SSO met Microsoft Azure Active Directory

Inleiding

Zivver ondersteunt Single Sign-On (SSO) via Microsoft Azure AD, zodat gebruikers met de inloggegevens van hun werkplek in Zivver kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO instelt. SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Azure AD de Identity Provider (IdP) en Zivver de Service Provider (SP).

Om SSO in Zivver te kunnen activeren, heb je de volgende zaken nodig:

  1. Je bent beheerder in Zivver.

  2. Je hebt toegang tot Azure Active Directory op Microsoft Azure.

SSO instellen in Azure AD

De eerste stap is om SSO in Azure AD in te stellen.

  1. Log in op Microsoft Azure.

  2. Klik op Azure Active Directory.

  3. Klik op Bedrijfstoepassingen.

  4. Klik op add Nieuwe toepassing.

  5. Klik op Mail.

  6. Zoek naar Zivver.

  7. Selecteer de applicatie door op de Zivver tegel te klikken.

  8. Klik op Maken in het rechter paneel.
    Wacht totdat de Zivver app is toegevoegd. Je wordt vervolgens automatisch doorgeleid naar het configuratiescherm voor de Zivver app.

  9. Selecteer het tabblad Eigenschappen.

  10. Bij Toewijzing vereist? selecteer Nee.

  11. Klik op Eenmalige aanmelding in het segment Beheren.

  12. Klik op de SAML tegel.
    Je ziet een pop-up om de Instelling voor eenmalige aanmelding op te slaan.

  13. Klik Ja..

  14. Klik op Bewerken edit in het tabblad Gebruikerskenmerken en claims.

  15. Klik op de rij Unique User Identifier (Name ID).
    Je wordt doorgestuurd naar de "Manage claim" pagina.

  16. Bij Source attribute selecteer user.mail.

  17. Klik op Opslaan en sluit de "Manage claim" pagina met het kruisje rechts bovenin.

  18. Klik op add Nieuwe claim toevoegen.

  19. Vul de volgende gegevens in:

Naam Naamruimte Bron Bronkenmerk

ZivverAccountKey

https://zivver.com/SAML/Attributes

Kenmerk

user.objectid

Warning
Controleer of jouw organisatie Zivver accounts aanmaakt via Active Directory on-premise met de Zivver Synctool omdat user.objectid in dat geval niet werkt als ZivverAccountKey. Volg eerst de instructies uit de handleiding Synchroniseer "objectGUID" met AD Connect in hybride AD configurations en selecteer na het synchroniseren user.objectguid (extension__objectGUID) uit het dropdown menu als Bronkenmerk in plaats van user.objectid.
  1. Klik op Opslaan.

  2. Ga terug naar Op SAML gebaseerde aanmelding.
    Je wordt mogelijk gevraagd door Azure AD om single sign-on te testen. Selecteer Nee, ik test later als dat zo is.

  3. Kopieer file_copy de App-URL voor federatieve metagegevens onder (3) SAML-handtekeningcertificaat.
    Je hebt deze URL nodig voor het Zivver beheerpaneel in de volgende sectie.

SSO instellen in Zivver

De tweede stap is om SSO in Zivver in te stellen. Dit doe je in het Zivver beheerpaneel.

  1. Log in op de WebApp.

  2. Klik linksonder op de Organisatie-instellingen tune .

  3. Ga naar Single sign-on (SSO) vpn_key .

  4. Selecteer Automatisch (aangeraden).

  5. Plak de App-URL voor federatieve metagegevens dat op je klembord staat van de vorige sectie.

  6. Klik op OPSLAAN.
    SSO is ingesteld in Zivver.

    Note
    Dit zorgt ervoor dat gebruikers alleen nog maar via Azure kunnen inloggen in Zivver. Alleen gebruikers die in Azure ook zijn toegewezen aan de applicatie Zivver kunnen inloggen in Zivver, gegeven dat zij ook een actieve account in Zivver hebben. De uitzonderingen zijn de beheerders van Zivver, zij kunnen altijd kiezen tijdens het inloggen tussen SSO en inloggen met een gebruikersnaam en wachtwoord.

Zivver 2FA vrijstelling (optioneel)

Een Zivver-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers via SSO van Azure AD inloggen en daarbij al om een 2FA door Azure worden gevraagd. Dit voorkomt dat gebruikers twee keer een 2FA moeten invullen bij het inloggen in Zivver.

Bij de volgende Authentication Methods vraagt Zivver bij het inloggen niet om een 2FA:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:Password

  • urn:oasis:names:tc:SAML:2.0:ac:classes:Unspecified

  • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Dit betekent dat de SAML-response geen informatie bevat waar Zivver uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Warning
Zivver zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Azure AD in combinatie met een 2FA vrijstelling in Zivver. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Azure AD wanneer je de bovenstaande authenticatiecontext vrijstelt in Zivver.

Volg onderstaande stappen om de MFA-vrijstelling voor Azure AD in Zivver in te stellen:

  1. Log in op de WebApp.

  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .

  3. Klik op Single Sign-On (SSO) vpn_key .

  4. Vul in het veld SAML 2.0 authenticatiecontexten met Zivver 2FA vrijstellingen de waarde in:
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    urn:oasis:names:tc:SAML:2.0:ac:classes:Unspecified
    urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  5. Klik op OPSLAAN.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Azure AD. Wanneer gebruikers nu inloggen via SSO, zal Zivver niet om 2FA vragen.

Gebruikers toewijzen aan de applicatie Zivver in Azure

De derde step is om gebruikers toe te wijzen aan de applicatie Zivver in Azure.

  1. Log in op Microsoft Azure.

  2. Klik op Azure Active Directory.

  3. Klik op Bedrijfstoepassingen.

  4. Selecteer Zivver uit de lijst met Bedrijfstoepassingen.

    Tip
    Als je alle gebruikers in jouw Azure AD in een keer wil toewijzen aan de Zivver applicatie, dan kan je de schuifknop achter Gebruikerstoewijzing vereist? zetten op Nee onder het Eigenschappen tabblad bij Beheren. Dit betekent dat alle gebruikers in Azure AD kunnen inloggen in Zivver zonder verdere toewijzing, gegeven dat zij ook een actieve Zivver-account hebben. Als je kiest voor deze optie, kan je de stappen hieronder overslaan.
  5. Ga naar het tabblad Gebruikers en groepen.

  6. Klik op add Gebruiker toevoegen.

  7. Klik op Gebruikers >.

  8. Zoek en selecteer gebruikers en/of groepen uit de lijst.

    Tip
    Als je groepen wil toewijzen aan de Zivver applicatie in Azure AD, dan heb je een Enterprise mobility + security E5 of Azure AD premium P2 licentie nodig in Azure. Anders kan je alleen losse gebruikers selecteren.
  9. Klik op Selecteren.

  10. Klik op Toewijzen.
    De toegewezen gebruikers kunnen nu inloggen in Zivver, gegeven dat zij een actieve Zivver-account hebben.

Test single sign-on

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.

  2. Vul je e-mailadres in.

  3. Wat is je rol in Zivver?

    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.

    • Beheerder: je kiest tussen je Zivver-wachtwoord en je werkplekinloggegevens om in te loggen.

  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.

  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de Zivver Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad Zivver.

  2. Klik op Accounts beheren account_circle .

  3. Klik op de link Voeg een account toe add_circle .

  4. Selecteer het e-mailadres waarmee je wilt inloggen.

  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.

  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.

  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.

Was dit artikel behulpzaam?

thumb_up thumb_down