Impact op gebruik van ACM trusted Identity Providers

Gebruik van de GIPOD/KLIP GUI en SSO via trust‑tegel

Onze GUI integreert rechtstreeks met ACM via OpenID Connect (OIDC).

ACM zelf federeert verder met jullie Azure Entra ID via SAML. 

De TLS‑verbinding tussen jullie browser en onze GUI wordt bepaald door de combinatie van de TLS‑ondersteuning in de browser en de TLS‑configuratie van onze GUI.

Microsoft Edge, Mozilla Firefox, Safari en Google Chrome ondersteunen al een tijd standaard TLS 1.3, en het staat daar ook standaard aan.

De TLS‑communicatie tussen onze GUI en ACM (OIDC) bekijken we samen met de ACM‑technische experten om een volledig zicht te krijgen op eventuele impact. Op dit moment verwachten we geen blokkades, maar we valideren dit grondig.

De TLS‑communicatie tussen ACM en de trust Entra ID (SAML) wordt volledig door ACM en Microsoft beheerd. Een wijziging aan de GUI heeft geen impact op deze federatie.

Reactie ACM

We hebben feedback ontvangen van het ACM-team:

ACM ondersteunt TLSv1.3. 

Het is dus mogelijk om codes in te wisselen voor access tokens op het token endpoint en om te connecteren naar userinfo/introspection endpoints met gebruik van TSL v1.3.

De communicatie met de trusted IdP verloopt volledig via SAML 2.0/OIDC en dus volledig via de browser van de gebruiker. Zolang de browser van de gebruiker TLS v1.2 ondersteunt, zal de communicatie met de IdP vlot verlopen (zelf mocht ACM ondersteuning voor TLS 1.2 stop zetten, wat niet gepland is, voor alle duidelijkheid).

Deadline 01/06/2026

Mocht blijken dat een volledige TLS 1.3-only configuratie tegen die datum niet haalbaar is zonder impact op federaties, dan kunnen tijdelijke uitzonderingen worden aangevraagd en voorzien. 

Deze worden beperkt gehouden, actief gemonitord en enkel toegepast waar strikt noodzakelijk.

SAML vs. OIDC

OIDC kan op termijn zeker een alternatief zijn, maar dit is niet nodig voor de TLS‑migratie. Er zijn op dit moment geen acties vereist aan jullie kant.