Als je Entra ID (voorheen Azure AD) wilt koppelen als Identity Provider aan SURFconext, dan kun je dat doen op basis van de "enterprise application" of "gallery application" van SURFconext binnen Azure: SURFconext op Azure Marketplace.

Deze app helpt je de basiskoppeling te configureren en te testen. Daarna is er nog wat handmatige fijnafstelling nodig om de koppeling te laten aansluiten bij de specifieke omstandigheden en brongegevens van je instelling.

Microsoft heeft een handleiding beschikbaar gesteld hoe deze app te gebruiken.

Hieronder een samenvatting van het specifieke gebruik van deze app. Klik op de schermafbeeldingen voor een vergroting. Voor meer detailinformatie over de verschillende stappen, of het configureren van bepaalde attributen, zie de in deze wiki bovenliggende handleiding voor details.

SURFconext gallery app configureren

Bepaal of je gaat aansluiten op SURFconext TEST of SURFconext productie.

Zoek de gallery app op in Azure.

  1. Ga naar Azure Active Directory -> Bedrijfstoepassingen -> Alle toepassingen en zoek op SURFconext. Klik SURFconext aan.

  2. In het linker menu, klik op Eenmalige aanmelding (Single Sign On) en kies voor "SAML".
  3. Doorloop de weergegeven stappen van 1 tot 5.


Stap 1: URL's configureren.

Bij (1), klik op het potloodje. In het nieuwe scherm, vul de bovenste drie settings in. Bij "Patterns" staan de URLs voor de twee omgevingen

De waarde voor de eerste drie settings kun je invullen volgens onderstaande tabel afhankelijk van op welke SURFconext-omgeving je aan het aansluiten bent. Bij Patterns staan de opties per veld nogmaals gegeven. Zie ook de schermafbeelding hiernaast.

RelayState en Logout URL kunnen leeggelaten worden.

Sla het formulier op met de diskette bovenaan en sluit dit scherm met het kruisje.


Stap 2: Attributen instellen

Bij (2) stel je de basisset attributen in. Klik op het potloodje.

  1. Controleer of de standaard claims overeenkomen met de waarden die je wilt gebruiken voor de gegeven attributen.
  2. Verwijder de vier attributen onder "Optional attributes".

Dit is een basisset attributen. Het is niet gezegd dat dit de correcte of optimale configuratie is voor elke instelling. Je kunt deze (nu of later) aanpassen afhankelijk van welke bronattributen je graag wilt gebruiken, of extra attributen toevoegen, al dan niet na overleg met het SURFconext-team.

De configuratie van het attribuut schacHomeOrganization (domeinnaam van de instelling, b.v. "uniharderwijk.nl") kan helaas niet automatisch gebeuren door Microsoft. Deze moet handmatig ingesteld worden middels een claim transform, waarbij het domeinnaamdeel uit een ander attribuut wordt gehaald, bijvoorbeeld de UPN:

    1. Verwijder eventueel een bestaande claim "urn:mace:terena.org:attribute-def:schacHomeOrganization" uit de lijst
    2. Klik op Nieuwe claim toevoegen
    3. Zet Naam op "urn:mace:terena.org:attribute-def:schacHomeOrganization", type op Transform
    4. In het nieuwe scherm, kies type Extract(), en laat de defaultopties staan
    5. Als Kenmerknaam, kies user.principalname (of ander attribuut dat eindigt op de domeinnaam van de instelling)
    6. Als Waarde, geef "@" en kies opslaan.


Stap 3:  Metadata aan SURFconext verstrekken

Geef de in stap (3) aangegeven "App-url voor federatieve metadata-gegevens" (App Federation Metadata Url) door aan het SURFconext-team via support@surfconext.nl en vermeld de omgeving van SURFconext waarop je wilt aansluiten. SURFconext registreert je metadata en meldt dit terug.


Stap 4: Kun je overslaan

Deze gegevens zitten in al de metadata-URL uit stap 3.

Stap 5: Configuratie testen

Gebruik vervolgens de knop in stap 5, Test, om de login te testen. SURFconext meldt je of het succesvol was en je krijgt direct feedback op de attributen die je levert.

De basisconfiguratie is hiermee rond. Hierna kun je de attributenset verder verbeteren afhankelijk van de inrichting van je eigen directory en processen.






  • No labels