Gebruikershandleiding Autorisatiemodule

Gebruikershandleiding Autorisatiemodule

Versie 1.1 – juli 2014

Inhoudsopgave 1.

Uitleg over het gebruik van digicodes ........................................................................................... 3

1.1.

Wat kan ik met een digicode? .................................................................................................. 3

1.2.

Hoe ziet een digicode eruit? ..................................................................................................... 4

1.3.

Hoe kan ik digicodes aanmaken? .............................................................................................. 4

1.3.1.

Toegangsprofielen: Profieleigenschappen aanmaken ............................................................... 4

1.3.2.

Instellen aantal digicode activaties ....................................................................................... 5

1.3.3.

Digicode attributen: Koppelcodes ......................................................................................... 6

1.3.4.

Aanmaken van een toegangsprofiel ...................................................................................... 7

1.3.5.

Hoe kan ik digicodes distribueren? ...................................................................................... 12

1.3.6.

Notificaties instellen .......................................................................................................... 12

1.3.7.

Toegang voor scholen (Blacklisting / Whitelisting) door dienstleveranciers ............................... 12

1.

Uitleg over het gebruik van digicodes

Gebruikers die met Entree kunnen inloggen kunnen extra toegang krijgen door het activeren van zogenaamde digicodes op hun account. Dit hoofdstuk gaat hier dieper op in. Dit hoofdstuk heeft dus alleen relevantie als de dienstleverancier van plan is om toegang te verlenen tot de website door het (fysiek) uitdelen van digicodes aan hun gebruikers. Een dienstleverancier heeft toegang tot de Autorisatiemodule (http://digicodebeheer.kennisnet.nl) als hij een digicodebeheer-digicode heeft geactiveerd op zijn account. Deze wordt tijdens de implementatie door Kennisnet verstrekt. Op deze omgeving kan men digicodes aanmaken. Accounts kunnen hiermee geüpgrade worden en specifieke, door de dienstleverancier zelf gedefinieerde profieleigenschappen meekrijgen. De dienst kan gebruikers toegang geven doormiddel van het herkennen van deze profieleigenschappen.

1.1.

Wat kan ik met een digicode?

Met behulp van een digicode kunnen gebruikers met een Entree account de volgende zaken aan hun account toevoegen: 

Toegangsbewijzen (Vooraf gegeneerd toegangsbewijs)



Koppelcodes (Een koppelcode is een digicode waarvan de attributen vooraf zijn gedefinieerd.)

Voor een meer gedetailleerde uitleg van de bovenste twee begrippen wordt verwezen naar paragraaf 1.3 op pagina 4. In onderstaand diagram is het model aangegeven hoe kenmerken van toegangsbewijzen via digicodes aan gebruikers worden gegeven:

Attribuutnamen enaan -waarden Gebruikerskenmerken Figuur 1: Entree model van kenmerkoverdracht accounts via digicodes (attribuutnamen en -waarden)

Beheerpagina dienstleverancier

Dienstleverancier Digicodes (bv. op papier afgedrukt)

Leverancier specifieke gebruikerskenmerken

CSV met digicodes Organisatiecode (BRIN) + rol binnen organisatie

Koppeling met kenmerken (eenmalig via digicode)

Lidmaatschappen

Beheerpagina school

Klantorganistatie (bv. school)

Lidmaatschappen

CSV met digicodes Digicodes (bv. op papier afgedrukt)

Entree gebruikers

Koppeling met lidmaatschappen (eenmalig via digicode)

Account aanvragen Digicodes

Gebruiker

Selfservice accountbeheer

Gebruikers (profielen)

Persoonsgegevens

Entree

1.2.

Hoe ziet een digicode eruit?

Een digicode heeft een vaste opbouw:

KENNIS-73-T1H2X-L34RP Unieke Entree organisatiecode Hiermee kan achterhaald worden wie deze digicode heeft aangemaakt. Als de code een cijfer is, betreft het een klantorganisatie (dan levert de digicode een lidmaatschap op). Een dienstleverancier is te herkennen aan letters in de code.

Willekeurig gedeelte

Bulknummer Hiermee kan de beheerder achterhalen welke eigenschappen gekoppeld zijn aan deze code.

1.3.

Hoe kan ik digicodes aanmaken?

Alleen de rol ‘digicodebeheerder’ binnen Entree heeft toegang tot de autorisatiemodule waarmee digicodes kunnen worden aangemaakt. Bij de implementatie van een dienst kan een dienstleverancier bij Kennisnet aangeven of, en zo ja wie, er de rol van digicodebeheerder moeten krijgen. Beoogde digicodebeheerders maken eerst zelf een Entree account aan via http://account.kennisnet.nl. Vervolgens ontvangen zij van Kennisnet een digicode die toegang geeft tot de autorisatiemodule. Na het toevoegen van de code kan de digicodebeheerder starten met het aanmaken van toegangsprofielen en het genereren van digicodes, koppelcodes of diensttoegang regelen op schoolniveau.

1.3.1.

Toegangsprofielen: Profieleigenschappen aanmaken

Dienstleveranciers, bijvoorbeeld uitgevers, leveranciers van digitale content, etc., kunnen digicodes aanmaken waarmee een Entree-gebruiker toegang krijgt tot de applicatie(s) van die dienstleverancier. Een toegangsbewijs kan uit meerdere profieleigenschappen bestaan. Daarom kennen wij ook een ‘toegangsprofiel’. Een voorbeeld: Een Digicodebeheerder van ‘Aanbieder 01’ maakt de volgende profieleigenschappen en profieleigenschapwaarden aan: Profieleigenschap naam

Profieleigenschap waarden

Vak

Natuurkunde Scheikunde Biologie

Toetsrol

Toets afnemen Toets geven

Etc.

Etc. Etc.

Vervolgens maakt de Digicodebeheerder van dezelfde aanbieder voor dienst ‘WebToets A’ het volgende profiel aan voor het toegangsbewijs (kan elke willekeurige combinatie zijn): 

Vak = Natuurkunde



Toetsrol = Toets afnemen

De Digicodebeheerder genereert tenslotte een bulk van 500 digicodes. Deze codes worden bijvoorbeeld via vouchers gedistribueerd aan scholen die ze weer verspreiden in de klas. De aangemaakte profieleigenschappen zijn voor een dienst zichtbaar in het applicatieticket van Entree en kunnen gebruikt worden voor autorisatie. Het formaat van een toegangsbewijs is: -

DL__= o

bestaat uit 6 karakters, bijvoorbeeld AANB01 voor Aanbieder 01. Deze code wordt door Entree gebruikt als filterwaarde, zodat alleen de door de dienstleverancier uitgegeven profieleigenschappen leesbaar zijn.

-

o

= Profieleigenschap naam

o

= specifieke waarde van het profieleigenschap

Voorbeelden: o

DL_AANB01_Vak=Natuurkunde

o

DL_AANB01_Toetsrol=Toets afnemen

Er zijn oneindig veel varianten mogelijk, want de namen en de waarden die aan een toegangsprofiel worden toegekend bepaalt u zelf: 

Recht om te schrijven op dienst 1 & 2 (bijv. voor 1 jaar)



Recht op een sneak preview (bijv. voor 30 dagen)



Etc.

N.B.: 

De autorisatieregels zijn hoofdletter gevoelig!



Gebruikers kunnen met Entree meerdere toegangsbewijzen verkrijgen. Profieleigenschappen van andere dienstleveranciers zijn uiteraard niet zichtbaar voor andere dienstleveranciers.

1.3.2.

Instellen aantal digicode activaties

Het is mogelijk om digicodes aan te maken die meer dan één keer te activeren zijn. Dit betekent dat meerdere gebruikers dezelfde digicode kunnen activeren en dus daaraan gerelateerde autorisatiegegevens krijgen. Men kan tijdens het aanmaken van digicodes instellen wat het maximaal aantal activaties voor een digicode is. Dit kan handig zijn als er bijvoorbeeld klassikaal toegang moet worden verleend tot een dienst. Want dan hoeft er maar één digicode door een docent verspreid te worden aan zijn klas. Ook vermindert het gebruik van digicodes die meerdere activaties hebben de distributielast. Echter, men loopt wel een verhoogd risico op misbruik. Als een digicode 'uitlekt', dus buiten de beoogde groep mensen bekend wordt, dan kan het gebeuren dat mensen die buiten de doelgroep of licentievoorwaarden vallen toegang krijgen tot de dienst. Hierdoor kunnen dan mensen die wel binnen de doelgroep vallen geen digicodes meer activeren omdat de digicode inmiddels niet meer te activeren is. Het maximaal aantal activaties is dan verbruikt. Om dit risico te managen is het aan te raden om goed na te denken over het maximaal aantal activaties dat men instelt. Via Entree is het mogelijk notificatie e-mails in te stellen als digicodes een bepaald percentage van het mogelijke aantal activaties hebben bereikt. Entree stuurt dan automatisch een e-mail naar de dienstleverancier met de melding dat een digicode een grenspercentage van activaties heeft bereikt..

1.3.3.

Digicode attributen: Koppelcodes

Een aparte variant van toegangsbewijzen zijn koppelcodes. Deze zijn wat betreft de technische specificatie identiek aan digicode toegangsbewijzen (zie vorige paragraaf). Echter ze dienen een ander doel dan alleen toegangscontrole, namelijk identificatie van gebruikers aan de hand van een uniek en herkenbaar kenmerk in hun account. Een koppelcode is een digicode waarvan de attributen vooraf zijn gedefinieerd. De dienstleverancier bepaalt in de eigen applicatie welke rechten aan welke attributen worden toegewezen. Koppelcodes zijn een handig hulpmiddel als u alvast digicodes wilt aanmaken en op een later moment in uw eigen applicatie wil instellen welke toegangsrechten deze digicodes geven. Sommige applicaties, bijvoorbeeld elektronische leeromgevingen (ELO’s), willen gebruikers zodanig herkennen dat er een koppeling gelegd kan worden met gebruikers die al eerder in het systeem zijn ingevoerd. Men kan koppelcodes aanmaken door een bestand op te voeren die vele waarden (koppelcodes) bevat. Hierdoor worden er in tegenstelling met toegangsbewijzen digicodes aangemaakt die unieke profieleigenschapwaarden vertegenwoordigen. Dit kan dus gebruikt worden om koppelingen te leggen. Een voorbeeld: Een Digicodebeheerder van ‘Aanbieder 01’ maakt het volgende koppelprofiel en profieleigenschapwaarden aan: Profieleigenschap naam

Profieleigenschap waarden

GebruikerID

10001 10002 10003 Etc.

Hierdoor ontstaat de volgende tabel: GebruikerID

Digicode

10001

AANBD1-12-R6W3B-Y73ED

10002

AANBD1-12-K8C3G-PW3L8

10003

AANBD1-12-5MJJ2-U7T3H

Etc.

Etc.

Deze tabel wordt vervolgens geïmporteerd in de applicatie. Docenten halen dan uit de applicatie de digicodes voor de leerlingen. De leerlingen hebben pas toegang tot de applicatie nadat ze de (koppel)digicodes hebben ingevoerd bij hun Entree account. De applicatie identificeert de Entree-gebruikers aan de hand van hun GebruikerID.

1.3.4.

Aanmaken van een toegangsprofiel

Nadat men is ingelogd op http://digicodebeheer.kennisnet.nl kan men via de menuoptie ‘Toegangsprofielen’ toegangsprofielen aanmaken. Een toegangsprofiel bestaat uit de profieleigenschappen die via digicodes aan accounts worden gekoppeld, de termijn waarop deze profieleigenschappen geldig zijn, maar ook informatie die de gebruiker in zijn Entree accountbeheer omgeving kan zien over zijn verkregen “toegangsrecht”.

Wanneer een gebruiker klikt op ‘Toegangsprofiel aanmaken’ zijn er twee opties. Ofwel het aanmaken van een profiel waar op een later moment koppel- of digicodes bij worden gegenereerd, ofwel het doorlopen van het gehele proces van het aanmaken van een toegangsprofiel en direct generen van koppel- of digicodes. Deze handleiding gaat uit van het doorlopen van het gehele proces. Wanneer de gebruiker kiest voor “Toegangsprofiel aanmaken en codes genereren” verschijnt onderstaand scherm.

Kies voor het genereren van een digicode of een koppelcode en vul de basisgegevens van het toegangsprofiel in zoals bovenstaand voorbeeld weergeeft en kies voor ‘Opslaan en naar stap 2’ . N.B. de vervolgstappen voor het aanmaken van een toegangsprofiel voor het generen van digicodes of koppelcodes zijn identiek. In dit voorbeeld kiezen we ervoor om een toegangsprofiel aan te maken en vervolgens digicodes te genereren. De gebruiker krijgt vervolgens onderstaande pagina te zien.

Kies de gewenste profieleigenschap(pen) door er een of meerdere te selecteren en kies voor ‘Opslaan en naar stap 3’. N.B. wanneer u andere profieleigenschappen wenst te gebruiken dan er in dit overzicht worden weergegeven of nog nooit profieleigenschappen heeft aangemaakt, dan kunt u deze creëren via de menuoptie ‘Profieleigenschappen’ . In stap 3 kunt u waarden toekennen aan de gekozen profieleigenschappen. In het gebruikte voorbeeld kan de profieleigenschap ‘Rol’ bijvoorbeeld de waarden ‘Beheerder’ of ‘Gebruiker’ hebben. U voegt nieuwe waarden toe door een waarde op te geven in het tekstveld aan de rechterkant en vervolgens op ‘Voeg toe’ te klikken. Wanneer u alle waarden hebt opgegeven kiest u voor ‘Opslaan en naar stap 4’.

In Stap 4 kiest u het aantal digicodes dat u wilt genereren en het aantal keren dat de digicode te gebruiken (activeren) is. Daarnaast kunt u hier aangeven wat de geldigheidsduur van de digicodes is. Wanneer u hier niets invult krijgen de digicodes automatisch dezelfde geldigheidsduur als het toegangsprofiel. Wanneer u de aantallen en de geldigheidsduur hebt bepaald klikt u op ‘Digicodes genereren’.

U krijgt de melding dat het aantal ingevulde digicodes zijn gegenereerd. Klik nu in de melding op de link ‘klik hier’.

U krijgt de overzichtspagina van uw digicodes te zien. Bovenaan de lijst staat de zojuist aangemaakte digicodes met de naam van het toegangsprofiel.

Aan het aangemaakte profiel ‘Toegang schooljaar 2015’ zijn de zojuist gegenereerde digicodes toegevoegd. De digicodes kunt u downloaden door te klikken op ‘Download .csv’.

1.3.5.

Hoe kan ik digicodes distribueren?

De dienstleverancier is zelf verantwoordelijk voor de verspreiding van de digicodes en de wijze waarop dit gebeurt. Diverse methoden kunnen gebruikt worden, zoals e-mail, post of SMS. De dienstleverancier kan er voor kiezen om de digicodes te verspreiden via een klantorganisatie, meestal een onderwijsinstelling, via een tussenpartij of direct aan de eindgebruikers. De technische en procedurele middelen die noodzakelijk zijn voor de gekozen wijze van distributie, zullen door de dienstleverancier zelf moeten worden gerealiseerd. Entree levert alleen het bronbestand met de gegenereerde bulk aan digicodes.

1.3.6.

Notificaties instellen

Via het menu Notificaties instellen kunt u instellen of en aan wie Entree een notificatie moet sturen als een uitgegeven digicode bijna verloopt of wanneer bijna het maximum aantal activaties is verbruikt. Door het instellen van notificaties kunt u gemakkelijk het gebruik van door u uitgegeven digicodes monitoren en indien gewenst uw klanten tijdig een nieuwe aanbieding doen om hen toegang tot uw dienst te blijven garanderen.

1.3.7.

Toegang voor scholen (Blacklisting / Whitelisting) door dienstleveranciers

Als dienstleverancier kun je met Entree ook centraal de toegang tot de afgeschermde website beheren op basis van het behoren tot een bepaalde lijst van scholen. De sleutel hiertoe is de BRIN die wordt doorgeven. Dit attribuut vertelt Entree tot welke school of instelling deze behoort. Deze organisaties moeten dus in Entree worden geregistreerd als een IdP aansluit of uitbreidt. Een dienstleverancier kan in Entree instellen welke instellingen toegang hebben (whitelisting) of welke instellingen juist geen toegang hebben (blacklisting). Als men dat doet dan doet Entree hier twee dingen mee. Ten eerste toont het Entree “Where are you from” scherm alleen de keuze van de scholen die op de whitelist

staan. Als gebruikers via single sign on bij de afschermde website komen dan zal Entree ze tegenhouden als ze niet op de whitelist (dus op de blacklist) staan. Een dienstleverancier krijgt tijdens de implementatie van Entree afscherming van Kennisnet een beheerdigicode. Dit geeft toegang tot de Autorisatiemodule (http://digicodebeheer.kennisnet.nl) waar men naast het aanmaken van digicodes ook de black/whitelisting kan instellen.