SSO met Google Workspace

Inleiding

Hoe stel je SSO in als Zivver beheerder?

Zivver ondersteunt Single Sign-On (SSO) via Google Workspace. Gebruikers kunnen nu inloggen op Zivver met hun werkplekgegevens.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0; in dit scenario is Google Workspace de Identity Provider (IdP) en Zivver de Service Provider (SP).

Om SSO in Zivver te activeren, heb je het volgende nodig (alle):

  • Je bent een Zivver-beheerder.
  • Je hebt toegang tot de Admin panel in Google Workspace.
  • Je hebt Super Admin-rechten in Google Workspace. Deze heb je nodig om een nieuwe SSO-koppeling in te stellen.

SSO-koppeling instellen in Google Workspace

  1. Log in op Google Workspace.
  2. Klik in het menu aan de linkerkant op Apps > Web- en mobiele apps.
  3. Klik op App toevoegen > Aangepaste SAML-app toevoegen.
    Een nieuw venster wordt geopend.
  4. Vul in App naam een naam in, bijvoorbeeld Zivver.
  5. Optioneel Voer een beschrijving en een app-pictogram in.
  6. Klik DOORGAAN. 1 Klik op METADATA DOWNLOADEN. 1 Klik DOORGAAN.
  7. Stel ACS-URL in op https://app.zivver.com/api/sso/saml/consumer/.
  8. Stel Entiteits-ID in op https://app.zivver.com/SAML/Zivver.
  9. Optioneel: Stel Start-URL in op https://app.zivver.com/
  10. Laat Ondertekende reactie leeg.
  11. Stel Notatie naam-ID in op EMAIL
  12. Stel Naam-ID-indeling in op Basic Information > Primary email
  13. Klik DOORGAAN.
  14. Klik op TOEWIJZING TOEVOEGEN.
  15. In Google-directorykenmerken, selecteer Primary email.
  16. In App-kenmerken, voer https://zivver.com/SAML/Attributes/ZivverAccountKey in.
  17. Klik VOLTOOIEN.
    Je wordt automatisch doorgestuurd naar de pagina van de SAML-applicatie van Zivver.
  18. Klik Gebruikerstoegang.
  19. Selecteer Servicestatus AAN voor iedereen.
  20. Klik OPSLAAN.

Je hebt SSO succesvol ingesteld in Google Workspace.

SSO-koppeling instellen in Zivver

Volg onderstaande stappen op om de zojuist aangemaakte SSO-koppeling in Zivver te cofigureren:

  1. Log in op de WebApp.
  2. Klik linksonder op de room_preferences Organisatie-instellingen.
  3. Ga naar people_outline Gebruikersbeheer.
  4. Ga naar Single Sign-on.
  5. Selecteer Handmatig.
  6. Open de IDP metadata die je in Google Workspace hebt gedownload.
  7. Plak de inhoud van de IDP metadata in het veld Identity Provider’s .XML in Zivver.
  8. Klik op Opslaan.
  9. Klik boven aan de pagina op key Single sign-on inschakelen.

Je hebt succesvol de SSO-koppeling in Zivver ingesteld.

Gebruikers kunnen alleen inloggen via SSO. Zorg dat de SSO-koppeling werkt voordat je SSO aanzet in Zivver. Test onmiddelijk of gebruikers zich aan kunnen melden in de WebApp en in Outlook.

Zivver 2FA vrijstelling (optioneel)

Een Zivver-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers via SSO van Google Workspace inloggen.

Helaas kan Google Workspace niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. Google Workspace geeft namelijk altijd de volgende SAML-response mee:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

Dit betekent dat de SAML-response geen informatie bevat waar Zivver uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Zivver zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Google Workspace in combinatie met een 2FA vrijstelling in Zivver. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Google Workspace wanneer je de bovenstaande authenticatiecontext vrijstelt in Zivver.

Volg onderstaande stappen op om de 2FA vrijstelling voor Google Workspace in Zivver in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder op de room_preferences Organisatie-instellingen.
  3. Ga naar people_outline Gebruikersbeheer.
  4. Ga naar Single Sign-on.
  5. Scroll naar beneden tot de kaart Zivver 2FA uitzonderingen.
  6. Vul in het veld Authenticatiecontexten die uitgezonderd worden de waarde in:
    • urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
  7. Klik op Opslaan.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Google Workspace. Wanneer gebruikers nu inloggen via SSO, zal Zivver niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.
  2. Vul je e-mailadres in.
  3. Wat is je rol in Zivver?
    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.
    • Beheerder: je kiest tussen je Zivver-wachtwoord en je werkplekinloggegevens om in te loggen.
  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de Zivver Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad Zivver.
  2. Klik op Accounts beheren account_circle .
  3. Klik op de link Voeg een account toe add_circle .
  4. Selecteer het e-mailadres waarmee je wilt inloggen.
  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.
  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.