Switch identiteit
Indien de gebruiker aangemeld is in de toepassing, maar je wenst hem de mogelijkheid te bieden om namens een andere organisatie/doelgroep/mandaat aan te melden, dan kan je een switch-identiteit initiƫren op de ACM IDP. De gebruiker dient dan niet meer opnieuw aan te melden in ACM, maar hij krijgt meteen de keuze voor organisatie/doelgroep/mandaat aangeboden.
Vanuit de toepassing kan de switch-identieit als volgt opgestart worden:
- voer in de toepassing een lokale logout uit (dus geen SAML SLO)
- redirect nadien naar https://authenticatie-ti.vlaanderen.be/stb/html/switchdigid?providerid=$SAML_SP_ID&target=$URL
- $SAML_SP_ID is hierbij de SAML entityID van de Service Provider (cfr. metadata)
- $URL is hierbij de URL (URL-encoded) waarnaar geredirect moet worden na de switch-identiteit: gewoonlijk is dat dus de entry-URL van de toepassing die een ACM-authenticatie triggert voor de eigen toepassing
- -ti enkel toe te voegen voor de TEST-omgeving
Voorbeeld
Indien men na de lokale logout in de toepassing een switch-identiteit wil lanceren voor een toepassing met entityID https://mijntoepassing.vlaanderen.be en login-URL https://mijntoepassing.vlaanderen.be/login
https://authenticatie-ti.vlaanderen.be/stb/html/switchdigid?providerid=https://mijntoepassing.vlaanderen.be&target=https%3A%2F%2Fmijntoepassing.vlaanderen.be%2Flogin
De gebruikerservaring is dat de gebruiker niet opnieuw in ACM moet aanmelden, maar dat hij in ACM meteen terecht komt bij de keuze van een andere organisatie/doelgroep/mandaat. Na zijn nieuwe keuze wordt de gebruiker terug aangemeld in de toepassing, maar deze keer met de nieuwe “identiteit”.