single sign-on met adfs

Single Sign-On met ADFS

met de eLogin module van itslearning

7,  8,  11  en  15  november  2013  

Even voorstellen

Vincent  Hö*e    

Technisch  Consultant  vincent.ho<e@itslearning.com  

Tim  Remmers    

Directeur  Services  Am.remmers@itslearning.com  

I changed all my passwords to

‘incorrect’.

So whenever I forget a password,

the software will tell me “your password is

incorrect”.

Het leerplatform van itslearning

Het leerplatform van itslearning

Active Directory Federation Services

•  Terminologie  •  Waarom  SSO  met  ADFS?  •  Hoe  werkt  het?  •  Te  maken  keuzes  •  Voorwaarden  •  De  procedure  in  5  stappen  •  Vragen?  •  Mogelijke  vervolgstappen  

Terminologie

ADFS  (AcAve  Directory  FederaAon  Services)  is  …  een  onderdeel  van  Windows  Server  met    technologieën  voor  eenmalige  

aanmelding,  zodat  gebruikers  gedurende  één  online  sessie  voor  meerdere  web  toepassingen  worden  geverifieerd.    

 Op  deze  wijze  wordt  Single  Sign-­‐On  (SSO)  mogelijk  gemaakt  

 SAML  2  (Security  AsserAon  Markup  Language)  is  een  op  XML  

gebaseerde  open  standaard  voor  het  uitwisselen  van  authenAcaAe-­‐  en  autorisaAegegevens  tussen  domeinen.  

Waarom SSO met ADFS?

Eenvoud  en  gemak  voor  eindgebruikers:  •  Eén  login  voor  meerdere  applicaAes  •  Inloggen  in  schoolnetwerk  =  ingelogd  in  meerdere  applicaAes  •  Minder  Ajdverspilling  in  de  les  aan  ‘inlogproblemen’  •  Mogelijkheid  om  van  buiten  het  schoolnetwerk  te  benaderen  

Eenvoud  en  gemak  voor  beheerders:  •  Centraal  wachtwoordbeheer  voor  meerdere  applicaAes  (in  AD)  •  Eenvoudig  toegang  ontzeggen  voor  meerdere  applicaAes  •  Eenduidig  wachtwoordbeleid  •  Minder  meldingen  “Ik  ben  m’n  wachtwoord  vergeten”  

Hoe werkt het? [1|4]

Hoe werkt het? [2|4]

Hoe werkt het? [3|4]

Firewall  Firewall  

Internet  DMZ  Schoolnetwerk  

AD   AD  FS   AD  FS-­‐Proxy   itslearning   Thuis  

Hoe werkt het? [4|4]

Internet  DMZ  Schoolnetwerk  

Scenario  1:  itslearning  wordt  benaderd  vanuit  schoolnetwerk  

Scenario  2:  itslearning  wordt  benaderd  vanuit  thuis  

Firewall  AD  FS-­‐Proxy   itslearning  AD  FS   AD  Werkplek   Firewall  

Te maken keuzes

•  Welke  inlog  methode?  

•  Welke  ‘koppelingsvelden’?  

Keuze: Welke inlog methode?

eLogin  Aanmelden  met  AD-­‐account  

eLogin  Aanmelden  met  keuze  

eLogin  en  backdoor  Aanmelden  met  AD-­‐account  

En  voor  beheerders  aanmelden  met  itslearning-­‐account  

Keuze: Welke ‘koppelingsvelden’?

IdenAficaAe  in  AD:  •  Username  •  E-­‐mailadres  •  sAMAccountName  

IdenAficaAe  in  itslearning:  •  Gebruikersnaam  •  E-­‐mail  adres  •  SynchronisaAesleutel  •  Aangepast  veld  

(ePPN@domeinnaam.nl)  

iden%fica%e  in  AD  

iden%fica%e  in  itslearning  

Voorwaarden

De  voorwaarden  om  de  eLogin  module  van  itslearning  te  kunnen  gebruiken,  zijn:    •  De  interne  (school)  infrastructuur  en  ADFS  is  ingericht  

conform  de  vereisten  van  Microso<.  •  Er  is  een  commercieel  schooldomein  cerAficaat  aanwezig.  •  Er  kan  een  ‘claim  rule’  samengesteld  worden  obv  een  veld  in  

de  AD  en  een  veld  in  itslearning.  Maw:  deze  velden  hebben  dezelfde  waarde.  

De procedure in 5 stappen

1:  Intake  (keuzes,  documentaNe)  (door  itslearning  en  school)  

2:  ADFS  configureren  (door  school)  

3:  Inrichten  test  omgeving  (door  itslearning)  

4:  AcceptaNe  test  (door  school)  

5:  In  producNe  name  (door  itslearning)  

Vragen?

Mogelijke vervolgstappen

U  wilt  de  presentaAe  nogmaals  zien:  

www.slideshare.net/itslearningNL    U  hee<  nog  aanvullende  vragen:  

vincent.ho<e@itslearning.com    U  wilt  een  vrijblijvende  offerte:  

vincent.ho<e@itslearning.com    

Nog een webinar volgen?

www.itslearning.nl/webinars-­‐workshops