Waarschuwing

Gebruik deze handleiding alleen als je de standaard en aanbevolen methode voor het configureren van Microsoft AD FS voor Zivver niet kunt gebruiken.

Wanneer je SSO configureert met de methode in deze handleiding, stopt SSO met werken zodra het AD FS-certificaat verloopt. Na het verlopen van het certificaat moet je handmatig de AD FS-metadata in Zivver bijwerken.

Met deze methode kunnen gebruikers ook niet inloggen bij Zivver buiten je interne netwerk. Dit kan bijvoorbeeld problemen veroorzaken bij thuiswerken.

Introductie

Zivver ondersteunt Single Sign-On (SSO) via Microsoft AD FS, zodat gebruikers kunnen inloggen bij Zivver met hun werkaccount. Deze handleiding laat zien hoe je SSO instelt als Zivver-beheerder.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. In dit scenario fungeert Microsoft AD FS als Identity Provider (IdP) en Zivver als Service Provider (SP).

Om SSO in Zivver te activeren, heb je het volgende nodig:

1. Je bent Zivver-beheerder.
2. Je hebt toegang tot de AD FS-beheerconsole op de AD FS-server.

Opmerking

Deze pagina beschrijft alleen de stappen om SSO in Zivver in te stellen voor AD FS die alleen bereikbaar is via het interne netwerk. Voor alle overige vereiste stappen, zie SSO met Microsoft AD FS.

SSO instellen in Zivver met de alternatieve methode

1. Log in op de Zivver WebApp.
2. Klik op Organisatie-instellingen.
3. Klap Gebruikersbeheer uit.
4. Klik op Single Sign-on.
5. Selecteer Handmatig.
   De volgende stappen helpen je de SAML-metadata van AD FS op te halen zodat je deze in de Zivver WebApp kunt plakken.
6. Log in op je AD FS-server.
7. Open een browser.
8. Vul de URL van AD FS in, gevolgd door /FederationMetadata/2007-06/FederationMetadata.xml.
   Bijvoorbeeld: https://adfs.organisation_domain.tld/FederationMetadata/2007-06/FederationMetadata.xml.
   Modern browsers slaan automatisch een bestand FederationMetadata.xml op. In IE11 kun je de pagina opslaan als .xml-bestand met Ctrl + S.

Tip

Gebruik de PowerShell-cmdlet Get-AdfsEndpoint -AddressPath "/FederationMetadata/2007-06/FederationMetadata.xml" om de AD FS-metadata-URL te vinden. De URL ziet er meestal ongeveer zo uit: https://adfs.organisation_domain.tld/FederationMetadata/2007-06/FederationMetadata.xml

9. Open het bestand FederationMetadata.xml in Kladblok.
   Het openen in Kladblok is belangrijk, omdat je de metadata als platte tekst nodig hebt.
10. Selecteer en kopieer de volledige inhoud van het .xml-bestand.
11. Ga terug naar de pagina Single Sign-on in Zivver.
12. Plak de volledige inhoud in het tekstvak onder Identity Provider’s .XML.
13. Klik op Opslaan.
14. Klik bovenaan de pagina op Single sign-on inschakelen.

Opmerking

Zivver is nu geconfigureerd voor Single Sign-On; echter, AD FS is nog niet ingesteld om binnenkomende authenticatieverzoeken van Zivver af te handelen. Wanneer SSO in het Zivver-beheerpaneel is ingeschakeld, zal Zivver gebruikers alleen via de Identity Provider authenticeren. Dit kan loginproblemen veroorzaken voor gebruikers die zijn aangemaakt voordat SSO volledig is ingesteld. Gebruikers blijven ingelogd en worden niet uitgelogd wanneer je SSO aan- of uitzet. Zivver-beheerders kunnen altijd inloggen met een gebruikersnaam en wachtwoord, zelfs als AD FS nog niet volledig is geconfigureerd om met Zivver te werken.

15. Klik op Kopieer onder Zivver metadata URL. Je kunt deze URL gebruiken in de volgende stappen.
    Zivver is nu ingesteld voor Single Sign-On. De volgende en laatste stap is het aanpassen van de instellingen in de AD FS-beheerconsole.

Ga verder met de stappen in SSO met Microsoft AD FS.