SSO met Google G-Suite

Inleiding

ZIVVER ondersteunt Single Sign-On (SSO) via Google G-suite, zodat gebruikers met de inloggegevens van hun werkplek in ZIVVER kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO activeert.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Google G-suite de Identity Provider (IdP) en ZIVVER de Service Provider (SP).

Om SSO in ZIVVER te activeren, heb je de volgende zaken nodig:

Volg de stappen in deze handleiding om de SSO-koppeling in G-Suite in te stellen.
Neem contact met ons op bij vragen of problemen

SSO-koppeling instellen in G-Suite

Volg onderstaande stappen om de SSO-koppeling voor ZIVVER in G-Suite in te stellen:

  1. Log in op Google G-Suite.
  2. Ga in het menu links naar Apps.
  3. Klik op SAML Apps.
  4. Klik rechtsonder in je scherm op Toevoegen add .
  5. Klik op Set up my own custom app.
    Een nieuw venster opent.
  6. Download de IDP metadata bij Option 2.
  7. Klik op Next.
  8. Geef de SAML App een naam, bijvoorbeeld ZIVVER.
  9. Klik op Next.
  10. Vul bij ACS URL https://app.zivver.com/api/sso/saml/consumer/ in.
  11. Vul bij Entity ID https://app.zivver.com/SAML/Zivver in.
    De volgende stap is optioneel
  12. Vul bij Start URL in: https://app.zivver.com/
  13. Laat Signed Response uitgevinkt staan.
  14. Zorg dat Name ID staat ingesteld op Basic information en Primary Email.
  15. Zorg dat Name ID Format staat ingesteld op EMAIL.
    Het e-mailadres wordt met deze instelling doorgegeven als primaire waarde.
  16. Klik op Next.
  17. Klik op Add new mapping.
  18. Stel hier de ZivverAccountKey in. ZIVVER gebruikt de ZivverAccountKey in het encryptieproces. Het is belangrijk dat de informatie in dit veld lang, uniek en willekeurig is. Bij voorkeur is dit zelf gegenereerd en wordt het niet gebruikt in andere koppelingen of systemen. Het attribuut is als volgt: https://zivver.com/SAML/Attributes/ZivverAccountKey
    Dezelfde waarde moet worden gebruikt als invoer bij het maken van accounts.

    Notitie
    Als je een Microsoft Active Directory op locatie gebruikt, kunt je objectGUID instellen alsZivverAccountKey

  19. Koppel dit attribuut aan de gewenste gebruikersinformatie van G-Suite.

  20. Klik op Finish.

Je hebt nu succesvol de SSO-koppeling in G-Suite ingesteld.

SSO-koppeling instellen in ZIVVER

Volg onderstaande stappen op om de zojuist aangemaakte SSO-koppeling in ZIVVER in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .
  3. Klik op Single Sign-On (SSO) vpn_key .
  4. Selecteer Kopieer handmatig de inhoud van SAML metadata XML van jouw organisaties Identity Provider naar het veld hieronder.
  5. Open de IDP metadata die je in G-Suite hebt gedownload.
  6. Plak de inhoud van de IDP metadata in het veld Identity Provider XML in ZIVVER.
  7. Vink onder in je scherm de optie Gebruik Single sign-on aan.
  8. Klik op OPSLAAN.

Je hebt succesvol de SSO-koppeling in ZIVVER ingesteld.

Waarschuwing
Gebruikers kunnen alleen inloggen via SSO. Zorg dat de SSO-koppeling werkt voordat je SSO aanzet in ZIVVER.

ZIVVER 2FA vrijstelling

Een ZIVVER-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van ZIVVER uit te schakelen wanneer gebruikers via SSO van G-Suite inloggen.

Helaas kan G-Suite niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. G-Suite geeft namelijk altijd de volgende SAML-response mee:

Dit betekent dat de SAML-response geen informatie bevat waar ZIVVER uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Waarschuwing
ZIVVER zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in G-suite in combinatie met een 2FA vrijstelling in ZIVVER. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in G-suite wanneer je de bovenstaande authenticatiecontext vrijstelt in ZIVVER.

Volg onderstaande stappen om de 2FA vrijstelling voor G-Suite in ZIVVER in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .
  3. Klik op Single Sign-On (SSO) vpn_key .
  4. Vul in het veld SAML 2.0 authenticatiecontexten met ZIVVER 2FA vrijstellingen de waarde urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified in.
  5. Klik op OPSLAAN.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor G-Suite. Wanneer gebruikers nu inloggen via SSO, zal ZIVVER niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.
  2. Vul je e-mailadres in.
  3. Wat is je rol in ZIVVER?
    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.
    • Beheerder: je kiest tussen je ZIVVER-wachtwoord en je werkplekinloggegevens om in te loggen.
  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de ZIVVER Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad ZIVVER.
  2. Klik op Accounts beheren account_circle .
  3. Klik op de link Voeg een account toe add_circle .
  4. Selecteer het e-mailadres waarmee je wilt inloggen.
  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.
  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.



Heeft dit artikel aan je verwachtingen voldaan? thumb_up thumb_down