SSO met Microsoft AD FS

Introductie

Hoe stel je SSO in als Zivver-beheerder? Zivver ondersteunt Single Sign-On (SSO) via Microsoft AD FS. Hiermee kunnen gebruikers inloggen bij Zivver met hun werkplekgegevens.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0; in dit scenario is Microsoft AD FS de Identity Provider (IdP) en Zivver de Service Provider (SP).

Om SSO in Zivver te activeren, is het volgende nodig:

  1. Je bent Zivver-beheerder.
  2. Je hebt toegang tot de AD FS-beheerconsole op de AD FS-server.

SSO instellen in AD FS

  1. Open de AD FS-beheerconsole.
  2. Klik rechts op Relying Party Trust toevoegen.
  3. Kies Claims aware als je kunt kiezen tussen Claims aware en Non-claims aware.
  4. Klik op Start.
  5. Selecteer Gegevens importeren over de relying party die online of op een lokaal netwerk gepubliceerd zijn.
  6. Plak onder Federation metadata-adres (hostnaam of URL) de Zivver metadata-URL: https://app.zivver.com/api/sso/saml/meta.
  7. Klik op Volgende.
    Info
    Als je de foutmelding “An error occurred during an attempt to read the federation metadata. Verify that the specified URL or host name is a valid federation metadata endpoint. Verify your proxy server setting. For more information […]” ziet, voeg dan deze registersleutel toe op de AD FS-server en herstart de server.

    Locatie: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    DWORD-naam: SchUseStrongCrypto
    Waarde: 1
    Achtergrondinformatie
  8. Kies Zivver als naam van de integratie.
  9. Klik op Volgende.
  10. Kies een Access Control Policy of kies Iedereen toestaan.
    Met een Access Control Policy geef je aan dat alleen gebruikers die tot een bepaalde groep behoren toegang hebben tot Zivver.
  11. Klik op Volgende.
    Je krijgt een overzicht van de AD FS-instellingen te zien.
  12. Controleer of alle gegevens correct zijn.
  13. Klik op Volgende.
  14. Laat het vinkje bij Open het dialoogvenster Edit Claim Rules aangevinkt.
  15. Klik op Sluiten.

Claim Rules instellen

Je moet de Claim Rules instellen in de AD FS-beheerconsole om Zivver in staat te stellen informatie over een gebruiker op te halen uit AD FS. Claim Rules vertalen attributen van AD FS naar waarden die Zivver kan lezen en gebruiken. Je komt automatisch in het Edit Claim Issuance Policy-venster terecht als je net een Relying Party Trust hebt aangemaakt. Ga anders naar Trust relationships > Relying Party Trusts > app.zivver.com > Edit Claim Rules… in de AD FS-beheerconsole.

  1. Klik op Add Rule….
  2. Zorg dat Send LDAP Attributes as Claims geselecteerd is.
  3. Klik op Next.
  4. Vul bij Claim rule name de naam AD Attributes in.
  5. Kies bij Attribute Store: voor Active Directory.
  6. Stel in de eerste rij LDAP Attribute in op E-Mail-Addresses.
  7. Stel in de eerste rij Outgoing Claim Type in op E-Mail Address.
  8. Typ in de tweede rij objectGUID in de kolom LDAP Attribute.
  9. Druk op TAB op je toetsenbord.
  10. Klik op objectGUID en selecteer het uit het drop-downmenu.
    Info
    Het is nodig om objectGUID te selecteren uit het drop-downmenu nadat je het hebt getypt, omdat objectGUID standaard niet in het menu beschikbaar is. Deze stappen zijn foutgevoelig, volg ze daarom precies.
  11. Stel in de tweede rij Outgoing Claim Type in op https://zivver.com/SAML/Attributes/ZivverAccountKey.
    Waarschuwing
    Zivver gebruikt ZivverAccountKey in het encryptieproces. Het is daarom belangrijk dat het nummer lang, uniek en willekeurig is. Bij voorkeur wordt dit nummer gegenereerd door jouw organisatie en niet gebruikt door andere integraties of systemen. Als het niet mogelijk is om dit nummer zelf te genereren, kan objectGUID als alternatief worden gebruikt. Dit nummer wordt echter vaak in andere integraties gebruikt en vormt daardoor een veiligheidsrisico. Gebruik geen ObjectSID of andere AD-attributen, omdat deze waarden gemakkelijk te raden zijn.
  12. Klik op Finish om de claim rules op te slaan.
  13. Klik op Add Rule om een tweede claim rule toe te voegen.
  14. Kies de template Transform an Incoming Claim.
  15. Klik op Next.
  16. Vul bij Claim rule name de naam E-mail transform in.
  17. Stel Incoming claim type in op E-Mail Address.
  18. Stel Outgoing claim type in op Name ID.
  19. Stel Outgoing name ID format in op Email.
    Dit zorgt ervoor dat het e-mailadres van de gebruiker als primaire waarde wordt doorgegeven.
  20. Klik op Finish.
    Je hebt nu succesvol de verbinding tussen Zivver en AD FS ingesteld.

SSO instellen in Zivver

  1. Log in op de Zivver WebApp.
  2. Klik Organisatie-instellingen.
  3. Vouw Gebruikersbeheer uit.
  4. Klik op Single Sign-on.
  5. Selecteer Automatisch Aanbevolen.
  6. Voer de URL in van het AD FS federation metadata XML-bestand van jouw organisatie in het tekstvak onder URL.
    Tip
    Gebruik de PowerShell-cmdlet Get-AdfsEndpoint -AddressPath "/FederationMetadata/2007-06/FederationMetadata.xml" op je AD FS-server om de AD FS-metadata-URL op te halen. De URL zal waarschijnlijk opgebouwd zijn als: https://<adfs.organisation_domain.tld>/FederationMetadata/2007-06/FederationMetadata.xml
     
    Opmerking
    Als je organisatie alleen AD FS gebruikt vanaf een intern netwerk, kan Zivver de AD FS-metadata niet ophalen via een URL. Ga naar de handleiding voor SSO via AD FS voor interne netwerken en ga vanaf daar verder.
  7. Klik op .
  8. Klik op rechtsboven.
    Je kunt nu Zivver 2FA vrijstellen of SSO testen.

Zivver 2FA-vrijstelling (optioneel)

Een Zivver-account is standaard beveiligd met een extra toegangscode (2FA). 2FA is ook vereist bij het inloggen op Zivver via SSO. De Zivver 2FA kan echter in bepaalde Authentication Contexts worden vrijgesteld. AD FS kan bepaalde Authentication Methods doorgeven om aan te tonen dat de inlogpoging veilig genoeg is om de Zivver 2FA vrij te stellen.

Met deze Authentication Methods vraagt Zivver geen 2FA bij het inloggen:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
  • urn:federation:authentication:windows
Waarschuwing
De bovenstaande Authentication Methods zorgen ervoor dat een gebruiker nooit om 2FA wordt gevraagd bij het inloggen op Zivver in deze Authentication Contexts. Dit kan een mogelijk beveiligingsrisico vormen, omdat gebruikers nu zonder 2FA kunnen inloggen. Wees voorzichtig voordat je deze Authentication Methods toepast en analyseer de beveiligingsrisico’s voordat je ze implementeert!

Volg deze stappen om de 2FA-vrijstelling in Zivver in te stellen:

  1. Log in op de Zivver WebApp.
  2. Klik Organisatie-instellingen.
  3. Vouw Gebruikersbeheer uit.
  4. Klik op Single Sign-on.
  5. Scroll naar beneden naar de kaart Zivver 2FA uitzonderingen.
  6. Voer in het veld Authenticatiecontexten die uitgezonderd worden in:
    • urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
    • urn:federation:authentication:windows
  7. Klik op .
    Je hebt nu succesvol een 2FA-vrijstelling ingesteld voor AD FS. Wanneer gebruikers inloggen via SSO met de bovenstaande Authentication Contexts, zal Zivver geen 2FA vragen.

Inloggen op de WebApp met SSO

  1. Ga naar de Zivver WebApp.
  2. Voer je e-mailadres in.
  3. Afhankelijk van je rol in Zivver:
    • Gebruikers worden direct doorgestuurd naar het inlogscherm van de organisatie.
    • Beheerders kunnen kiezen tussen inloggen met hun Zivver-wachtwoord of met hun werkplekkegevens.
  4. Log in met de gegevens van je organisatie.
    Afhankelijk van of een 2FA-vrijstelling van toepassing is, kan je gevraagd worden om een aanvullende inlogmethode. Als er een 2FA-vrijstelling geldt, wordt deze stap overgeslagen.
  5. Voer je aanvullende inlogfactor in.
    Je bent nu ingelogd op de Zivver WebApp.

Inloggen op Outlook met SSO

In de Zivver Office Plugin voor Outlook kan je via SSO inloggen met de volgende stappen:

  1. Klik op het Zivver-tabblad.
  2. Klik Accounts beheren.
  3. Klik op de link add_circle Voeg een account toe.
  4. Voer het e-mailadres in dat je wilt gebruiken om in te loggen.
  5. Klik op .
    Je wordt doorgestuurd naar het inlogscherm van je organisatie.
  6. Log in met de gegevens van je organisatie.
    Afhankelijk van of een 2FA-vrijstelling van toepassing is, kan je gevraagd worden om een aanvullende inlogmethode. Als er een 2FA-vrijstelling geldt, wordt deze stap overgeslagen.
  7. Voer je aanvullende inlogfactor in.
    Je bent nu ingelogd in Outlook.

Gebruikersnaamveld aanpassen op AD FS-inlogpagina (optioneel)

Van toepassing op: Windows Server 2012 R2 en Windows Server 2016.

Info

AD FS ondersteunt het aanpassen van de inlogervaring op Windows Server 2012 R2 en Windows Server 2016. Hieronder staan drie opties om het gebruikersnaamveld op de AD FS-inlogpagina aan te passen.

E-mailadres instellen als inlognaam

Zivver gebruikt het e-mailadres als inlognaam. Als je inlogt op de Zivver WebApp, wordt je e-mailadres automatisch doorgestuurd naar AD FS. Als een gebruiker inlogt bij AD FS met een User Principal Name (UPN), zoals contoso\jdoe, kan die niet inloggen met het vooraf ingevulde e-mailadres. Dit kan verwarrend zijn voor gebruikers. Gebruik de volgende stappen om AD FS zo in te stellen dat het e-mailadres ook als inlognaam wordt geaccepteerd:

  1. Open PowerShell op de primaire AD FS-server.
  2. Gebruik dit commando om het e-mail-AD-attribuut als alternatieve inlognaam in te stellen:
Set-ADFSClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests <forest domain>

Achtergrondinformatie

Info
Vervang <forest domain> door je AD-domein.
Gebruikers kunnen nu ook inloggen bij AD FS met hun e-mailadres als gebruikersnaam.

Om de alternatieve inlogmethode te verwijderen, start je dit commando:

Set-ADFSClaimsProviderTrust -TargetIdentifier "AD AUTHORITY"-AlternateLoginID $NULL -LookupForests $NULL

Stel een aangepaste gebruikersnaam in

Bewerk het AD FS onload.js-bestand om een aangepaste gebruikersnaam in te stellen. Gebruikers kunnen dan waarden invullen voor hun gebruikersnaam die anders zijn dan UPN’s.

Voeg hiervoor document.forms['loginForm'].UserName.value = '<clientdomain.local>\\<yourusername>' toe aan het AD FS onload.js-bestand. Gebruik Voorbeeld 2 in dit Microsoft-artikel als model.

Laat de gebruikersnaam standaard leeg

Pas het AD FS onload.js-bestand aan zodat het veld username standaard leeg is. Voeg hiervoor document.forms['loginForm'].UserName.value = '' toe aan het AD FS onload.js-bestand.
Gebruik Voorbeeld 2 in dit Microsoft-artikel als model.

Maak een snelkoppeling naar de WebApp (optioneel)

Gebruik deze link om een snelkoppeling te maken. Hiermee kan de gebruiker de WebApp direct openen zonder handmatig in te loggen.

https://adfs.<organization>.<tld>/adfs/ls/idpinitiatedsignon.aspx?logintorp=https://app.zivver.com/SAML/Zivver

Voeg vertrouwde netwerken toe aan AD FS (optioneel)

Van toepassing op Windows Server 2012 en Windows Server 2012 R2

Waarschuwing
Dit kan van invloed zijn op de mogelijkheid van gebruikers om veilig te mailen. Overweeg de situatie zorgvuldig voordat je verdergaat.

Als je organisatie AD FS gebruikt voor SSO, kun je instellen dat gebruikers alleen vanuit een bepaald IP-bereik kunnen inloggen op Zivver. Gebruik geen vertrouwde netwerken in Zivver als je ook SSO gebruikt. Stel daarom het IP-bereik in AD FS in.
Leer hoe je vertrouwde netwerken instelt in AD FS.