Use cases Single Sign-On
In stap GUC1 Gebruiken eToegang als dienstafnemer of GUC2 Gebruiken eToegang als vertegenwoordiger kan de dienstverlener in de vraag specificeren dat Single Sign-On is toegestaan of dat een hernieuwde authenticatie wordt afgedwongen.
Voor diensten die betrouwbaarheidsniveau 4 vereisen is Single Sign-On nooit toegestaan.
In stap GUC3 Aantonen identiteit wordt door een authenticatiedienst die SSO ondersteunt als volgt gehandeld:
De authenticatiedienst MOET de optie bieden aan de gebruiker om aangelogd te blijven. Dit mag na succesvolle authenticatie of, als er (nog) geen geldige authenticatie is, voorafgaand aan de authenticatie. Indien de gebruiker deze optie selecteert, wordt deze bewaard en kan vanaf dat moment SSO plaatsvinden. Tevens zal de authenticatiedienst vanaf dit moment de timer van het maximum authenticatiedienst tijdsverloop starten.
Indien door de dienstverlener een hernieuwde authenticatie wordt afgedwongen en er al eerder een aanlog door de gebruiker heeft plaatsgevonden waarvan de authenticatie bewaard is gebleven, MOET de nog niet verlopen authenticatie worden beƫindigd.
Indien SSO is toegestaan en er al eerder een aanlog door de gebruiker heeft plaatsgevonden waarvan de authenticatie bewaard is en die nog niet verlopen is, wordt deze hergebruikt zonder interactie met de gebruiker en gaat het authenticatiedienst tijdsverloop opnieuw in.
Na het succesvol uitvoeren van GUC1 Gebruiken eToegang als dienstafnemer of GUC2 Gebruiken eToegang als vertegenwoordiger MOET de dienstverlener die SSO toepast lokaal de sessie bijhouden. Indien SSO wordt toegepast moet de dienstverlener een logoutfunctie aanbieden.
Varianten bij Single Sign-On
Als onderdeel van de alternatieve flow voor Single Sign-On kunnen de volgende varianten voorkomen (die hier dus als alternatieve flow binnen de alternatieve flow van Use cases Single Sign-On beschreven worden).