SSO met Okta

Inleiding

Zivver ondersteunt Single Sign-On (SSO) via Okta, zodat gebruikers met de inloggegevens van hun werkplek in Zivver kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO instelt.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Okta de Identity Provider (IdP) en Zivver de Service Provider (SP).

Om SSO in Zivver te kunnen activeren, heb je de volgende zaken nodig:

  1. Je bent beheerder in Zivver.
  2. Je hebt toegang tot Beheer in Okta.
    Voorbeeld URL: https://[organisatie]-admin.okta.com/admin/dashboard

SSO instellen in Okta

De eerste stap is om Zivver als SSO SP in Okta in te stellen.

  1. Log in op Okta.
  2. Ga naar het Admin dashboard.
  3. Ga naar Applications.
  4. Klik op Add Application.
  5. Klik op Create New App.
  6. Stel Platform in op Web.
  7. Stel Sign on method in op SAML 2.0.
  8. Klik op Create.
  9. Geef als App name op Zivver.
  10. Upload eventueel een logo, zoals bijvoorbeeld het Zivver-logo.
  11. Klik op Upload Logo.
  12. Klik op Next.
  13. Schakel Use this for Recipient URL and Destination URL uit.
  14. Vul de volgende gegevens in:

    InstellingWaarde
    Single sign on URLhttps://app.zivver.com/api/sso/saml/consumer/
    Recipient URLhttps://app.zivver.com/SAML/Zivver
    Destination URLhttps://app.zivver.com/api/sso/saml/consumer/
    Audience URI (SP Entity ID)https://app.zivver.com/SAML/Zivver
    Default RelayStateN/A, leave blank
    Name ID formatEmailAddress
    Application usernameEmail

  15. Klik op Show Advanced Settings.

  16. Vul de volgende gegevens in:

    SettingValue
    ResponseSigned
    Assertion SignatureSigned
    Signature AlgorithmSHA256
    Digest AlgorithmSHA256
    Assertion EncryptionNo
    Authentication context classPasswordProtectedTransport
    Honor Force AuthenticationYes
    Honor Force Authenticationhttp://www.okta.com/{org.externalKey} (vervang {org.externalKey} met de external key van jouw Okta organisatie)

  17. Ga naar de sectie Attribute Statements (optional).

  18. Vul de volgende gegevens in:

    NameValue
    https://zivver.com/SAML/Attributes/ZivverAccountKeyuser.id
    urn:oid:2.5.4.42user.displayName
    urn:oid:2.5.4.20user.mobilePhone
    urn:oid:2.5.4.3user.firstName

  19. Klik op Next.

  20. Stel Are you a customer or partner? in op I’m an Okta customer adding an internal app.

  21. Vul eventueel de optionele vragen in.

  22. Klik op Finish.

  23. Ga naar het Sign On tabblad van uw nieuw aangemaakte applicatie.

  24. In de Sign On Methods sectie, vind de Identity Provider metadata link recht boven de Credentials Details sectie.

  25. Rechtermuisklik de Identity Provider metadata link en selecteer Copy Link Address.
    Je hebt dit Link Address nodig in de volgende sectie. Lukt het niet? Ga dan naar De Okta documentatie.

  26. Ga naar Assignments.

  27. Wijs de Zivver-applicatie toe aan personen/groepen.
    Okta is nu correct ingesteld voor SSO in Zivver.

SSO instellen in Zivver

De laatste stap is om SSO in Zivver in te stellen.

  1. Log in op de WebApp.
  2. Klik linksonder op de room_preferences Organisatie-instellingen.
  3. Ga naar people_outline Gebruikersbeheer.
  4. Ga naar Single Sign-on.
  5. Selecteer Automatisch.
  6. Plak de URL die je hebt gekopieerd in SSO instellen in Okta.
  7. Klik op Opslaan.
  8. Klik boven aan de pagina op key Single sign-on inschakelen.
    SSO is nu ingesteld en klaar voor gebruik.

Zivver 2FA vrijstelling (optioneel)

Een Zivver-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers via SSO van Okta inloggen.

Helaas kan Okta niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. Okta geeft namelijk altijd de volgende SAML-response mee:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Dit betekent dat de SAML-response geen informatie bevat waar Zivver uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Zivver zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO-instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Okta in combinatie met een 2FA vrijstelling in Zivver. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Okta wanneer je de bovenstaande authenticatiecontext vrijstelt in Zivver.

Volg onderstaande stappen om de 2FA vrijstelling voor Okta in Zivver in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder op de room_preferences Organisatie-instellingen.
  3. Ga naar people_outline Gebruikersbeheer.
  4. Ga naar Single Sign-on.
  5. Scroll naar beneden tot de kaart Zivver 2FA uitzonderingen.
  6. Vul in het veld Authenticatiecontexten die uitgezonderd worden de waarde in:
    • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
  7. Klik op Opslaan.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Okta. Wanneer gebruikers nu inloggen via SSO, zal Zivver niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.
  2. Vul je e-mailadres in.
  3. Wat is je rol in Zivver?
    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.
    • Beheerder: je kiest tussen je Zivver-wachtwoord en je werkplekinloggegevens om in te loggen.
  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de Zivver Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad Zivver.
  2. Klik op Accounts beheren account_circle.
  3. Klik op de link Voeg een account toe add_circle.
  4. Selecteer het e-mailadres waarmee je wilt inloggen.
  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.
  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.