SSO met Microsoft Azure Active Directory

Inleiding

ZIVVER ondersteunt Single Sign-On (SSO) via Microsoft Azure AD, zodat gebruikers met de inloggegevens van hun werkplek in ZIVVER kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO instelt. SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Azure AD de Identity Provider (IdP) en ZIVVER de Service Provider (SP).

Om SSO in ZIVVER te kunnen activeren, heb je de volgende zaken nodig:

  1. Je bent beheerder in ZIVVER.
  2. Je hebt toegang tot Azure Active Directory op Microsoft Azure.

SSO instellen in Azure AD

De eerste stap is om SSO in Azure AD in te stellen. Dit doe je in Microsoft Azure.

  1. Log in op Microsoft Azure.
  2. Klik op Azure Active Directory.
  3. Klik op Bedrijfstoepassingen.
  4. Klik op Nieuwe toepassing add .
  5. Klik op Mail.
  6. Zoek naar ZIVVER.
  7. Klik de gevonden applicatie.
  8. Klik op Toevoegen in het rechter paneel.
    Wacht totdat de ZIVVER app is toegevoegd. Je wordt vervolgens automatisch doorgeleid naar het configuratiescherm voor de ZIVVER app.
  9. Klik op Eenmalige aanmelding in het segment Beheren.
  10. Stel de Modus Eenmalige aanmelding in op Op SAML gebaseerde aanmelding.
    Het Azure portaal heeft een nieuwe interface. Onze handleiding is gebaseerd op de oude interface.
  11. Klik boven aan de pagina op Terugkeren naar de oude ervaring.
  12. Ga naar de sectie 2. Domeinen en URL’s van ZIVVER.
  13. Schakel Geavanceerde URL-instellingen weergeven in.
  14. Vul de volgende gegevens in:
    • Id (Entiteits-id): https://app.zivver.com/SAML/Zivver
    • Aanmeldings-URL: https://app.zivver.com/
    • Antwoord-URL: https://app.zivver.com/api/sso/saml/consumer/
  15. Ga naar de sectie 3. Gebruikerskenmerken.
  16. Pas de Gebruikers-id aan naar user.mail.
  17. Schakel Alle gebruikerskenmerken weergeven en bewerken in.
  18. Klik op Kenmerk toevoegen.
  19. Voeg het volgende kenmerk toe:
NAAM WAARDE NAAMRUIMTE
ZivverAccountKey user.objectid https://zivver.com/SAML/Attributes

Notitie

Als u een hybride installatie gebruikt met Active Directory on-premise en Azure AD Connect Tool, moet Waarde op user.objectGUID ingesteld zijn.

20. Ga naar de sectie 4. SAML-handtekeningcertificaat.
Hier is automatisch een certificaat gegenereerd.
21. Klik op de kopieerknop naast de App Federation Metadata-URL om de URL te kopiƫren.
22. Bewaar deze URL voor een bestand.
Deze gebruik je in het volgende hoofdstuk SSO in ZIVVER in te stellen
23. Ga in het menu links naar Gebruikers en groepen.
24. Klik op Gebruiker toevoegen.
25. Stel in welke AD-gebruikers/-groepen zich via SSO kunnen aanmelden.
26. Klik op Toewijzen.
27. Controleer dat de juiste AD-gebruikers/-groepen zijn toegevoegd.

ZIVVER SSO is nu correct ingesteld binnen Azure AD.

SSO instellen in ZIVVER

De laatste stap is om SSO in ZIVVER in te stellen. Dit doe je in de WebApp van ZIVVER:

  1. Log in op de WebApp.
  2. Klik linksonder op de organisatie-instellingen tune .
  3. Ga naar Single sign-on vpn_key .
  4. Open Metagegevens-XML die je uit Azure AD hebt gedownload.
  5. Plak de App Federation Metadata URL die je eerder hebt opgeslagen in het tekstvak onder Identity Provider metadata URL.
  6. Zet het vinkje voor Zet SSO aan aan.
  7. Klik op OPSLAAN.
    SSO is nu ingesteld en klaar voor gebruik.
Waarschuwing

Als je SSO inschakelt, zal ZIVVER vanaf dat moment altijd proberen via SAML in te loggen. Het is daarom verstandig om SSO tijdelijk weer uit te schakelen, tot je aan de AD-kant alles goed ingesteld hebt. Gebruikers die al ingelogd zijn, blijven wel gewoon ingelogd als je SSO inschakelt.

ZIVVER 2FA vrijstelling

Een ZIVVER-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van ZIVVER uit te schakelen wanneer gebruikers via SSO van Azure AD inloggen.

Helaas kan Azure AD niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. Azure AD geeft namelijk altijd de volgende SAML-response mee:

Dit betekent dat de SAML-response geen informatie bevat waar ZIVVER uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Waarschuwing

ZIVVER zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Azure AD in combinatie met een 2FA vrijstelling in ZIVVER. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Azure AD wanneer je de bovenstaande authenticatiecontext vrijstelt in ZIVVER.

Volg onderstaande stappen om de MFA-vrijstelling voor Azure AD in ZIVVER in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .
  3. Klik op Single Sign-On (SSO) vpn_key .
  4. Vul in het veld SAML 2.0 authenticatiecontexten met ZIVVER 2FA vrijstellingen de waarde urn:oasis:names:tc:SAML:2.0:ac:classes:Password in.
  5. Klik op OPSLAAN.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Azure AD. Wanneer gebruikers nu inloggen via SSO, zal ZIVVER niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.
  2. Vul je e-mailadres in.
  3. Wat is je rol in ZIVVER?
    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.
    • Beheerder: je kiest tussen je ZIVVER-wachtwoord en je werkplekinloggegevens om in te loggen.
  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de ZIVVER Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad ZIVVER.
  2. Klik op Accounts beheren account_circle .
  3. Klik op de link Voeg een account toe add_circle .
  4. Selecteer het e-mailadres waarmee je wilt inloggen.
  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.
  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.



Heeft dit artikel aan je verwachtingen voldaan? thumb_up thumb_down