Single sign-on (afgekort SSO) stelt eindgebruikers in staat om eenmalig in te loggen, waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources waarvoor dezelfde (gedelegeerde) toegang is ingeregeld. Een veelgebruikte variant die men tegenwoordig tegenkomt, is een SSO gebaseerd op Office 365, Google of Facebook. Het account dat men bij één van deze providers heeft, kan dus gebruikt worden om toegang te krijgen tot andere applicaties die hiervoor ingeregeld zijn.
De voornaamste redenen voor organisaties om SSO te gaan inregelen zijn:
- Gebruikersgemak voor de eindgebruiker (men hoeft slechts 1 gebruikersnaam en wachtwoord te onthouden).
- Meer controle op de aanmeldprocedure met als gevolg dat het netwerk veiliger wordt.
Soorten SSO
Hieronder volgt een opsomming van de soorten SSO die inmiddels door Courseware zijn ingeregeld en worden ondersteund.
| Protocol/methode | PeopleFluent LMS | Totara |
|---|---|---|
| SAML (dit is de Courseware voorkeur) | V | V |
| CAS | V | |
| LDAP | V | V |
| OpenID/OAUTH 2.0 | V | V |
User Provisioning
Met User Provisioning kan een organisatie er voor zorgen dat de gegevens van gebruikers binnen meerdere applicaties beschikbaar komen. Hoewel dit in sommige gevallen tijdens het proces van Single sign-on gefaciliteerd kan worden, is dit geen SSO.
Standaard zullen wij de inrichting niet voorzien met de mogelijkheid van User Provisioning. De werkwijze die Courseware daarbij hanteert is om de gebruikers asynchroon aan te maken op basis van een CSV-bestand met daarin de gewenste gebruikersinformatie. De voornaamste reden is, dat we op deze manier meer velden kunnen inlezen dan enkel die velden die noodzakelijk zijn voor het inloggen.
PeopleFluent LMS - inlezen gebruikersgegevens
In het geval van PeopleFluent LMS zullen we de klant vragen periodiek een CSV-bestand aan te leveren op een locatie op onze server. Daar zal dit bestand opgepakt worden door de dagelijkse processen. Het bestand moet de opbouw hebben van een bestand dat ook via de gebruikersinterface via de dataloader zou kunnen worden ingelezen.
Totara - HR-import
In het geval van Totara zullen we de klant vragen periodiek CSV-bestanden (bijv. gebruikers, posities en organisaties) aan te leveren op een locatie op onze server. Daar zullen deze bestanden worden opgepakt als onderdeel van de CRON-jobs.
Woordenlijst
Term | Betekenis |
|---|---|
| SAML | Security Assertion Markup Language is een op XML-gebaseerde standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen domeinen. |
| CAS | The Central Authentication Service is een single sign-on protocol voor op het internet. |
| SSO | Single Sign-on |
| LDAP | Lightweight Directory Access Protocol is een netwerkprotocol dat beschrijft hoe gegevens uit directoryservices benaderd moeten worden over bijvoorbeeld TCP/IP. |
| OpenID | OpenID is een gedecentraliseerd authenticatiemechanisme om Single Sign-on op het internet mogelijk te maken. |
| OAuth | Open Authorisation is een open standaard voor autorisatie. |
| ADFS | Active Directory Federation Services is een Single Sign-On oplossing gemaakt door Microsoft. |
| Azure | Microsoft Azure Platform is een cloud computing-platform van Microsoft waarmee een aantal diensten aangeboden kan worden via het internet of binnen de omgeving van het eigen bedrijf. |
| IdP | Identity Provider is de partij (het systeem) dat de identiteiten van de gebruikers bevat. Dit systeem levert de identiteiten aan de SP. Dit is de SAML Authority. Als de workflow van het SAML-protocol wordt gestart vanaf de IdP, dan noemt men deze IdP initiated. Dit is in principe altijd het systeem van de klant! |
| SP | Service Provider is de partij (het systeem) waarop wordt ingelogd door middel van een geauthentiseerd identiteit van een andere partij (IdP). Dit systeem gebruikt de identiteiten van het andere systeem om op haar systeem in te loggen en autorisatie af te dwingen. Dit is de SAML Consumer. Als de workflow van het SAML-protocol wordt gestart vanaf de SP, dan noemt men deze SP initiated. Dit is in principe altijd het systeem aan de leeromgevingkant! |
| LMS | Leer Management Systeem |
Standaard protocol Courseware
Het standaard protocol waarmee Courseware SSO inregelt voor de leeromgeving van de klant is SAML.
PeopleFluent LMS: Dit protocol kunnen wij in twee varianten inzetten:
- Voor ADFS/Azure. Hiervoor gebruiken wij Shibboleth als SP.
- Voor de overige SAML-compliant systemen (denk aan OKTA, SIMS en Custodix.). Hiervoor gebruiken we een binnen Courseware ontwikkelde connector.
Totara: Dit protocol zetten we in op basis van de plugin SAML SSO. De andere mogelijkheid voor Totara omgevingen is een SSO via de OAuth2 standaard, deze zijn allebei standaard in Totara beschikbaar.
Aanvragen SSO
Het aanvragen van de SSO verloopt altijd via een consultant. Tijdens de implementatie of op een later moment kan een SSO aangevraagd worden. Hebben jullie interesse om met een SSO te gaan werken? Neem dan contact op met jullie consultant of accountmanager voor de volgende stap hierin.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren