Versions Compared

Old Version 13

changes.mady.by.user Bart Geesink

Saved on

compared with

New Version Current

changes.mady.by.user Pieter van der Meulen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Update example to 2023 key

...

Voor bijvoorbeeld de IdP SURFnet BV en de SP "SURFfilesender | SURF" maakt de volgende deeplink een IdP-geïnitieerde login mogelijk:

https://engine.surfconext.nl/authentication/idp/unsolicited-single-sign-on/key:20230503/ba573f07093978e3852ddef0d2465b84?sp-entity-id=https://filesender.surf.nl/simplesaml/module.php/saml/sp/metadata.php/default-sp

Deze link bestaat uit de basis:

https://engine.surfconext.nl/authentication/idp/unsolicited-single-sign-on/key:20230503/IdP-key?sp-entity-id=SP-connection-ID

...

  • Ga naar https://metadata.surfconext.nl/idps-metadata.xml
  • Zoek hier op de instelling van je keuze

  • Kijk vervolgens bij SingleSignOnService

    Warning
    titleLet Op!

    Deze IdP-key verandert als de entity-ID van je IdP wijzigt, bijvoorbeeld na een migratie van de software. De oude link zal dan niet meer werken.

SP-connection-ID

De "SP-connection-ID van de SP is iets moeilijker te vinden.

...

" moet het EntityID van de gewenste Service Provider zijn. Deze vind je in SURFconext IdP Dashboard. Zoek de betreffende Service Provider op. Je vindt de benodigde entityID (een URL) in het blauw direct onder de naam van de aanbieder van de dienst. In het voorbeeld hieronder is het "https://filesender.surf.nl/simplesaml/module.php/saml/sp/metadata.php/default-sp".

Image Added

Kijk tenslotte bij de code na <saml:Issuer>

...


Optionele configuratie

Indien de SP hier iets mee kan, kan ook een "&RelayState=" parameter toegevoegd worden met een voor de SP relevante waarde.

...

https://engine.surfconext.nl/authentication/idp/unsolicited-single-sign-on/key:20181213/IdP-key?sp-entity-id=SP-connection-ID

OpenID Connnect

Op het OpenID Connect kun je op dezelfde manier direct een IdP benaderen en de WAYF overslaan. Hiervoor doe je een standaard authorize request, met de extra parameter: idp-single-sign-on met als waarde de IdP-Key. In het voorbeeld van hierboven zou dat er dan zo uit zien:

https://oidc.surfconext.nl/authorize?response_type=code&client_id=https@//clientid_van_client&scope=openid&state=example&redirect_uri=https://redirect.url.van.client/redirect&idp-single-sign-on=ba573f07093978e3852ddef0d2465b84