somtoday-gebruikers van je school die willen inloggen via Google, moet je een externe gebruikersnaam koppelen (zie Aanmaken en wijzigen van externe gebruikersnamen)
Combineren van verschillende SSO-mogelijkheden
Verschillende SSO-mogelijkheden kunnen gecombineerd worden. Dit kun je instellen per individuele gebruiker. Zo is het bijvoorbeeld mogelijk om docenten via Azure in te laten loggen en leerlingen via een schooleigen OIDC-portaal. Per school kun je echter maar één cliënt van elk type instellen.
Aanmaken en wijzigen van externe gebruikersnamen
Om van OIDC gebruik te maken, moet in Somtoday bij gebruikers een externe gebruikersnaam bekend zijn. Zodra de externe gebruikersnaam ingesteld is, kan er niet meer ingelogd worden met de combinatie van gebruikersnaam en wachtwoord in Somtoday.
Aan de Somtoday-gebruikers die willen inloggen via OIDC moet je een Externe gebruikersnaam van je Identity Provider koppelen.
Dit veld is alleen zichtbaar als de servicedesk voor jouw school heeft ingesteld dat je school via OIDC / Azure / Google wil inloggen.
Het veld Extern medewerkersnummer wordt gebruikt voor financiële systemen zoals bv Afas.
De Externe gebruikersnaam kan je op drie manieren vullen:
Manier 1
Handmatig, op de accountpagina van de betreffende leerling, verzorger of medewerker.
Manier 2
Dit kan collectief, door een CSV in te lezen met daarin per regel de Somtoday gebruikersnaam en de externe gebruikersnaam van de gebruiker. Het inlezen van de CSV doe je onder Beheer > Import & Export > Imports > Externe gebruikersaccounts.
Manier 3
Dit kan via de UmService door de Externe gebruikersnamen in te lezen via het veld RemoteIdentifier.
In dit veld vul je de gebruikersnaam in die is vastgelegd bij de Identity Provider van je school. Dit is meestal de gebruikersnaam waarmee de gebruiker inlogt op het portaal van de school.
In het veld Type kies je voor AZURE, GOOGLE of OIDC (dit moet in hoofdletters).
Zie daarvoor de User Management Webservice
Het is niet mogelijk om via de UmService de externe gebruikersnaam en het type externe gebruikersnaam op te halen.
Leerling en verzorger app
De leerling en verzorger app krijgt, als SSO is ingesteld door de je school en de servicedesk, een groene inlogknop erbij, zie hieronder.