Introductie

Zivver ondersteunt Single Sign-On (SSO) via OneLogin, zodat gebruikers kunnen inloggen bij Zivver met de inloggegevens van hun werkplek. Deze handleiding legt uit hoe je als beheerder SSO instelt.
SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. OneLogin is de Identity Provider (IdP) en Zivver is de Service Provider (SP).
Om SSO in Zivver te activeren, heb je het volgende nodig:

1. Je bent een Zivver-beheerder.
2. Je hebt toegang tot het OneLogin beheerdersdashboard.
   Voorbeeld URL: https://www.onelogin.com/

SSO instellen in OneLogin

De eerste stap is om Zivver in te stellen als een aangepaste applicatieconnector in OneLogin.

1. Log in bij OneLogin.
2. Ga naar Apps > Add Apps.
3. Zoek naar SAML Test Connector (Advanced) en selecteer het eerste resultaat uit de zoekresultaten.
4. Ga naar het tabblad Info.
5. Voer Zivver in als Weergavenaam (Display Name).
6. Ga naar het tabblad Configuration.

7. Vul de volgende informatie in:

   Setting	Value
   Audience (EntityID)	https://app.zivver.com/SAML/Zivver
   Recipient	https://app.zivver.com/SAML/Zivver
   ACS (Consumer) URL Validator*	^https:\\/\\/app\\.zivver\\.com\\/api\\/sso\\/saml\\/consumer\\/$
   ACS (Consumer) URL	https://app.zivver.com/api/sso/saml/consumer/
   Login URL	https://app.zivver.com/api/sso/saml/consumer/
   SAML not valid before	3
   SAML not valid after	3
   SAML initiator	OneLogin
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   SAML encryption method	TRIPLEDES-CBC
   SAML sessionNotOnOrAfter	1440

8. Ga naar het tabblad Parameters.

9. Selecteer de optie Configured by admin.

10. Voeg de volgende parameters toe:

    NameID (fka Email)	Email
    https://zivver.com/SAML/Attributes/ZivverAccountKey	user.id

11. Ga naar het tabblad SSO.

12. Selecteer Standard Strength Certificate (2048-bit) voor X.509 Certificate.

13. Selecteer *SHA-256 voor SAML Signature Algorithm.

14. Kopieer de Issuer URL. Je hebt deze URL nodig in het volgende hoofdstuk.

15. Klik op Save. De app is nu aangemaakt, maar geen van je gebruikers heeft er toegang toe. Je kunt gebruikers aan de app toewijzen, individueel via het menu Users > All Users of als onderdeel van rollen (Users > Roles) en groepen (Users > Groups). OneLogin is nu correct ingesteld voor Zivver.

SSO instellen in Zivver

De laatste stap is om SSO in Zivver in te stellen. Dit doe je in de WebApp van Zivver:

1. Log in op de WebApp.
2. Klik linksonder op de room_preferences Organisatie-instellingen.
3. Ga naar people_outline Gebruikersbeheer.
4. Ga naar Single Sign-on.
5. Selecteer Automatisch.
6. Plak de Issuer URL die je hebt gekopieerd bij SSO-instelling in OneLogin in het vak onder URL.
7. Klik op Opslaan.
8. Klik boven aan de pagina op key Single sign-on inschakelen.
   OneLogin SSO in Zivver is nu ingesteld en klaar voor gebruik.

Zivver 2FA-vrijstelling (optioneel)

Een Zivver-account is standaard beschermd met een extra inlogmethode (2FA). 2FA is ook vereist bij het inloggen via SSO. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers inloggen via de SSO van OneLogin.
Helaas kan OneLogin in de SAML-respons niet aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. OneLogin geeft altijd de volgende SAML-respons: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
Dit betekent dat de SAML-respons geen informatie bevat waaruit Zivver kan afleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing zorgvuldig.

Volg de onderstaande stappen om de 2FA-vrijstelling voor OneLogin in Zivver in te stellen:

1. Log in op de WebApp.
2. Klik linksonder op de room_preferences Organisatie-instellingen.
3. Ga naar people_outline Gebruikersbeheer.
4. Ga naar Single Sign-on.
5. Scroll naar beneden tot de kaart Zivver 2FA uitzonderingen.
6. Vul in het veld Authenticatiecontexten die uitgezonderd worden de waarde in:
   • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
7. Klik op Opslaan.
   Je hebt nu succesvol een 2FA-vrijstelling ingesteld voor OneLogin. Wanneer gebruikers nu via SSO inloggen, zal Zivver niet om 2FA vragen.

Inloggen op de WebApp met SSO

1. Ga naar de WebApp.
2. Voer je e-mailadres in.
3. Wat is je rol in Zivver?
   • Gebruiker: je wordt direct doorgestuurd naar het inlogscherm van je organisatie.
   • Beheerder: je kiest tussen je Zivver-wachtwoord en je werkplek-inloggegevens om in te loggen.
4. Log in met de werkplek-inloggegevens van je organisatie.
   Afhankelijk van de aanwezigheid van een 2FA-vrijstelling, wordt er gevraagd om een extra inlogmethode. Met een 2FA-vrijstelling wordt de laatste stap overgeslagen.
5. Gebruik je extra inlogmethode.
   Je bent nu ingelogd in de Zivver WebApp.

Inloggen op Outlook met SSO

In de Zivver Office Plugin in Outlook log je als volgt in met SSO:

1. Klik op het Zivver-tabblad.
2. Klik op manage_accounts Accounts beheren.
3. Klik op de link add_circle Account toevoegen.
4. Selecteer het e-mailadres waarmee je wilt inloggen.
5. Klik op Ja, ik wil nu inloggen.
   Je wordt doorgestuurd naar het inlogscherm van je organisatie.
6. Log in met de werkplek-inloggegevens van je organisatie.
   Afhankelijk van de aanwezigheid van een 2FA-vrijstelling, wordt er gevraagd om een extra inlogmethode. Met een 2FA-vrijstelling wordt de laatste stap overgeslagen.
7. Gebruik je extra inlogmethode.
   Je bent nu ingelogd in Outlook.