# SAML 2.0

# Inleiding

Dit boek beschrijft de procesmatige realisatie van een federatie tussen een Service Provider (SP) en een Identity Provider (IdP) via het Security Assertion Markup Language 2.0 (SAML 2.0) protocol.

# Verantwoordelijkheden

De aanvrager is gemandateerd om namens de applicatie eigenaar een federatie tussen de Service Provider en Identity Provider aan te vragen. De applicatie eigenaar is formeel eindverantwoordelijk en dient zelf een functioneel en technisch team aan te stellen voor werkzaamheden aan de Service Provider die voortvloeien uit de totstandkoming van deze federatie.

Voor het in stand houden van een federatie moet de metadata periodiek worden ververst. Een belangrijk onderdeel is het certificaat van de applicatie. Dit certificaat wordt gebruikt voor ondertekening van het berichtenverkeer. Deze certificaten hebben meestal een houdbaarheid van 1 tot 2 jaar en moeten daarom periodiek vernieuwd worden. Het is aan de verantwoordelijke van de applicatie om de vervaldatum in de gaten te houden en de certificaten tijdig te vervangen. Stem de vervanging tijdig af met het Identity and Access Management (IAM) team via de ITS Servicedesk. Ook andere wijzigingen in de metadata aan de kant van de applicatie moeten worden afgestemd met het IAM team. Soms zijn er ook wijzigingen aan de kant van de Identity Provider. In dat geval neemt het IAM team contact op met de aangewezen functioneel beheerder(s) van de applicatie.

Het IAM team communiceert niet direct met leveranciers. Contact met een leverancier over de federatie dient te allen tijde via een medewerker van de Universiteit Utrecht te verlopen. Dit kan de applicatie eigenaar dan wel een functioneel beheerder zijn.

# Authenticatie & Autorisatie

In onderstaande tabel worden de alle beschikbare instellingen voor authenticatie en autorisatie aangegeven. Een combinatie van verschillende authenticatie en autorisatie instellingen is mogelijk.

<table cellpadding="0" cellspacing="0" id="bkmrk-instelling-omgeving-"><tbody><tr><td rowspan="3" valign="top">Authenticatie

</td><td valign="top">Gebruikersnaam en wachtwoord

</td></tr><tr><td valign="top">Kerberos ([<u>soliscom.uu.nl</u>](http://soliscom.uu.nl/))

</td></tr><tr><td valign="top">Multi-factor methode (instelbaar via [<u>mysolisid.uu.nl</u>](http://mysolisid.uu.nl/))

</td></tr><tr><td rowspan="2" valign="top">Autorisatie

</td><td valign="top">Op basis van een algemeen kenmerk

</td></tr><tr><td valign="top">Op basis van een groepslidmaatschap

</td></tr></tbody></table>

# Metagegevens

De Universiteit prefereert het gebruik van het dynamisch uitwisselen van metagegevens tussen de Identity Provider en de Service Provider zoals gespecificeerd in OASIS Standard.

**Metadata Identity Provider**

De metadata van de Identity Provider kan via de volgende URL’s worden verkregen:

<table cellpadding="0" cellspacing="0" id="bkmrk-productie-https%3A%2F%2Flo"><tbody><tr><td valign="top">Productie

</td><td valign="top">[https://login.uu.nl/nidp/saml2/metadata](https://login.uu.nl/nidp/saml2/metadata)

</td></tr><tr><td valign="top">Acceptatie

</td><td valign="top">[https://login.acc.uu.nl/nidp/saml2/metadata](https://login.acc.uu.nl/nidp/saml2/metadata)

</td></tr></tbody></table>

**Metadata Service Provider**

De metadata van de Service Provider kan op twee verschillende manieren worden aangeleverd.<span class="Apple-converted-space"> </span>

1. Via een publiek beschikbare URL (voorkeur)
2. Via een XML-geformatteerd bestand

De volgende gegevens dienen minimaal in de metadata te zijn beschreven:

<table cellpadding="0" cellspacing="0" id="bkmrk-element-type-waarden"><tbody><tr><td valign="top">**Element**

</td><td valign="top">**Type**

</td><td valign="top">**Waarden**

</td></tr><tr><td valign="top">entityID

</td><td valign="top">EntityDescriptor

</td><td valign="top">Uniform Resource Identifier

</td></tr><tr><td valign="top">protocolSupportEnumeration

</td><td valign="top">SPSSODescriptor

</td><td valign="top">urn:oasis:names:tc:SAML:2.0:protocol

</td></tr><tr><td valign="top">AuthnRequestsSigned

</td><td valign="top">SPSSODescriptor

</td><td valign="top">TRUE

</td></tr><tr><td valign="top">WantAssertionsSigned

</td><td valign="top">SPSSODescriptor

</td><td valign="top">TRUE

</td></tr><tr><td valign="top">use

</td><td valign="top">KeyDescriptor

</td><td valign="top">signing

</td></tr><tr><td valign="top">certificate

</td><td valign="top">KeyDescriptor, KeyInfo, X509Data, X509Certificate

</td><td valign="top">Base64 geëncodeerd

</td></tr><tr><td valign="top">use

</td><td valign="top">KeyDescriptor

</td><td valign="top">encryption

</td></tr><tr><td valign="top">certificate

</td><td valign="top">KeyDescriptor, KeyInfo, X509Data, X509Certificate

</td><td valign="top">Base64 geëncodeerd

</td></tr><tr><td valign="top">Binding

</td><td valign="top">SingleLogoutService

</td><td valign="top">POST of Redirect

</td></tr><tr><td valign="top">Location

</td><td valign="top">SingleLogoutService

</td><td valign="top">URL

</td></tr><tr><td valign="top"></td><td valign="top">NameIDFormat

</td><td valign="top">urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

urn:oasis:names:tc:SAML:2.0:nameid-format:transient

</td></tr><tr><td valign="top">Binding

</td><td valign="top">AssertionConsumerService

</td><td valign="top">POST, Redirect of Artifact

</td></tr><tr><td valign="top">Location

</td><td valign="top">AssertionConsumerService

</td><td valign="top">URL

</td></tr></tbody></table>

# Vereiste instellingen

Voor een federatie met de Identity Provider van de Universiteit gelden aanvullende instellingen.

<table cellpadding="0" cellspacing="0" id="bkmrk-provider-maatregel-i"><tbody><tr><td valign="top">**Identity Provider**

</td></tr><tr><td valign="top">De response en assertion worden ondertekend.

</td></tr><tr><td valign="top">Voor de assertion wordt gebruik gemaakt van een SHA256 hashing algoritme.

</td></tr></tbody></table>

<table cellpadding="0" cellspacing="0" id="bkmrk-service-provider-de-" style="width: 794px; height: 483px;"><tbody><tr style="height: 35px;"><td style="width: 795px; height: 35px;" valign="top">**Service Provider**

</td></tr><tr style="height: 35px;"><td style="width: 795px; height: 35px;" valign="top">De elementen: AuthnRequestsSigned en WantAssertionsSigned bevatten enkel de waarde: true.

</td></tr><tr><td style="width: 795px;">De certificaten voor ‘signing’ en ‘encryption’ zijn door een door de Universiteit vertrouwde Certificate authority (CA)\* uitgegeven of het betreft een zelf uitgegeven certificaat wat voldoet aan de volgende eisen:

**Publieke sleutel algoritme (Algorithm):** RSA of ECDSA  
**Sleutelgrootte (Key Size):**  
\- RSA: minimaal 2048, advies 3072 of hoger  
\- ECDSA: minimaal 224, advies 256 of hoger  
**Handtekeningsalgoritme (Signature Algoritme):** minimaal SHA-256, advies SHA-384 of hoger  
**Geldigheidsduur:** heden tot maximaal 5 jaar in de toekomst  
**Algemene naam (Common Name):** bevat de naam of ‘volledig gekwalificeerde domeinnaam’ (FQDN) van de applicatie. De FQDN is te herleiden naar minimaal één AssertionConsumerServiceURL (ACS) zoals vermeld in de metadata.  
**Gebruik (Extension Key Usage):** Digital Signature

**Basic Constraints:** mag nooit de waarde CA:**TRUE** bevatten.

</td></tr><tr style="height: 57px;"><td style="width: 795px; height: 57px;" valign="top">De Service Provider ondersteunt en maakt gebruik van Single Logout (SLO) indien deze kritiek scoort op de BIV-classificatie\*\*. Voor overige Service Providers is dit een dringende aanbeveling.

</td></tr><tr style="height: 79px;"><td style="width: 795px; height: 79px;">Indien de Service Provider gebruikmaakt van SLO, dient de implementatie conform OASIS SAML2.0 specificatie te zijn ingericht\*\*\*. Deze is te vinden op https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.pdf en https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

</td></tr></tbody></table>

\* De Universiteit vertrouwt de volgende <span style="text-decoration: underline;">[CA's](https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport)</span> inclusief een tweetal eigen CA's welk in pem formaat aan deze pagina zijn toegevoegd.

\*\* De BIV classificatie wordt door de diensteigenaar uitgevoerd, in samenwerking met Informatiebeveiliging: https://intranet.uu.nl/security/informatiebeveiliging-gegevensclassificatie

\*\*\* Dit geldt voor logouts die worden geïnitieerd door zowel de Service Provider als de Identity Provider.

# Attributen

In de assertion die vanuit de Identity Provider wordt verzonden kunnen meerdere kenmerken van een gebruiker worden meegegeven.<span class="Apple-converted-space"> Voor alle persoonsgebonden </span>kenmerken geldt dat de applicatie eigenaar vooraf de benodigde grondslagen heeft laten toetsen bij de functionaris gegevensbescherming of daarvoor gemandateerde vervanger.