Wanneer je Microsoft Entra ID (voorheen Azure Active Directory) als Identity Provider wilt koppelen aan SURFconext, kun je gebruikmaken van de SURFconext-applicatie in de Azure Marketplace. Deze applicatie (beschikbaar als enterprise application of gallery application) helpt je bij het automatisch configureren en testen van de basisverbinding tussen Entra ID en SURFconext.

Na deze initiële configuratie is meestal nog aanvullende handmatige afstemming nodig, zodat de koppeling optimaal aansluit bij de specifieke kenmerken van jouw instelling en de gebruikte brongegevens.

Microsoft heeft hiervoor een handleiding gepubliceerd. Hieronder vind je een samenvatting van de belangrijkste stappen voor het gebruik van deze applicatie. Klik op de schermafbeeldingen voor een vergroting. Voor meer details over specifieke configuraties, zoals het instellen van attributen, verwijzen we naar de uitgebreide handleiding in deze wiki.

SURFconext gallery app configureren

Bepaal of je gaat aansluiten op SURFconext TEST of SURFconext productie.

Zoek de gallery app op in Azure.

  1. Ga naar Entra ID -> Bedrijfstoepassingen -> Alle toepassingen en zoek op SURFconext. Klik SURFconext aan.

  2. In het linker menu, klik op Eenmalige aanmelding (Single Sign On) en kies voor "SAML".
  3. Doorloop nu de weergegeven stappen zoals hieronder aangegeven, van 1 tot 5.



Stap 1: URL's configureren.

Bij (1), klik op het potloodje. In het nieuwe scherm, vul de bovenste drie settings in. Bij "Patterns" staan de URLs voor de twee omgevingen

De waarde voor de eerste drie settings kun je invullen volgens onderstaande tabel afhankelijk van op welke SURFconext-omgeving je aan het aansluiten bent. Bij Patterns staan de opties per veld nogmaals gegeven. Zie ook de schermafbeelding hiernaast.

RelayState en Logout URL kunnen leeggelaten worden.

Sla het formulier op met de diskette bovenaan en sluit dit scherm met het kruisje.



VeldWaarde SURFconext TESTWaarde SURFconext productie
Entity-IDhttps://engine.test.surfconext.nl/authentication/sp/metadatahttps://engine.surfconext.nl/authentication/sp/metadata

Antwoord-URL
(Assertion Consumer Service URL)

https://engine.test.surfconext.nl/authentication/sp/consume-assertionhttps://engine.surfconext.nl/authentication/sp/consume-assertion
Aanmeldings-URL
(Sign On URL)		https://engine.test.surfconext.nl/authentication/sp/debug

https://engine.surfconext.nl/authentication/sp/debug



Stap 2: Attributen instellen


Bij (2) stel je de basisset attributen in. Klik op het potloodje.

  1. Controleer of de standaard claims overeenkomen met de waarden die je wilt gebruiken voor de gegeven attributen.
  2. Verwijder de vier attributen onder "Optional attributes".

Dit is een basisset attributen. Het is niet gezegd dat dit de correcte of optimale configuratie is voor elke instelling. Je kunt deze (nu of later) aanpassen afhankelijk van welke bronattributen je graag wilt gebruiken, of extra attributen toevoegen, al dan niet na overleg met het SURFconext-team.




De configuratie van het attribuut schacHomeOrganization (domeinnaam van de instelling, b.v. "uniharderwijk.nl") kan helaas niet automatisch. Deze moet handmatig ingesteld worden middels een claim transformatie.  Zo haal je het domeinnaamdeel uit een ander attribuut, bijvoorbeeld de UPN:

    1. Verwijder eventueel een bestaande claim "urn:mace:terena.org:attribute-def:schacHomeOrganization" uit de lijst
    2. Klik op Nieuwe claim toevoegen
    3. Zet Naam op "urn:mace:terena.org:attribute-def:schacHomeOrganization", type op Transform
    4. In het nieuwe scherm, kies type Extract(), en laat de defaultopties staan
    5. Als Kenmerknaam, kies user.principalname (of ander attribuut dat eindigt op de domeinnaam van de instelling)
    6. Als Waarde, geef "@" en kies opslaan.

Stap 3:  Metadata aan SURFconext verstrekken

Geef de in stap (3) aangegeven "App-url voor federatieve metadata-gegevens" (App Federation Metadata Url) door aan het SURFconext-team via support@surfconext.nl en vermeld de omgeving (test of productie) van SURFconext waarop je wilt aansluiten. SURFconext registreert jullie metadata en stuurt instructies hoe verder te gaan. 


Stap 4: Kun je overslaan

Deze gegevens zitten in al de metadata-URL uit stap 3.

Stap 5: Configuratie testen

Gebruik vervolgens de knop in stap 5, Test, om de login te testen. SURFconext meldt je of het succesvol was en je krijgt direct feedback op de attributen die je levert.

De basisconfiguratie is hiermee rond! Hierna kun je de attributenset verder verbeteren afhankelijk van de inrichting van je eigen directory en processen.