SSO met Okta

Inleiding

Zivver ondersteunt Single Sign-On (SSO) via Okta, zodat gebruikers met de inloggegevens van hun werkplek in Zivver kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO instelt.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Okta de Identity Provider (IdP) en Zivver de Service Provider (SP).

Om SSO in Zivver te kunnen activeren, heb je de volgende zaken nodig:

  1. Je bent beheerder in Zivver.

  2. Je hebt toegang tot Beheer in Okta.
    voorbeeld URL: `https://[organisatie]-admin.okta.com/admin/dashboard`

SSO instellen in Okta

De eerste stap is om Zivver als SSO SP in Okta in te stellen.

  1. Log in op Okta.

  2. Ga naar het Admin dashboard.

  3. Ga naar Applications.

  4. Klik op Add Application.

  5. Klik op Create New App.

  6. Stel Platform in op Web.

  7. Stel Sign on method in op SAML 2.0.

  8. Klik op Create.

  9. Geef als App name op Zivver.

  10. Upload eventueel een logo, zoals bijvoorbeeld het Zivver-logo.

  11. Klik op Upload Logo.

  12. Klik op Next.

  13. Schakel Use this for Recipient URL and Destination URL uit.

  14. Vul de volgende gegevens in:

    Instelling Waarde

    Single sign on URL

    https://app.zivver.com/api/sso/saml/consumer/

    Recipient URL

    https://app.zivver.com/SAML/Zivver

    Destination URL

    https://app.zivver.com/api/sso/saml/consumer/

    Audience URI (SP Entity ID)

    https://app.zivver.com/SAML/Zivver

    Default RelayState

    N/A, leave blank

    Name ID format

    EmailAddress

    Application username

    Email

  15. Klik op Show Advanced Settings.

  16. Vul de volgende gegevens in:

    Setting Value

    Response

    Signed

    Assertion Signature

    Signed

    Signature Algorithm

    SHA256

    Digest Algorithm

    SHA256

    Assertion Encryption

    No

    Authentication context class

    PasswordProtectedTransport

    Honor Force Authentication

    Yes

    SAML Issuer ID

    http://www.okta.com/{org.externalKey} (Vervang {org.externalKey} met de external key van jouw Okta organizatie)

  17. Ga naar de sectie Attribute Statements (optional).

  18. Vul de volgende gegevens in:

    Name Value

    https://zivver.com/SAML/Attributes/ZivverAccountKey

    user.id

    urn:oid:2.5.4.42

    user.displayName

    urn:oid:2.5.4.20

    user.mobilePhone

    urn:oid:2.5.4.3

    user.firstName

  19. Klik op Next.

  20. Stel Are you a customer or partner? in op I’m an Okta customer adding an internal app.

  21. Vul eventueel de optionele vragen in.

  22. Klik op Finish.

  23. Ga naar het Sign On tabblad van uw nieuw aangemaakte applicatie.

  24. In de Sign On Methods sectie, vind de Identity Provider metadata link recht boven de Credentials Details sectie.

  25. Rechtermuisklik de Identity Provider metadata link en selecteer Copy Link Address.
    Je hebt dit Link Address nodig in de volgende sectie. Lukt het niet? Ga dan naar De Okta documentatie.

  26. Ga naar Assignments.

  27. Wijs de Zivver-applicatie toe aan personen/groepen.
    Okta is nu correct ingesteld voor SSO in Zivver.

SSO instellen in Zivver

De laatste stap is om SSO in Zivver in te stellen.

  1. Open je favoriete browser.

  2. Log in op de Zivver WebApp.

  3. Klik linksonder in het zijpaneel op de Organisatie-instellingen tune .

  4. Ga naar de pagina Single Sign-On vpn_key .

  5. Selecteer Haal automatisch de SAML metadata op via URL (aangeraden).

  6. Plak de URL die je hebt gekopieerd in SSO instellen in Okta.

  7. Vink de optie Gebruik Single sign-on aan.

  8. Klik op OPSLAAN.
    SSO is nu ingesteld en klaar voor gebruik.

Zivver 2FA vrijstelling (optioneel)

Een Zivver-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers via SSO van Okta inloggen.

Helaas kan Okta niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. Okta geeft namelijk altijd de volgende SAML-response mee:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Dit betekent dat de SAML-response geen informatie bevat waar Zivver uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Warning
Zivver zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Okta in combinatie met een 2FA vrijstelling in Zivver. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Okta wanneer je de bovenstaande authenticatiecontext vrijstelt in Zivver.

Volg onderstaande stappen om de 2FA vrijstelling voor Okta in Zivver in te stellen:

  1. Log in op de WebApp.

  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .

  3. Klik op Single Sign-On (SSO) vpn_key .

  4. Vul in het veld SAML 2.0 authenticatiecontexten met Zivver 2FA vrijstellingen de waarde urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport in.

  5. Klik op OPSLAAN.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Okta. Wanneer gebruikers nu inloggen via SSO, zal Zivver niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.

  2. Vul je e-mailadres in.

  3. Wat is je rol in Zivver?

    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.

    • Beheerder: je kiest tussen je Zivver-wachtwoord en je werkplekinloggegevens om in te loggen.

  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.

  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de Zivver Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad Zivver.

  2. Klik op Accounts beheren account_circle .

  3. Klik op de link Voeg een account toe add_circle .

  4. Selecteer het e-mailadres waarmee je wilt inloggen.

  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.

  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.

  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.

Was dit artikel behulpzaam?

thumb_up thumb_down