You are on page 1of 3

24 TOPDESK MAGAZINE - JUNI 2015

Patrick Mackaaij
is cordinator informatievoorziening. Hij is gespecialiseerd in
technische vraagstukken en het optimaliseren van processen.

AUTOMATISCH
INLOGGEN MET SAML
Verschillende inlognamen en wachtwoorden voor diverse
applicaties zijn een alledaagse ergenis voor eindgebruikers. Met
SAML (Security Assertion Markup Language) kunt u automatisch
inloggen faciliteren (via het zogeheten single sign-on-principe)
voor zowel medewerkers als klanten en partners. Zij hoeven
zo maar n keer in te loggen en kunnen daarna naadloos
gebruikmaken van bedrijfsapplicaties, zelfs via internet.

Wat is SAML?

De eindgebruiker kan met dezelfde inloggegevens terecht in alle bij

SAML is een technische standaard die automatisch inloggen

single sign-on betrokken applicaties. Een voordeel van SAML is dat

vereenvoudigt. Applicaties besteden het afhandelen van het inloggen

betrokken applicaties zelf geen inloggegevens bewaren. In de praktijk

uit aan een zogenaamde Identity Provider (IdP).

bewaren applicaties inloggegevens namelijk regelmatig onvoldoende

Zodra een eindgebruiker wil inloggen op een applicatie, stuurt

veilig gecodeerd in de eigen database. Er verschijnen dan ook

de applicatie de eindgebruiker door naar een IdP om het inloggen

geregeld berichten in het nieuws over wachtwoorden die door slechte

af te handelen. De IdP indentificeert de gebruiker aan de hand van

beveiliging op straat komen te liggen.

inlognaam, wachtwoord en eventueel een tweede factor zoals een

Voor beheerders is het een voordeel dat inloggen centraal geregeld

code op een smartphone. Daarna geeft de IdP de eindgebruiker onder

is. Een beheerder kan de toegang vanaf n punt voor alle betrokken

water gegevens mee waarmee hij kan inloggen. Als een gebruiker

applicaties blokkeren. Bijvoorbeeld in het geval dat een medewerker uit

recentelijk al heeft ingelogd, willigt de IdP het verzoek direct in. Op die

dienst gaat of een wachtwoord herhaaldelijk verkeerd wordt ingevoerd.

manier ervaart de eindgebruiker applicaties die SAML ondersteunen

Daarnaast kunnen eisen aan de complexiteit van het wachtwoord

als single sign-on.

centraal worden geregeld, evenals het vragen om een tweede factor.

SLIMMER WERKEN

SAML en LDAPS in plaats van VPN

verstoringen op wanneer n van de tussenstappen in de verbinding

Organisaties die het technisch beheer van applicaties uitbesteden

een tijdelijke storing heeft.

aan applicatieleveranciers kiezen vaak voor een VPN-verbinding.

SAML werkt met een beveiligde verbinding via internet, zodat

Deze zogenaamde tunnel faciliteert het automatisch inloggen en

u medewerkers, klanten en partners wereldwijd van single sign-

uitwisselen van gegevens met andere systemen. Bijvoorbeeld in het

on gebruik kunt laten maken, zonder de nadelen van een VPN-

geval van TOPdesk SaaS. Het opzetten en onderhouden van een VPN-

verbinding. Eventuele gegevensuitwisseling zoals het importeren van

verbinding kost echter tijd. Voor zowel het installeren als het achteraf

contactgegevens kan vaak op een andere manier worden geregeld,

wijzigen van de installatie is afstemming nodig tussen uw organisatie

bijvoorbeeld via het stabiele en veilige netwerkprotocol LDAPS.

en de applicatieleverancier. Daarbij is de tunnel tijdens onderhoud

LDAPS is veiliger dan VPN. In het geval van een VPN-verbinding

tijdelijk niet beschikbaar. Denk maar eens aan het veranderen van

kan de communicatie tussen de eindgebruiker of de tunnel aan de

de pre-shared key (het wachtwoord van de verbinding) die door alle

ene kant en de tunnel of server aan de andere kant onversleuteld

bijkomende ongemakken in de praktijk maar zelden wordt gewijzigd.

plaatsvinden. LDAPS versleutelt de hele verbinding van eindgebruiker

In het dagelijks gebruik levert een VPN-verbinding regelmatig kleine

tot server. Waar korte wachtwoorden met VPN gebruikelijk zijn,

26 TOPDESK MAGAZINE - JUNI 2015

Colofon
beslaat de door LDAPS gebruikte SSL-sleutel bovendien diverse regels met allerlei tekens

TOPdesk Magazine downloaden?

door elkaar heen.

Ga naar www.scribd.com/topdesk

Qua veiligheid voor uw netwerk kent bijvoorbeeld het veelgebruikte Microsoft Active
Directory al sinds Windows Server 2008 de mogelijkheid een Read Only Domain Controller

TOPdesk Magazine, ht servicemanagement-

aan internet te koppelen. Deze server kunt u verder beveiligen door alleen verbindingen

platform van Nederland, behandelt

vanaf specifieke IP-adressen naar specifieke poortnummers toe te staan. Eventueel kunt u

onderwerpen die spelen in de wereld van

middels stateful inspection het verkeer naar de Domain Controller beperken.

professionele servicedesken bij IT-, facilitaire,

Gebruikt u op dit moment een VPN-verbinding met TOPdesk SaaS? Neem dan contact
op met uw TOPdesk-accountmanager om de mogelijkheden te bespreken.

Aan de slag met SAML

HR- en overige dienstverlenende organisaties.


TOPdesk Magazine is bedoeld voor managers,
servicedeskmedewerkers, facilitaire
medewerkers, gemeenteloket-medewerkers en

Active Directory Federation Services (AD FS) van Microsoft kan fungeren als IdP voor

iedereen die in de dagelijkse praktijk te maken

SAML. Dit is ook het geval bij het door Microsoft gehoste Azure Active Directory, waarvan

heeft met het ondersteunen van klanten.

u de voor TOPdesk benodigde instellingen terugvindt in de documentatie van Microsoft:

Daarbij gaat het zowel om de processen als

http://bit.ly/1FSauGg.

de techniek achter de dienstverlening.

Heeft u nog geen IdP of is uw Active Directory nog niet ingericht om als zodanig te

TOPdesk Magazine is een uitgave van TOPdesk,

fungeren? Dan kunt u voor het inrichten een beroep doen op een organisatie die

+31 (0)15 270 09 00, info@topdesk.com

netwerkbeheer levert, zoals onze zusterorganisatie OGD, of op QS solutions, een partij die
eveneens ervaring heeft met deze constructie.

Hoofdredactie: Milou Snaterse, Nicola van


de Velde

TOPdesk ondersteunt SAML 2.0 vanaf versie 5.5. Om SAML te kunnen gebruiken, dient

Redactionele medewerkers: Nienke Deuss,

uw TOPdesk-omgeving bereikbaar te zijn via het SSL-protocol. Dat kan via een proxy of

Stefanie Klaassen, Milou Snaterse, Luke van

rechtstreeks, zoals op de Help & Support-website van TOPdesk gedocumenteerd:

Velthoven

http://bit.ly/1FlSGTD.

Aan dit nummer werkten mee: Lukke van


Bemmel, Wes Heemskerk, Fiona IJkema,

Daarnaast heeft u de TOPdesk-licentie webauthenticatie nodig, evenals enkele dagen

Patrick Mackaaij, Wolter Smit

consultancy voor het inrichten van de SAML-koppeling. Lees hierover meer in de volgende

Vormgeving: Louise van der Laak, Joost Knuit

documentatie op de Help & Support-website: http://bit.ly/1AiBTSm.

Fotograe: Menno van der Bijl, Aad


Hoogendoorn

Onze consultants kunnen u ook helpen bij het updaten van uw TOPdesk-omgeving. Neem

Eindredactie: Milou Snaterse

contact op met uw TOPdesk-accountmanager om de mogelijkheden te bespreken.

Adverteren? In TOPdesk Magazine is ruimte


voor advertenties en advertorials. Meer
informatie: redactie@topdesk.nl
Oplage: 10.000 exemplaren
Verschijningsfrequentie: 4 x per jaar
Talen: Nederlands, Engels
Copyright 2015 TOPdesk. Hoewel dit
tijdschrift met de grootst mogelijke zorg
is samengesteld, aanvaarden schrijver(s)
noch uitgever enige aansprakelijkheid voor
schade ontstaan door eventuele fouten en/of
onvolkomenheden in deze uitgave.