1. Aansluiten op SURFconext (OpenID Connect/SAML)

De (gast)gebruikers gaan via SURFconext inloggen. Als ook gebruikers van de eigen instelling inloggen zal een keuzescherm (WAYF) worden getoond aan de gebruiker. 

  • Check of de applicatie het OpenID Connect of SAML-protocol ondersteunt. 
  • Zorg dat de applicatie is aangesloten op SURFconext (zie How to connect your service)
  • Zorg dat de applicatie binnen SURFconext is gekoppeld aan de juiste identityprovider (in veel gevallen die van je eigen instelling en daarnaast eduID).

Heb je hier vragen over, mail dan naar support@surfconext.nl.

2. Manier van provisioning bepalen

Provisioning is het doorgeven van de inloggegevens van de gebruikers aan de applicatie. Dit kan op verschillende manieren gebeuren. Wat de beste manier is, is sterk afhankelijk van de mogelijkheden van de applicatie.

  1. SCIM: Hiermee worden direct berichten naar de applicatie of het IdM-systeem van de instelling gestuurd, met daarin de informatie om gebruikers aan te maken of verwijderen. Ook de rol van de gebruiker wordt direct doorgegeven. Met deze informatie maakt de applicatie of het IdM systeem een gebruiker aan in de applicatie(s), en geeft hem de juiste rechten. Door deze berichten direct te verwerken, kan de gebruiker meteen na het accepteren van de uitnodiging zonder extra inloggen de applicatie gebruiken.
  2. Met SURFconext Autorisatieregels kan het inloggen op een applicatie worden beperkt tot gebruikers die lid zijn van een rol in SURFconext Invite. De informatie over de rol(len) van een gebruiker in de applicatie kan bij het inloggen worden doorgegeven in het inlogbericht, zodat de applicatie direct een profiel voor de gebruiker aan kan maken, en de juiste rechten toe kan kennen.
  3. Gebruiker als externe identiteit aan te maken in de AzureAD van de instelling. Hiervoor wordt een serviceaccount gebruikt met toegang tot de Graph API. Het is op dit moment alleen mogelijk om gebruikers aan te maken; nog niet om rollen of rechten toe te kennen. Single Sign On zal alleen werken als de gebruiker de uitnodiging accepteert met een account uit een andere Microsoft Tenant.
  4. Just-in-time provisioning door de applicatie. Hierbij maakt de applicatie zelf de gebruiker aan op het moment dat die voor het eerst 'binnenkomt', op basis van de attributen die over de gebruiker meekomen bij het inloggen, waaronder diens rol(len).

Developmentdocumentatie van SURFconext Invite

In de developmentdocumentatie van SURFconext Invite vind je bijvoorbeeld informatie over SCIM, met een voorbeeld-endpoint. En je leest er meer over de developmentstatus van de dienst.

3. Neem contact op met SURFconext

Heb je de manier van provisioning bepaald, neem dan contact op met SURFconext via support@surfconext.nl. We bespreken dan wat je aan ons moet aanleveren om SURFconext Invite voor je instelling in gebruik te nemen.

Als je gaat provisionen via SCIM, lever dan het volgende aan ons aan:

  • URL van je SCIM endpoint
  • gebruikersnaam van de SCIM user
  • wachtwoord van de SCIM user

Testen met SURFconext Invite

Er is een testomgeving beschikbaar voor het testen van de applicatie en de provisioning: https://invite.test.surfconext.nl/

Je hebt daarvoor een paar dingen nodig:

  • Een test-identityprovider van je instelling bij SURFconext
  • Een testversie van de webapplicatie die je met SURFconext Invite wilt ontsluiten

Heb je dat (nog) niet, neem dan contact op met support@surfconext.nl als je hiermee aan de slag wilt.


  • No labels