OpenID Connect

Wordpress
Websites of applicaties beheren

Wordpress

Team CMS van Scouting Nederland heeft een plugin voor Wordpress ontwikkeld waarmee je gebruikers kan laten inloggen op je eigen Wordpress website. Meer informatie over de installatie en het gebruik van deze plugin kan je vinden op https://github.com/scouting-nl/scouting-openid-connect.

Websites of applicaties beheren

Wanneer je je website of applicatie voorbereid hebt op het gebruik van OpenID Connect, moet je jouw website nog aanmelden bij de OP. Dit kan je doen als je een roltoewijzing Webmaster hebt in Scouts Online. Heb je die niet, neem dan contact op met de secretaris of gegevensbeheerder van je organisatie.

Aanmelden van een website of applicatie

Log in op https://login.scouting.nl/ met je Scouts Online inlogaccount.
Open het menu-item 'Beheerde websites'.
Op deze pagina zie je een lijst van al de door jou aangemelde websites en applicaties.
Kies 'Voeg OpenID Connect koppeling toe'.
Vul hier vervolgens de volgende gegevens in:
1. Naam: Naam van je organisatie of project.
2. Redirect URI: De URL waar de gebruiker na de authenticatie naar toe wordt doorgewezen, deze moet exact gelijk zijn aan wat je bij de RP hebt ingesteld.
3. Post Logout Redirect URI (optioneel): De URL waar de gebruiker na het uitloggen wordt doorgewezen.
4. Scopes: Kies welke informatie je website of applicatie nodig heeft van de ingelogde gebruiker. De meeste scopes spreken voor zich, enkelen hebben wat meer uitleg nodig:
  1. Persoonlijk (profile): Naam, geslacht en geboortedatum.
  2. Lidmaatschap (membership): Lidnummer, maar ook of de ingelogde gebruiker namens een kind inlogd.
  3. Ouders/verzorgers (guardians): Informatie over de ouders/verzorgers van de ingelogde gebruiker, de scopes gelden ook voor de teruggegeven informatie van de ouders/verzorgers. Van ouders/verzorgers worden nooit het adres, de geboortedatum of het geslacht gegeven en wanneer een ouder/verzorger zelf ook ouders/verzorgers heeft, wordt dit ook niet meegegeven.
5. Organisaties: Kies de organisaties waarvan de leden wel of geen toegang hebben tot jouw website of applicatie.
  1. Toegestaan: Als deze is aangevinkt, dan hebben leden van deze organisatie toegang tot jouw website of applicatie.
  2. Inclusief onderliggende organisaties: Ook leden van onderliggende organisaties van de gekozen organisatie hebben toegang tot jouw website of applicatie. Bijvoorbeeld wanneer je een regio selecteert en deze optie aanvinkt, hebben de leden van alle groepen die onderdeel zijn van die regio ook toegang.
  3. : Verwijder de instellingen voor deze organisatie.
6. Instellingen:
  1. Publieke OpenID Connect client: Kies deze optie wanneer je OpenID Connect client een mobiele, desktop of Single Page (in-browser) applicatie is, waarbij het gedeelde geheim (client secret) niet op een veilige manier opgeslagen en gecommuniceerd kan worden, zonder enige mogelijkheid voor de eindgebruiker om deze te achterhalen. Een publieke OpenID Connect client heeft geen gedeeld geheim (client secret), maar authenticeert zich bij de login server door gebruik te maken van PKCE.
  2. Gebruik van PKCE (code challenge) is verplicht: Selecteer deze optie om het gebruik van PKCE verplicht te maken. Wanneer Publieke OpenID Connect client is gekozen, dan is deze optie altijd verplicht.
    
    PKCE (Proof Key for Code Exchange) maakt inloggen via OpenID Connect veiliger tegen het stelen van accounttoegang door het onderscheppen van de authorization code.
  3. Sta inloggen met een SOL 1.0 account toe (verouderd): Selecteer deze optie om gebruikers met hun oude SOL 1.0 account op jouw website of applicatie in te laten loggen. Deze optie is niet aangeraden.

Gegevens van de website of applicatie inzien

Log in op https://login.scouting.nl/ met je Scouts Online inlogaccount.
Open het menu-item 'Beheerde websites'.
Op deze pagina zie je een lijst van al de door jou aangemelde websites en applicaties.
Klik op het icoon achter de website op applicatie om de gegevens te tonen:
1. Redirect URI: De redirect url die je hebt ingesteld.
2. Post Logout Redirect URI: De post logout redirect url die je hebt ingesteld, deze kan leeg zijn.
3. Client ID: Het client ID, deze moet je instellen in je eigen website of applicatie.
4. Client Secret: Het client secret, deze moet je instellen in je eigen website of applicatie. Wanneer deze leeg is, is het een 'publieke' client en is het verplicht om PKCE te gebruiken.
5. Scopes: De scopes die je hebt gekozen, deze moet je instellen in je eigen website of applicatie.
6. Endpoints:
  1. Discovery: De URL waarmee alle informatie over wat de OP ondersteunt op te halen is. Waneer je website of applicatie dit ondersteunt, kan je deze instellen en dan hoef je de onderstaande endpoints niet meer in te stellen.
  2. Authorization: De URL waar de authorization code kan worden opgevraagd.
  3. Token: De URL waar de authorization code kan worden ingeruild voor een access token, refresh token en ID-token.
  4. User info: De URL waar met gebruik van het access token informatie over de ingelogde gebruiker opgevraagd kan worden.
  5. Logout: De URL waar de ingelogde gebruiker uitgelogd kan worden bij de OP.

Wijzigen van een website of applicatie

Log in op https://login.scouting.nl/ met je Scouts Online inlogaccount.
Open het menu-item 'Beheerde websites'.
Op deze pagina zie je een lijst van al de door jou aangemelde websites en applicaties.
Klik op het icoon achter de website op applicatie om deze te wijzigen.

Verwijderen van een website of applicatie

Log in op https://login.scouting.nl/ met je Scouts Online inlogaccount.
Open het menu-item 'Beheerde websites'.
Op deze pagina zie je een lijst van al de door jou aangemelde websites en applicaties.
Klik op het icoon achter de website op applicatie om deze te verwijderen.