Met Single Sign-On (SSO) kunnen cursisten inloggen op een enkel systeem, zoals een bedrijvengids, en vervolgens toegang krijgen tot meerdere apps zonder dat ze zich bij elke app hoeven aan te melden met afzonderlijke inloggegevens. Wanneer SSO is ingeschakeld voor je organisatie in Reach 360, zul je cursisten en mogelijk groepen een beetje anders beheren. Eigenaren van een Reach 360-account kunnen SSO inschakelen via de interface in de app.

Reach 360 maakt gebruik van Security Assertion Markup Language (SAML) om cursisten te verifiëren en ondersteunt System for Cross-domain Identity Management (SCIM) om de provisioning van cursisten te automatiseren. U kunt SAML alleen of met SCIM gebruiken voor extra automatisering.

Opmerking: Je kunt nog steeds cursisten toevoegen in Reach 360 door de stappen te volgen die hier worden vermeld. Houd er wel rekening mee dat cursisten die zijn toegevoegd in Reach 360 niet worden beheerd door je Identity Provider (IdP).

Dit is hoe SSO invloed kan hebben op wat je doet op het tabblad Personen.

• Leerlingen beheren die zijn geverifieerd met SAML
• Groepen beheren met SAML
• Groepen en leerlingen beheren die zijn uitgerust met SCIM
• Woordenlijst

Leerlingen beheren die zijn geverifieerd met SAML

Als je organisatie SAML gebruikt, worden cursisten die door je IdP worden beheerd, pas op het tabblad Personen weergegeven als ze voor het eerst inloggen met hun SSO-inloggegevens. Je kunt hun namen niet wijzigen of hun wachtwoorden wijzigen of opnieuw instellen in Reach 360. Deze cursisten krijgen een ID-pictogram in hun inzending.

De vereiste kenmerken voor een cursist die in Reach 360 moet worden aangemaakt, zijn:

• firstName= voornaam
• lastName= achternaam
• email= e-mailadres
• subjectNameIdof Unique Learner Identifier = elke unieke ID van je IdP

Je kunt ook optionele attributen verzenden:

• avatar= vervangt een door de leerling gedefinieerde profielfoto (moet worden doorgegeven als URL)
• groups= een lijst met groepen waaraan de cursist in de IdP is toegewezen en die je naar Reach 360 wilt synchroniseren.

Als je een cursist wilt verwijderen, moet je hem eerst uit je IdP verwijderen. Zodra ze daar zijn verwijderd, kun je hun record verwijderen op het tabblad Leerlingen.

Groepen beheren met SAML

Wijzigingen in het groepslidmaatschap die in je IdP zijn aangebracht, worden pas verwerkt als de cursist uitlogt en zich vervolgens weer aanmeldt bij Reach 360.

In Reach 360 met SSO ingeschakeld, moeten groepsnamen overeenkomen met het IdP-kenmerk, anders worden er nieuwe groepen gemaakt. Hernoem de groep zowel in de IdP als in Reach 360 om onbedoelde wijzigingen in het groepslidmaatschap en problemen met de inschrijving van inhoud te voorkomen wanneer cursisten zich opnieuw aanmelden bij Reach 360.

Als je een groep wilt verwijderen die gekoppeld is aan een SSO-aanmelding, moet je eerst de groepstoewijzing uit de groups claim verwijderen. Zodra het bericht niet meer wordt verzonden voor cursisten, kun je de groep verwijderen van het tabblad Groepen in Reach 360. Als je je SSO-configuratie niet bijwerkt, wordt de groep opnieuw geactiveerd wanneer een cursist met die opdracht in je IdP zich de volgende keer aanmeldt met SSO.

Groepen en leerlingen beheren die zijn uitgerust met SCIM

Als je organisatie naast SAML ook SCIM gebruikt, zie je cursisten op het tabblad Personen nadat ze zijn toegevoegd aan je IdP, zelfs als ze zich nog niet hebben aangemeld bij Reach 360. Net als bij SAML kunt u hun namen niet wijzigen of hun wachtwoorden wijzigen of opnieuw instellen in Reach 360. Deze cursisten krijgen een ID-pictogram in hun inzending.

Leerlingen die door SCIM zijn ingericht, kunnen alleen via uw IdP worden verwijderd, niet in Reach 360. Leerlingen die zonder provisioning aan Reach 360 zijn toegevoegd, kunnen zoals gewoonlijk worden verwijderd.

Wanneer uw organisatie SCIM gebruikt, kunt u ook groepen beheren die door IDP worden beheerd. Het toevoegen en verwijderen van leden uit deze groepen moet in je IdP worden gedaan, en je kunt geen cursisten die niet door IdP worden beheerd aan deze groepen toevoegen in Reach 360.

De vereiste kenmerken voor een cursist die via SCIM in Reach 360 moet worden aangemaakt, zijn:

• name.givenName= voornaam
• name.familyName= achternaam
• userName= e-mailadres

Je kunt ook optionele attributen verzenden:

• avatar= vervangt elke profielfoto die door de cursist is geüpload (moet worden doorgegeven als een URL en moet worden verzonden als een kenmerk dat deel uitmaakt van de urn:scim:schemas:extension:metadata:2.0:User schema
• externalId= elke unieke ID van je IdP

Opmerking: Het communicatie-interval met Reach 360 wordt bepaald door uw IdP. Zodra de gegevens door onze SCIM-server zijn ontvangen, zijn deze onmiddellijk beschikbaar in Reach 360.

Woordenlijst

Active Directory (AD)

Active Directory (AD) is een Microsoft-product voor het beheren van cursisten, machtigingen en toegang tot netwerkbronnen. Veel organisaties gebruiken AD om hun teams te beheren. Onze SSO-oplossing is compatibel met AD, aangezien beide SAML-communicatie ondersteunen.

Bewering

Een bewering bestaat uit gegevens die worden verzonden door een identiteitsprovider (IdP) die een of meer van de volgende verklaringen aan een serviceprovider (SP) verstrekt.

• Authenticatieverklaringen verklaren dat een cursist succesvol is geauthenticeerd en registreren het tijdstip waarop ze dat hebben gedaan.
• Attribuutinstructies bevatten informatie over de cursist. Het NameID-kenmerk bevat bijvoorbeeld de gebruikersnaam en is vereist voor authenticatie. Andere kenmerken kunnen ook handmatig worden geconfigureerd.
• Verklaringen van autorisatiebesluiten verlenen of weigeren de cursist toegang tot een bron.

Bewering URL van de klantenservice (ACSurl)

Een Assertion Consumer Service URL (AcsURL) is een HTTPS-locatie of -bron bij een serviceprovider (SP), zoals Reach 360, die SAML-berichten van een identiteitsprovider (IdP) accepteert.

Entiteit-ID

De entiteits-ID is een unieke reeks letters en cijfers, meestal in de vorm van een URL, waarmee de serviceprovider (SP) wordt geïdentificeerd. De entiteits-ID wordt ook wel de Audience-URI genoemd, en het is vaak dezelfde URL als de Assertion Consumer Service URL (ACsURL).

Globaal unieke identificator (GUID)

Een Globally Unique Identifier (GUID) is een reeks letters, cijfers en streepjes waarmee een entiteit wordt geïdentificeerd. In de context van Reach 360 SSO verwijst de GUID naar uw Reach 360-abonnement-ID.

Identiteits- en toegangsbeheer (IAM)

Gartner heeft een geweldige definitie van Identity and Access Management (IAM):

Identiteits- en toegangsbeheer (IAM) is de beveiligingsdiscipline die de juiste personen in staat stelt om op het juiste moment en om de juiste redenen toegang te krijgen tot de juiste bronnen.

IAM komt tegemoet aan de missiekritieke behoefte om te zorgen voor passende toegang tot bronnen in steeds heterogenere technologieomgevingen en om te voldoen aan steeds strengere nalevingsvereisten. Deze beveiligingspraktijk is een cruciale onderneming voor elke onderneming. Het is steeds meer zakelijk afgestemd en vereist zakelijke vaardigheden, niet alleen technische expertise.

Ondernemingen die geavanceerde IAM-capaciteiten ontwikkelen, kunnen hun kosten voor identiteitsbeheer verlagen en, nog belangrijker, aanzienlijk flexibeler worden in het ondersteunen van nieuwe bedrijfsinitiatieven.

Identiteitsprovider (IdP)

Een identiteitsprovider (IdP) is een service die een lijst met accounts van cursisten of digitale identiteiten opslaat en beheert. Organisaties gebruiken IDP's om hun cursisten te beheren en toegang te verlenen tot netwerkbronnen. Voorbeelden van IdP zijn Okta, Azure en Ping.

In de context van SSO reageert een IdP op authenticatieverzoeken van een serviceprovider (SP), zoals Reach 360, om cursisten aan te melden bij een service, zoals uw Reach 360-account.

Just-in-time (JIT) bevoorrading

Just-in-time (JIT) -provisioning creëert automatisch gebruikersaccounts in een SSO-oplossing wanneer een gebruiker zich voor het eerst authenticeert bij zijn identiteitsprovider (IdP).

Lichtgewicht Directory Access Protocol (LDAP)

Okta vat Lightweight Directory Access Protocol (LDAP) mooi samen:

Lightweight Directory Access Protocol (LDAP) is een internetprotocol dat bedrijfsprogramma's zoals e-mail-, CRM- en HR-software gebruiken om toegang te verifiëren en informatie van een server te vinden.

De Reach 360 SSO-oplossing maakt gebruik van SAML in plaats van LDAP-integratie.

Metagegevens

Metagegevens zijn gegevens die door een identiteitsprovider (IdP) aan een serviceprovider (SP) worden verstrekt, of omgekeerd, in XML-formaat.

• SP-metagegevens bevatten de Assertion Consumer Service-URL (ACsURL), de Audience Restriction, het NameID-formaat en x.509-certificaten (die door de IdP worden gebruikt om handtekeningen van de SP te verifiëren en SAML-verzoeken van de IdP aan de SP te versleutelen, indien nodig).
• IdP-metagegevens bevatten de SSO-URL, de entiteits-ID en de x.509-certificaten die de SP nodig heeft om de handtekening van de verklaring van de IdP te verifiëren en, indien versleuteling van SAML-verzoeken vereist is, berichten van de SP naar de IdP te versleutelen.

Authenticatie met meerdere factoren (MFA)

Multifactorauthenticatie (MFA), ook wel twee-factor-authenticatie (2FA) genoemd, vereist dat cursisten een tweede beveiligingslaag doorgeven wanneer ze zich aanmelden bij een app of systeem. Een veelgebruikte vorm van MFA vraagt cursisten om een verificatiecode in te voeren, die ze via sms of een authenticator-app krijgen.

MFA wordt niet ondersteund voor Reach 360. We raden aan om MFA via je IdP in te schakelen voor een extra beveiligingslaag.

OAuth

OAuth, of Open Authorization, is een standaard waarmee cursisten toegang krijgen tot apps van derden zonder hun wachtwoorden openbaar te maken. De Reach 360 SSO-oplossing maakt geen gebruik van OAuth.

OpenAM

OpenAM is een open-source toegangsbeheersysteem dat door sommige organisaties wordt gebruikt om hun cursisten een SSO-service te bieden. De Reach 360 SSO-service is compatibel met OpenAM, aangezien beide SAML-communicatie ondersteunen.

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) is een open, op XML gebaseerde standaard voor het uitwisselen van authenticatiegegevens tussen een identiteitsprovider (IdP) en een serviceprovider (SP), zoals Reach 360.

Onze SSO-oplossing maakt gebruik van SAML 2.0 om cursisten in Reach 360 te verifiëren op basis van hun bedrijfsidentiteit, zodat cursisten geen aparte set inloggegevens voor Reach 360 hoeven te beheren.

Eenmalige aanmelding (SSO)

Met Single Sign-On (SSO) kunnen cursisten inloggen op één systeem, zoals een bedrijvengids, en vervolgens toegang krijgen tot meerdere apps zonder dat ze zich hoeven aan te melden bij elke app met afzonderlijke inloggegevens. SSO verhoogt de productiviteit en stelt organisaties in staat hun eigen vereisten voor wachtwoordbeveiliging af te dwingen.

Dienstverlener (SP)

Een serviceprovider (SP) is een bedrijf dat een dienst aanbiedt, zoals het hosten van content. Een SP communiceert met een identiteitsprovider (IdP) om cursisten bij de dienst aan te melden. Reach 360 is in deze context de SP.

Systeem voor domeinoverschrijdend identiteitsbeheer (SCIM)

SCIM is een open standaard voor de automatisering van de provisioning en deprovisioning van cursist. Een bedrijf zou bijvoorbeeld SCIM kunnen gebruiken om cursisten automatisch toe te voegen aan een clouddienst met een abonnement en hun bedrijfsprofielen te synchroniseren met de cloudservice.