Koppelen met TVS 4

Gemaakt door Mark Duijkers, Gewijzigd op Do, 5 Jan, 2023 om 9:55 AM op Mark Duijkers

TVS is een routeringsvoorziening die je kan gebruiken om met eHerkenning, DigiD, eIDAS en nog meer zaken te koppelen via een koppeling vanuit TripleForms.

Inrichten authenticatie Broker

Maak een nieuwe koppeling aan, bijvoorbeeld TVS4

Stap 1 general tab

Stap 2 Identity Provider tab

Laadt de IDP metadata in. Druk op load IDP Metadata ( krijg je een foutmelding dat het certificaat niet ingeladen kan worden, draai dan de settings tool als administrator)

Stap 3 Service Provider tab

Stem het Entity ID af met TVS wat deze moet zijn
Vul bij Service Provider je OIN in
Sevice Certificate een PKI-O Private service G1 certificaat ( zorg ervoor dat je rechten hebt op de private key met de application pool)
Privacy url mag een url zijn
ACS mag artefact or Post zijn, meer info zie TriplEforms authenticatie SAML module uitleg (technisch)
Vink aan Use Index instead of URL in AuthNrequest. Dit index nummer verwijst naar de metadata AssertionConsumerService. Deze is default 1. Vul dus 1 in.

Stap 4 Organization tab

Vul de gegevens in

Stap 5 Services tab

TVS doet niks met de gegevens in de service behalve het index nr, het loa en een request attribuut. Onze software wilt wel dat je de gegevens invult.

Voeg een service toe

Belangrijk is het dus Service Index nummer en Level of Assurance

Voeg nu een Request attribuut toe

Name: urn:nl-eid-gdi:1.0:ServiceUUID

Waarde: deze krijg je van TVS en verwijst naar een serviceUUID (binnen eherkennig stond dit in de servicecatalog) bekend binnen TVS.

Stap 6 Geneer je metadata en stuur deze op naar TVS

De metadata lijkt op onderstaand;

<md:EntityDescriptor ID="_2a1064b8-c8a0-4b51-bee3-6628213e51dc" entityID="urn:nl-eid-gdi:1.0:DV:00000003080794300000:entities:9000" cacheDuration="PT1H" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        <SignedInfo>
            <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <Reference URI="#_2a1064b8-c8a0-4b51-bee3-6628213e51dc">
                <Transforms>
                    <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
                    <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                </Transforms>
                <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <DigestValue></DigestValue>
            </Reference>
        </SignedInfo>
        <SignatureValue></SignatureValue>
        <KeyInfo>
            <X509Data>
                <X509Certificate></X509Certificate>
            </X509Data>
        </KeyInfo>
    </Signature>
    <md:SPSSODescriptor AuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:KeyName></ds:KeyName>
                <ds:X509Data>
                    <ds:X509Certificate></ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </md:KeyDescriptor>
        <md:KeyDescriptor use="encryption">
            <ds:KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:KeyName></ds:KeyName>
                <ds:X509Data>
                    <ds:X509Certificate></ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </md:KeyDescriptor>
        <md:ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/Ars" index="0"/>
        <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/Logout"/>
        <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/Logout"/>
        <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/SOAPLogout"/>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/Acs" index="0" isDefault="false"/>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://rd.kodision.nl/dictuTVS4/Saml2/TVS4/Acs" index="1" isDefault="true"/>
        <md:AttributeConsumingService index="0" isDefault="true">
            <md:ServiceName xml:lang="en">service1</md:ServiceName>
            <md:RequestedAttribute Name="urn:nl-eid-gdi:1.0:ServiceUUID" isRequired="false">
                <saml2:AttributeValue>5a595753-5248-3143-4f44-575343574f50</saml2:AttributeValue>
            </md:RequestedAttribute>
        </md:AttributeConsumingService>
    </md:SPSSODescriptor>
    <md:Organization>
        <md:OrganizationName xml:lang="nl">Kodision</md:OrganizationName>
        <md:OrganizationDisplayName xml:lang="nl">Kodision</md:OrganizationDisplayName>
        <md:OrganizationURL xml:lang="nl">https://www.kodision.nl/</md:OrganizationURL>
    </md:Organization>
    <md:ContactPerson contactType="technical">
        <md:GivenName></md:GivenName>
        <md:SurName></md:SurName>
        <md:EmailAddress></md:EmailAddress>
        <md:TelephoneNumber>+31 (0)26 365 356 0</md:TelephoneNumber>
    </md:ContactPerson>
</md:EntityDescriptor>