Access Management – Opzetten van applicatie-integratie middels SAML, WS-Federation, OpenID Connect - Tools4ever
Gratis demo Contact
Access Management – Opzetten van applicatie-integratie middels SAML, WS-Federation, OpenID Connect Aan de slag met HelloID

Access Management – Opzetten van applicatie-integratie middels SAML, WS-Federation, OpenID Connect

Door: Wim Bronswijk 17 juni 2025

Met behulp van de Access Management-module van de identity- en access management (IAM)-oplossing HelloID van Tools4ever geef je gebruikers via Single Sign-On (SSO) eenvoudig toegang tot systemen en applicaties. In onze vorige blogpost legden we uit hoe je applicaties via onze applicatiecatalogus kunt configureren voor SSO. Komt een applicatie niet in deze catalogus voor? Dan kunnen wij deze koppeling voor je toevoegen aan de catalogus. Je kunt echter ook zelf een applicatie integreren met ons SSO-dashboard via zogeheten generic templates, waarbij je SAML, WS-Federation of OpenID Connect kunt gebruiken. In dit artikel lees je hierover meer.

Wat is SSO?

Met het oog op de veiligheid wil je dat gebruikers voor iedere dienst en applicatie een uniek wachtwoord gebruiken. In de praktijk zorgt dit echter voor een wildgroei aan inloggegevens; gebruikers moeten al snel tientallen inloggegevens onthouden. Niet alleen vergroot dit de kans dat gebruikers een wachtwoord vergeten, maar ook dat zij bewust voor een zwakker wachtwoord kiezen om deze eenvoudiger te kunnen onthouden.Met SSO bied je een gebruiksvriendelijk alternatief zonder concessies te doen aan veiligheid. Gebruikers loggen slechts eenmaal in en krijgen vervolgens toegang tot alle applicaties en diensten waarop zij vertrouwen. Via een handig dashboard zijn alle middelen met een simpele klik beschikbaar. Je kunt de toegang tot het SSO-dashboard daarnaast extra beveiligen, onder meer met multifactor-authenticatie. Zo til je niet alleen de veiligheid van je gebruikers naar een hoger niveau, maar ondersteun je ook hun productiviteit.

Koppelen via verschillende protocollen

Voor het koppelen van applicaties aan het SSO-dashboard kan je gebruikmaken van verschillende protocollen. HelloID ondersteunt hiervoor SAML, OpenID Connect en WS-Federation. Hieronder lees je meer over deze protocolllen.

Koppelen via SAML

Voor het toevoegen van een SAML-applicatie is een certificaat vereist. Dit certificaat voegt een cruciale beveiligingslaag toe aan de koppeling. Je kunt ervoor kiezen hetzelfde certificaat te gebruiken voor het koppelen van meerdere applicaties, maar ook voor iedere applicatie een uniek certificaat hanteren. Indien gewenst kan je je eigen certificaat uploaden binnen HelloID.

Voor het koppelen van een applicatie is informatie nodig die je kunt opvragen bij de leverancier. In de meeste gevallen gaat het daarbij om een endpoint URL, audience en benodigde claimset. In de meeste gevallen krijg je van de applicatieleverancier metadata aangereikt. Je haalt hieruit vervolgens de benodigde informatie, waarna je deze invult in de applicatieconfiguratie binnen HelloID. Zodra de configuratie is afgerond lever je de metadata van HelloID aan bij je applicatieleverancier. De leverancier leest deze configuratie in en activeert de koppeling.

OpenID Connect

Het koppelen van een applicatie via OpenID Connect is relatief eenvoudig. Onder meer doordat een applicatieleverancier gecertificeerd moet zijn om gebruik te kunnen maken van OpenID Connect. Dit betekent onder meer dat de leverancier aan specifieke eisen vanuit de OpenID Connect Foundation moet voldaan. Ook HelloID beschikt over deze certificering. Zo weet je zeker dat de IAM-oplossing en de applicatie waarmee je wilt koppelen goed met elkaar samenwerken.

Een belangrijk voordeel van OpenID Connect is de mogelijkheid het berichtenverkeer te beveiligen met het HMAC-algoritme. Dit algoritme maakt het gebruik van een certificaat overbodig, wat het realiseren en het beheren van een koppeling vereenvoudigt. De keuze voor het gebruikte algoritme ligt altijd bij de klant en leverancier, en is onder meer afhankelijk van de securityeisen. Let op: om met HMAC te kunnen werken moet ook de applicatieleverancier dit algoritme ondersteunen, wat helaas niet altijd het geval is.

Voor het configureren van een SSO-koppeling via OpenID Connect wissel je het zogeheten ‘well known-configuratiebestand’ uit. De leverancier verstrekt hiervoor de redirecturl(s), die je vervolgens in de configuratie van HelloID kunt opnemen. Daarnaast lever je de clientID en het clientsecret aan bij de applicatieleverancier, waarna de koppeling tot stand kan worden gebracht. 

Koppelen via WS-Federation

WS-Federation is een protocol dat met name wordt gebruik bij het koppelen met Microsoft-producten, zoals SharePoint, Exchange en Remote Desktop. In combinatie met WS-Trust maakt WS-Federation het ook mogelijk via HelloID in te loggen op een Entra ID-joined apparaten.

Het realiseren van een SSO-koppeling via WS-Federation vraagt om een certificaat in een speciaal formaat. Wij helpen je hierbij graag op weg. Wil je aan de slag met een koppeling via WS-Federation? Neem dan contact met ons op, zodat wij het certificaat voor je kunnen converteren. Ook kunnen wij je ondersteunen bij het inlezen van het certificaat in HelloID.

Voor het realiseren van een werkende koppeling is daarnaast informatie nodig van de applicatieleverancier. Concreet gaat het daarbij om de endpoint, realm en verwachte claim. Na het configureren van deze gegevens kan je de WS-Federation-metadata en indien van toepassing de WS-Trust-metadata delen met de applicatieleverancier voor het tot stand brengen van de koppeling.

Aan de slag

Wil je aan de slag met HelloID Access Management? Op onze website kan je meer lezen over de mogelijkheden van deze module. Heb je vragen? Neem contact met ons op!

« Vorige in serie
Wim Bronswijk

Geschreven door:
Wim Bronswijk

Wim Bronswijk is dé HelloID Access Management expert bij Tools4ever. Hij heeft jarenlang HelloID geïmplementeerd bij velen klanten en is sinds een aantal jaar Domein Expert voor HelloID Access Management en beheert mede alle hardware en netwerken bij Tools4ever.