OpenID Connect configureren

Referentielijsten ondersteunt Single Sign On (SSO) via het OpenID Connect protocol (OIDC) voor de beheerinterface.

Gebruikers kunnen op die manier inloggen op Referentielijsten met hun account bij de OpenID Connect provider. In deze flow:

  1. Klikt een gebruiker op het inlogscherm op Inloggen met organisatie account

  2. De gebruiker wordt naar de omgeving van de OpenID Connect provider geleid (bijv. Keycloak) waar ze inloggen met gebruikersnaam en wachtwoord (en eventuele Multi Factor Authentication)

  3. De OIDC omgeving stuurt de gebruiker terug naar Referentielijsten (waar de account aangemaakt wordt indien die nog niet bestaat)

  4. Een beheerder in Referentielijsten kent de juiste groepen toe aan deze gebruiker als deze voor het eerst inlogt.

Note

Standaard krijgen deze gebruikers geen toegang tot de beheerinterface. Deze rechten moeten door een (andere) beheerder ingesteld worden. De account is wel aangemaakt.

Configureren van OIDC zelf

Contacteer de IAM beheerders in je organisatie om een Client aan te maken in de omgeving van de OpenID Connect provider.

Voor de Redirect URI vul je https://referentielijsten.gemeente.nl/oidc/callback in, waarbij je referentielijsten.gemeente.nl vervangt door het relevante domein.

Aan het eind van dit proces moet je de volgende gegevens hebben (on premise):

  • Server adres, bijvoorbeeld login.gemeente.nl

  • Client ID, bijvoorbeeld a7d14516-8b20-418f-b34e-25f53c930948

  • Client secret, bijvoorbeeld 97d663a9-3624-4930-90c7-2b90635bd990

Configureren van OIDC in Referentielijsten

Het configureren van OIDC in referentielijsten kan via Referentielijsten configuration (CLI).

Providersreferentie

ADFS (on premise)

Voor on premise ADFS heeft de discovery URL meestal de vorm: https://login.gemeente.nl/adfs. (.well-known is automatisch toegevoegd)

Azure AD

Azure Active Directory is een cloud-hosted identity provider van Microsoft, onderdeel van Azure webservices.

om AAD als OIDC provider te gebruiken, is een tenant ID nodig, meestal als UUID v4. De tenant id wordt gebruikt in de discovery url: https://login.microsoftonline.com/${tenantId}/v2.0. (.well-known is automatisch toegevoegd)

Keycloak

Keycloak is a multi-tenant IDP die zelf ander IDP’s kan configureren

Om Keycloak te kunnen gebruiken, is de realm nodig. De discovery URL heeft de vorm: https://keycloak.gemeente.nl/auth/realms/${realm}. (.well-known is automatisch toegevoegd)