Overslaan en naar hoofdcontent gaan

Single Sign-On (SSO)

Brooke
  • Bijgewerkt

error_outline Alleen beheerders kunnen deze actie uitvoeren.

Met Single Sign-On (SSO) kunnen je gebruikers inloggen met hun schoolgegevens. Door een SSO-oplossing te configureren in Ans heb je geen extra accounts nodig voor de gebruikers van je school. In de SSO-instellingen kunnen beheerders opties instellen die de werking van SSO binnen je school in Ans veranderen. Ook heb je de mogelijkheid om je eigen identiteitsprovider toe te voegen.

Volg de onderstaande stappen om naar het menu voor Single Sign-On te navigeren.

  1. Klik op de domainSchoolnaam in het menu aan de linkerkant.
  2. Klik op Instellingen in het menu bovenaan.
  3. Klik op Authenticatie in het menu aan de linkerkant.

Screenshot 2025-02-28 at 09.20.24.png

Accounts

Voorkomen dat Single Sign-On (SSO) nieuwe accounts aanmaakt

Wanneer deze optie is ingeschakeld wordt er niet automatisch een account aangemaakt voor een onbekende gebruiker die inlogt via Single Sign-On. Normaal gesproken controleert Ans de informatie van de gebruiker die wil inloggen via SSO. De exacte informatie die wordt gecontroleerd verschilt per school en is afhankelijk van de mapping die in de SSO wordt gedaan. Als een gebruiker niet in Ans kan worden gevonden dan zal Ans een nieuw account aanmaken. Als deze optie is ingeschakeld, zal Ans geen nieuw account aanmaken als de gebruiker niet kan worden gevonden tijdens het inloggen. In plaats daarvan worden ze doorgestuurd naar de aanmeldpagina van Ans en zien ze de melding: 'Je hebt geen toestemming om een account aan te maken'. Je moet de accounts eerst handmatig aanmaken via een import, API of LTI.

Voorkomen dat Single Sign-On (SSO) bestaande accounts aanpast

Als deze optie is ingeschakeld, wordt een account niet automatisch bijgewerkt voor bestaande gebruikers die zich aanmelden via Single-Sign On. Als deze optie is uitgeschakeld, worden wijzigingen die eerder zijn aangebracht aan een bekend account (bijv. voornaam, achternaam) bijgewerkt wanneer bestaande gebruikers zich aanmelden via Single-Sign On.

Gegevens gebruikt voor SSO

Ongeacht welke identity provider je gebruikt—SURFconext, eduGAIN of een provider naar keuze—Ans maakt gebruik van specifieke SAML-attributen om gebruikers te identificeren. Deze attributen zijn:

  1. NameID
  2. UID
  3. Studentnummer - indien van toepassing
  4. E-mailadres

Als je ervoor kiest om een andere identity provider te gebruiken dan SURFconext of eduGAIN, zorg er dan voor dat deze attributen correct worden toegewezen in de configuratie van je provider. Dit zorgt voor naadloze authenticatie en correcte gebruikersidentificatie binnen Ans.

SURFConext

Om een verbinding met SURFConext op te zetten, moet je domein eerst geregistreerd zijn. Neem hiervoor contact op met integrations@ans.app. Het integratieteam heeft de volgende informatie nodig:

  • Naam van de instelling: de volledige naam van de school die je wilt verbinden met Ans.
  • Naam van de contactpersoon: dit is de volledige naam van de contactpersoon die verantwoordelijk is voor de SURFConext-integratie binnen uw instelling.
  • E-mail van deze contactpersoon

Na ontvangst van de benodigde informatie zal het integratieteam van Ans contact opnemen met SURFConext en een verbindingsverzoek indienen voor jouw school. Het supportteam van SURFConext zal vervolgens het verbindingsverzoek verwerken en jouw contactgegevens gebruiken om een definitieve validatie uit te voeren. Daarna is de verbinding tussen SURFConext en Ans definitief.

eduGAIN

Om een eduGAIN-verbinding in te stellen, moet je domein geregistreerd zijn. Neem hiervoor contact op met integrations@ans.app. Het supportteam heeft het domein nodig dat is geregistreerd bij eduGAIN. De lijst met alle geregistreerde domeinen is beschikbaar via: https://metadata.surfconext.nl/ (zie hieronder 'eduGAIN-metadata'). Nadat we het domein aan je account hebben toegevoegd, kun je via het menu SAML Single Sign-On een eduGAIN-account instellen. De volgende extra knop verschijnt nadat je domein is toegevoegd.

Screenshot 2025-02-28 at 09.18.53.png

Klik op Nieuwe eduGAIN connectie om de verbinding te starten.

SAML (beta)

Voeg een identiteitsprovider toe

error_outline Deze optie is beschikbaar via betafuncties, lees  hier  meer over deze functies.

Ans biedt de mogelijkheid om een aangepaste identiteitsprovider toe te voegen. Volg de onderstaande stappen om dit te doen.

  1. Klik op de oranje box Nieuwe identiteitsprovider en vul een naam in. 
  2. Er wordt een nieuwe pagina geopend. In het vak 'Schoolnaam' moet je je identiteitsprovider de naam geven die op het aanmeldscherm wordt weergeven. We raden aan om je schoolnaam te gebruiken. 
  3. Vul de metadata url van je identiteitsprovider in.
  4. Klik op Aanmaken.
    SSO2.png
  5. Vervolgens halen we de metadata-URL op en halen alle relevante informatie op.
  6. Je wordt naar een pagina geleid met alle relevante informatie om Ans met je identiteitsprovider te verbinden.
    Screenshot 2023-07-27 at 12.06.43.png
  7. Schakel de optie Actief voor gebruikers in om de identiteitsprovider in te schakelen op de aanmeldpagina van Ans.

Je kunt teruggaan naar deze pagina als je de schoolnaam wilt bewerken of als je de identiteitsprovider wilt verwijderen door naar het menu voor Single Sign-On te gaan en op de naam van de school onder SAML te klikken.

Het kan zijn dat je mapping moet toevoegen voor de vereiste attributen (die te vinden zijn in de metadata). We vereisen dat je URN-definities gebruikt:

  • 'uid' => 'urn:oid:0.9.2342.19200300.100.1.1'
  • 'mail' => 'urn:oid:0.9.2342.19200300.100.1.3'
  • 'affiliation' => 'urn:oid:1.3.6.1.4.1.5923.1.1.1.1'
  • 'surname' => 'urn:oid:2.5.4.4'
  • 'studentNumber' => 'urn:oid:1.3.6.1.4.1.25178.1.2.14'
  • 'givenName' => 'urn:oid:2.5.4.42'

De mapping van 'affiliation' bepaalt hoe de gebruiker in Ans wordt geclassificeerd. Wanneer het attribuut 'urn:oid:1.3.6.1.4.1.5923.1.1.1.1' de waarde 'employee' of 'faculty' bevat, wordt de gebruiker als medewerker beschouwd. In dat geval is het niet nodig om een studentennummer mee te sturen.

Als er geen waarde voor dit attribuut wordt meegegeven, of als de waarde 'student' is, wordt de gebruiker als student aangemaakt. In dat geval moet het studentennummer worden meegezonden via het attribuut 'urn:oid:1.3.6.1.4.1.25178.1.2.14'.

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.