DigiD* Eenmalig inloggen

Installatiehandleiding voor DigiD Eenmalig Inloggen www.novell.com Novell Access Manager configuratie voor DigiD* Eenmalig inloggen Published: Maart 2011

Disclaimer Novell, Inc. makes no representations or warranties with respect to the contents or use of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Trademarks Novell is a registered trademark of Novell, Inc. in the United States and other countries. * All third-party trademarks are property of their respective owners. Copyright 2011 Novell, Inc. All rights reserved. No part of this publication may be reproduced, photocopied, stored on a retrieval system, or transmitted without the express written consent of Novell, Inc. Novell, Inc. 404 Wyman Street Waltham Massachusetts 02451 USA Novell Nederland BV Papendorpseweg 65 3528 BJ Utrecht The Netherlands Auteur Hans-Robert Vermeulen Novell Access Manager Installatiehandleiding voor DigiD Eenmalig Inloggen Maart 2011

Inhoud 1 Inleiding... 1 1.1 Wat is DigiD Eenmalig inloggen?...1 1.2 Wat betekent DigiD Eenmalig inloggen voor uw organisatie?...1 1.3 Wat is Federatie?...2 1.4 Meer weten?...2 2 Configuratie van Novell Access Manager voor DigiD Eenmalig inloggen...3 2.1 Stap 1: Certificaten en Trusted roots...3 2.2 Stap 2: Attribute Mapping...8 2.3 Stap 3: Aanpassen van de web.xml op de Access Gateway servers...11 2.4 Stap 4: Een DigiD contract aanmaken...11 2.5 Stap 5: DigiD Eenmalig inloggen toevoegen als IDP...14 2.6 Stap 6: Uw metadata geschikt maken voor DigiD...21 2.7 Stap 7: Laat Logius uw configuratie toevoegen...22 3 Contact... 23 3.1 Hulp nodig?...23 3.2 Opmerkingen?...23 i

Inleiding 1 Inleiding Novell Access Manager is vanaf versie 3.1 SP3 officieel gecertificeerd voor DigiD* Eenmalig inloggen. 1.1 Wat is DigiD Eenmalig inloggen? DigiD Eenmalig inloggen is een nieuwe manier om gebruik te kunnen maken van DigiD. Nieuw aan DigiD Eenmalig inloggen is het gebruik van SAML 2.0, een open standaard op federatief gebied. Logius, de beheerorganisatie van DigiD zegt het volgende over DigiD Eenmalig inloggen: Als burgers achter elkaar bij meerdere overheidsinstellingen diensten afnemen, hoeven zij niet telkens meer opnieuw in te loggen met hun DigiD. Steeds meer overheidsorganisaties maken namelijk gebruik van Eenmalig inloggen. Hiervoor sluiten ze aan op de Eenmalig inloggenfederatie. Een voorbeeld: een gebruiker is met zijn DigiD ingelogd bij webdienst A en gaat daarna gelijk door naar webdienst B. Normaal moet de gebruiker dan nogmaals inloggen met zijn DigiD. Als beide webdiensten gebruikmaken van Eenmalig inloggen hoeft dat niet meer. De gebruiker kan dan gelijk van webdienst A zonder opnieuw in te loggen naar webdienst B gaan. 1.2 Wat betekent DigiD Eenmalig inloggen voor uw organisatie? DigiD Eenmalig inloggen biedt de gebruiker dus grote voordelen en zal mede hierdoor een grote stap voorwaarts betekenen in de adoptie van DigiD. Maar ook voor uw organisatie is DigiD Eenmalig inloggen een grote stap voorwaarts. U hoeft namelijk nog slechts een koppeling met DigiD te maken. Novell Access Manager wordt hierbij als een beveiligingscomponent tussen uw gebruikers en uw diensten (web servers) geplaatst, zoals weergegeven in onderstaande illustratie. Alle toegang tot uw webdiensten wordt dus bewaakt door Novell Access Manager. Waar nodig zal Novell Access Manager de gebruiker vragen om zich bij DigiD aan te melden. Enkel na een Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 1

Inleiding succesvolle authenticatie zal Novell Access Manager toegang verlenen tot de beveiligde gebieden op uw achterliggende webservers. Hierdoor is het dus mogelijk geworden om iedere web applicatie via DigiD te beveiligen en te ontsluiten naar burgers en bedrijven. 1.3 Wat is Federatie? Zoals eerder benoemd is DigiD Eenmalig inloggen een federatieve koppeling. Maar wat is federatie nu werkelijk? In deze context is een federatie is niets anders dan een afspraak tussen twee partijen om gebruikers van partij A (DigiD) toegang te verlenen tot webdiensten van partij B (uw organisatie). Hierbij wordt uitgegaan van een expliciet vertrouwen van elkaars omgeving. Er worden vervolgens afspraken gemaakt over de uit te wisselen gegevens (attributen) van de gebruiker. Een federatie kent twee partijen: De Service Provider (SP) die de dienst levert. De Identity Provider (IDP) die de identiteit levert en de werkelijke authenticatie afhandelt. Binnen de DigiD Eenmalig inloggen-federatie fungeert DigiD dus altijd als IDP en uw organisatie zal altijd als SP fungeren Federatie kent vervolgens nog twee vormen van federatief gebruik: Persistent - Een account aan de IDP kant wordt fysiek gekoppeld aan een account aan de SP kant. Transient - Informatie van de gebruiker is alleen binnen de sessie beschikbaar en volledig gebaseerd op de gegevens die van de IDP kant worden ontvangen. DigiD Eenmalig inloggen maakt gebruik van Transient federatie. De volgende twee attributen worden na een succesvolle authenticatie door de IDP van DigiD Eenmalig inloggen aangeleverd: Het burgerservicenummer Het betrouwbaarheidsniveau Meer gegevens zijn niet beschikbaar en de SP of de achterliggende applicatie is dus zelf verantwoordelijk om additionele gegevens van de gebruiker te achterhalen. 1.4 Meer weten? Meer informatie is te vinden op de volgende websites: Novell Access Manager documentatie Novell Access Manager product informatie Algemene DigiD website DigiD informatie van Logius 2 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

2 Configuratie van Novell Access Manager voor DigiD Eenmalig inloggen Dit hoofdstuk beschrijft de koppeling tussen de testomgeving van DigiD Eenmalig inloggen en Novell Access Manager. Uitgangspunt is een reeds geconfigureerde Novell Access Manager omgeving. Om Novell Access Manager aan DigiD Eenmalig inloggen te koppelen moeten de volgende stappen gezet worden: 2.1 Stap 1: Certificaten en Trusted roots In een federatieve koppeling dienen de partijen (Novell Access Manager en DigiD Eenmalig inloggen) elkaar te vertrouwen. Dit "vertrouwen" is deels gebaseerd op encryptie en signing via certificaten (PKI). Novell Access Manager kan als volgt geconfigureerd worden om de DigiD Identity Provider te vertrouwen. Download de gehele certificaten keten van DigiD. Ga hiervoor in je browser naar https://test.federatie.overheid.nl/ Bekijk de details van het certificaat in je browser. In Firefox kun je hiervoor op het slotje rechtsonder klikken. Op de details tab kun je vervolgens de gehele keten van certificaten bekijken. Exporteer alle certificaten die in het overzicht worden getoond. Als alternatief kunnen de CA certificaten ook gedownload worden vanaf de volgende link: https://www.logius.nl/producten/toegang/pkioverheid/documentatie/certificaten-pkioverheid/ Kies vervolgens binnen Novell Access Manager voor Security / Trusted Roots Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 3

Klik in het "Trusted Roots" scherm op "Import" en importeer stap voor stap alle eerder genoemde certificaten. Zorg dat de naam duidelijk het certificaat beschrijft. Het resultaat moet zijn zoals hieronder weergegeven. De naamgeving kan natuurlijk afwijken. We hebben de certificaten nu beschikbaar binnen Novell Access Manager. De volgende stap is om de Identity Server (die gaat fungeren als SP) deze certificaten te laten vertrouwen. Volg hiervoor de volgende stappen: Kies binnen Novell Access Manager voor Devices / Identity Servers 4 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Selecteer uw Identity Server en klik op de "Edit" link Klik op de "Security" link in het menu onder de "Configuration tab" Klik op de "NIDP Trust Store" link Klik op "Add" en voeg alle Trusted Root certificaten toe die we eerder voor DigiD hebben aangemaakt. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 5

Klik op het icoontje rechts van "Trusted root(s)" Selecteer alle DigiD certificaten en klik op OK. Klik op OK Als alles goed is gegaan zijn de certificaten nu toegevoegd. 6 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Klik nu op "Close" en in het volgende scherm op "OK" Klik op "Update All" en wacht tot de configuratie is uitgevoerd. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 7

2.2 Stap 2: Attribute Mapping Om de beschikbare attributen van DigiD Eenmalig inloggen te kunnen ontvangen moeten we een Attribute Mapping maken. Hiermee kunnen we de DigiD attributen voor Burgerservicenummer en Betrouwbaarheidsniveau beschikbaar maken als ware het lokale LDAP attributen. Kies binnen Novell Access Manager voor Devices / Identity Servers 8 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Klik op de "Shared Settings" tab, selecteer "Custom Attributes" en klik op "New" onder LDAP Attribute Names. Voeg de attributen "burgerservicenummer" en "betrouwbaarheidsniveau" toe. Deze twee attributen zijn nu beschikbaar voor Novell Access Manager. Klik op de optie "Attribute Sets" in het menu en klik op "New" Geef de Attribute set een naam. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 9

Klik op "New" en voeg de volgende mappings toe: Klik op "Finish" om dit deel van de configuratie af te ronden. 10 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

2.3 Stap 3: Aanpassen van de web.xml op de Access Gateway servers De Access Gateway van Novell Access Manager moet in staat gesteld worden om bij een actieve sessie regelmatig een melding naar de Identity Server te sturen, zodat deze een status update richting DigiD Eenmalig inloggen kan initiëren. Hiervoor moeten de volgende gegevens aan de web.xml van de ESP op de Access Gateway worden toegevoegd: <context-param> <param-name>notifysessiontimetoidp</param-name> <param-value>true</param-value> </context-param> Edit het bestand /opt/novell/nesp/lib/webapp/web-inf/web.xml op alle Access Gateway servers Voeg bovenstaande sectie toe aan onder de huidige laatste </context-param> waarde (dus voor de <filter> tag. Met de SP3 release zal het er nu als volgt uit zien:... <context-param> <param-name>devicecfg</param-name> <param-value>nidpdevices.properties</param-value> </context-param> <context-param> <param-name>ldaploadthreshold</param-name> <param-value>10</param-value> </context-param> <context-param> <param-name>notifysessiontimetoidp</param-name> <param-value>true</param-value> </context-param> <filter> <filter-name>nidpjspfilter</filter-name>... Herstart als laatste Tomcat op de Access Gateway servers via het commando "rcnovell-tomcat5 restart" De Access Gateway servers zijn nu voorbereid voor gebruik met DigiD Eenmalig inloggen. 2.4 Stap 4: Een DigiD contract aanmaken Uw Novell Access Manager omgeving is natuurlijk beschikbaar voor meerdere doelgroepen. Niet alleen burgers dus. Om straks in staat te zijn om specifieke doelgroepen toegang te geven tot specifieke resources moeten we ook voor burgers (DigiD gebruikers) een contract aanmaken. Indien een achterliggende resource beveiligd is met dit contract, dan zal de gebruiker gevraagd worden om zich bij DigiD te authenticeren. Kies binnen Novell Access Manager voor Devices / Identity Servers Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 11

Selecteer uw Identity Server en klik op de "Edit" link Selecteer de "Local" tab en kies "Contracts" uit het menu. Selecteer "New" 12 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Geeft het contract een naam, URI (unieke identifier) en selecteer "Satisfiable by External Provider" Selecteer geen Method. Klik op Next en voer de gegevens voor de authentication card in. Opmerking: Om een plaatje te maken voor gebruik in Novell Access Manager is een 113 x 86 pixel afbeelding nodig. Officiële DigiD logos zijn onderdeel van de Toolkit communicatie van Logius, welke te vinden is op: http://www.logius.nl/producten/toegang/digid/documentatie/ Klik op "Apply" Selecteer de "Local" tab en kies "Defaults" uit het menu. Zorg er voor dat de optie "Secure Name Password" een valide contract geselecteerd heeft. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 13

2.5 Stap 5: DigiD Eenmalig inloggen toevoegen als IDP Open een nieuwe browser en ga naar https://test.federatie.overheid.nl/aselectserver/server/saml20_idp_metadata Sla dit bestand op, open het met een tekst editor en kopieer de gehele inhoud naar uw klembord. Let op! Als uw browser de XML inhoud van dit bestand toont en u niet vraagt om dit bestand op te slaan, dient u de pagina bron (source) op te slaan. Nu alle voorbereidende werkzaamheden zijn voltooid moet DigiD Eenmalig inloggen als een IDP worden toegevoegd aan de Novell Access Manager configuratie. Kies binnen Novell Access Manager voor Devices / Identity Servers 14 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Selecteer uw Identity Server en klik op de "Edit" link. Klik op de "SAML 2.0" tab, selecteer "New" en kies voor "Identity Provider" Geef de koppeling een naam, selecteer "Metadata Text" als bron en plak de metadata in het beschikbare veld. Klik op "Next" en verifieer dat het certificaat herkend wordt. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 15

Druk weer op "Next" en vul de gegevens voor de "authentication card" in Klik nu op "Finish" en vervolgens op "Apply" DigiD is nu als een Identity Provider (IDP) toegevoegd aan Novell Access Manager. Klik op de nieuw aangemaakte DigiD IDP voor verdere configuratie. Selecteer "Trust" onder de "Configuration" tab en schakel de optie "Encrypt name identifiers" uit. 16 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Selecteer "Attributes" onder de "Configuration" tab en voeg beide attributen uit de DigiD Attribute set toe. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 17

Selecteer "User Identitfication" onder de "Configuration" tab en selecteer de "Authenticate" optie. Selecteer "Options" onder de "Configuration" tab en configureer als volgt: "Enable front channel logout" Enabled Voeg de volgende opties toe: Property Name: config.aselect.sessionsync.enabled Property value: true Property Name: config.aselect.sessionsync.url Property value: https://test.federatie.overheid.nl/aselectserver/server/saml20_idp_session_sync 18 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Selecteer "Authentication Card" onder de "Configuration" tab en selecteer "Display" uit het menu. Opmerking: Het is het mogelijk om een specifiek authenticatiecontract te kiezen bij de optie "Satisfies Contract". Dit maakt het mogelijk om specifieke, door de Access Gateway beveiligde, resources (web applicaties) altijd via DigiD te laten benaderen. Bij de configuratie van de resource kan gebruik gemaakt worden van het contract dat hier geselecteerd is. Hierdoor wordt de gebruiker gevraagd zich bij DigiD aan te melden als er nog geen valide DigiD sessie is. Selecteer het unieke contract dat u wilt koppelen aan DigiD bij de optie "Satisfies contract". Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 19

Selecteer "Authentication Request" uit het menu en configureer als volgt. Selecteer "Transient", voor de "Name Identifier" Selecteer "Use Types" voor de "Request by" optie Selecteer "Secure Name Password" als het beschikbare type voor authenticatie. Klik op "OK" Klik op "OK" Selecteer "Update All" om de wijzigingen door te voeren. 20 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

2.6 Stap 6: Uw metadata geschikt maken voor DigiD De Aselect server van DigiD kan helaas niet overweg met metadata die zowel gegevens voor een SP als ook een IDP configuratie bevat. Novell Access Manager stelt standaard de metadata beschikbaar voor beide configuraties. Het idee achter de metadata is ook dat een afnemer (DigiD in dit geval) zelf kan selecteren welke onderdelen gebruikt gaan worden. Helaas zullen we dus een extra handeling moeten verrichten om de metadata van Novell Access Manager geschikt te maken voor DigiD. De metadata van uw Identity Server voor het SAML 2.0 protocol is standaard beschikbaar onder de volgende URL: https://<dns.van.uw.idp>:8443/nidp/saml2/metadata Het kan natuurlijk zijn dat u uw Identity Server niet op de standaard poort van 8443 heeft geconfigureerd, maar op poort 443. Dit is aan te bevelen en hoofdstuk 1.5 van de Identity Server documentatie vertelt u hoe u dit kunt configureren. Om uw metadata geschikt te maken voor DigiD moeten de volgende stappen worden doorlopen. Download uw Metadata via de eerder genoemde Metadata URL. Uw browser zal hoogstwaarschijnlijk de metadata tonen. Druk op de rechtermuisknop in het browservenster en kies voor "view page source" of "Bron weergeven" U dient de volledige bron op te slaan als een xml bestand. Bijvoorbeeld <mijnidpnaam>_saml2.0_metadata.xml Open dit bestand in een tekst editor. Gebruik liever wordpad dan notepad. Verwijder het complete <md:idpssodescriptor> gedeelte. Gooi dus alles tussen de tags <md:idpssodescriptor> en </md:idpssodescriptor> weg en verwijder ook de <md:idpssodescriptor> en </md:idpssodescriptor> tags zelf. Let op gooi dus niet de <md:spssodescriptor> weg! Sla het bestand op. Maak dit bestand beschikbaar als een public resource achter uw Access Gateway server. Het wordt hiermee een publiekelijk beschikbare resource en de DigiD beheerder bij Logius kan daar uw Metadata ophalen. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 21

2.7 Stap 7: Laat Logius uw configuratie toevoegen Neem contact op met Logius voor aansluiting op de testomgeving en laat logius uw Identity Server als een Service Provider toevoegen. Hiervoor heeft Logius ondermeer uw Metadata URL nodig die u zojuist heeft aangemaakt. Meer informatie over het aansluiten op DigiD Eenmalig inloggen is te vinden op de website van Logius. 22 Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen

Contact 3 Contact 3.1 Hulp nodig? Indien u ondersteuning wenst bij het ontwerp of de installatie van uw Novell Access Manager omgeving voor DigiD, dan kunt u terecht bij Novell Consulting, of bij een van onze gecertificeerde Novell partners. Voor meer informatie kunt u contact opnemen met Novell Nederland B.V. via telefoonnummer 030-299 5000, of stuur een email naar contact-nl@novell.com. 3.2 Opmerkingen? Heeft u overige vragen of opmerkingen over dit document? Stuurt u dan een email naar hvermeulen@novell.com met een duidelijke verwijzing naar de Novell Access Manager DigiD koppeling. Novell Access Manager - Installatiehandleiding voor DigiD Eenmalig Inloggen 23