Authenticatiemiddelen
Minimum
Via de parameter Comparison=“minimum” kan je aangeven wat het laagste authenticatiemiddel is dat aangeboden mag worden. De ACM IDP zal enkel de vooringestelde authenticatiemiddelen aanbieden die aan deze voorwaarde voldoen: alle vooringestelde authenticatiemiddelen met een hoger authenticatieniveau zullen dus aangeboden worden.
De URN’s van de beschikbare authenticatiemiddelen zijn terug te vinden in het integratiedossier.
<samlp:AuthnRequest ...
<samlp:RequestedAuthnContext xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="minimum">
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:be:vlaanderen:authmech:csamtotp</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
</samlp:AuthnRequest>
Exact
Via de parameter Comparison=“exact” kan je aangeven welke specifieke authenticatiemiddelen aangeboden mogen worden. De ACM IDP zal de vooringestelde authenticatiemiddelen met deze vraag combineren en de deelverzameling van beide aanbieden.
<samlp:AuthnRequest ...
<samlp:RequestedAuthnContext xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact" >
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:be:vlaanderen:authmech:eid</saml:AuthnContextClassRef>
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:be:vlaanderen:authmech:itsme</saml:AuthnContextClassRef>
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:be:vlaanderen:authmech:csamtotp</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
</samlp:AuthnRequest>
Exact één specifiek authenticatiemiddel
Bij het gebruik van de parameter Comparison=“exact” zal de ACM IDP nagaan of dit één van de vooringestelde authenticatiemiddelen is en zoja, dan zal enkel dit authenticatiemiddel aangeboden worden.
<samlp:AuthnRequest ...
<samlp:RequestedAuthnContext xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact" >
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:be:vlaanderen:authmech:eid</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
</samlp:AuthnRequest>
In geval er slechts één authenticatiemiddel aangeboden moet worden, dan is het standaard gedrag van ACM dat de gebruiker dit authenticatiemiddel expliciet moet kiezen. Indien u wenst dat deze authenticatiestap dan wordt overgeslagen, gelieve dit dan in het integratiedossier te definiëren (EXACT 1 AUTHENTICATIEMIDDEL = JA).
Tip
In het algemeen valt het gebruik van RequestedAuthnContext af te raden omdat in ACM steeds zelf ingesteld wordt welke authenticatiemiddelen toegestaan zijn !
In de praktijk zal het gebruik van RequestedAuthnContext ervoor zorgen dat bepaalde single sign-on scenario’s potentieel breken (bvb. indien een gebruiker reeds aangemeld was met een authenticatiemiddel dat hier niet in voorkomt) en bij iedere wijziging van de toegestane authenticatiemiddelen in ACM dient de toepassing ook aangepast te worden.
Gebruik dit dus enkel in zeer specifieke, overwogen scenario’s.
Welk authenticatiemiddel werd er gebruikt
De URN van het authenticatiemiddel dat de gebruiker hanteerde om aan te melden, wordt in de AuthnContextClassRef van de SAML Response meegegeven.
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:be:vlaanderen:authmech:csamtotp</saml:AuthnContextClassRef>
</saml:AuthnContext>