SSO met Okta

Inleiding

ZIVVER ondersteunt Single Sign-On (SSO) via Okta, zodat gebruikers met de inloggegevens van hun werkplek in ZIVVER kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO instelt.

SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Okta de Identity Provider (IdP) en ZIVVER de Service Provider (SP).

Om SSO in ZIVVER te kunnen activeren, heb je de volgende zaken nodig:

  1. Je bent beheerder in ZIVVER.
  2. Je hebt toegang tot Beheer in Okta.
    voorbeeld URL: https://[organisatie]-admin.okta.com/admin/dashboard

SSO instellen in Okta

De eerste stap is om SSO in Okta in te stellen.

  1. Log in op Okta.
  2. Ga naar het Admin dashboard.
  3. Ga naar Applications.
  4. Klik op Add Application.
  5. Klik op Create New App.
  6. Stel Platform in op Web.
  7. Stel Sign on method in op SAML 2.0.
  8. Klik op Create.
  9. Geef als App name op ZIVVER.
  10. Upload eventueel een logo, zoals bijvoorbeeld het ZIVVER-logo.
  11. Klik op Upload Logo.
  12. Klik op Next.
  13. Schakel Use this for Recipient URL and Destination URL uit.
  14. Vul de volgende gegevens in:
Instelling Waarde
Single sign on URL https://app.zivver.com/api/sso/saml/consumer/
Recipient URL https://app.zivver.com/SAML/Zivver
Destination URL https://app.zivver.com/api/sso/saml/consumer/
Audience URI (SP Entity ID) https://app.zivver.com/SAML/Zivver
Default RelayState N/A, leave blank
Name ID format EmailAddress
Application username Email


15. Klik op Show Advanced Settings.
16. Vul de volgende gegevens in:

Setting Value
Response Signed
Assertion Signature Signed
Signature Algorithm SHA256
Digest Algorithm SHA256
Assertion Encryption No
Authentication context class PasswordProtectedTransport
Honor Force Authentication Yes
SAML Issuer ID http://www.okta.com/$ {org.externalKey}


17. Ga naar de sectie Attribute Statements (optional).
18. Vul de volgende gegevens in:

Name Value
https://zivver.com/SAML/Attributes/ZivverAccountKey user.id
urn:oid:2.5.4.42 user.displayName
urn:oid:2.5.4.20 user.mobilePhone
urn:oid:2.5.4.3 user.firstName


19. Klik op Next.
20. Stel Are you a customer or partner? in op I’m an Okta customer adding an internal app.
21. Vul eventueel de optionele vragen in.
22. Klik op Finish.
23. Ga naar het Sign On tabblad van uw nieuw aangemaakte applicatie. 23. Kopieer de Identity Provider metadata URL en plak deze in een bestand.
Houd deze pagina bij voorkeur open in een apart browsertabblad of -venster. Deze gebruik je in het volgende hoofdstuk om SSO in ZIVVER in te stellen.
24. Ga naar Assignments.
25. Wijs de ZIVVER-applicatie toe aan personen/groepen.
Okta is nu correct ingesteld voor SSO in ZIVVER.

SSO instellen in ZIVVER

De laatste stap is om SSO in ZIVVER in te stellen. Dit doe je in de WebApp van ZIVVER:

  1. Ga naar de WebApp.
  2. Log hier in als beheerder.
  3. Klik linksonder op de organisatie-instellingen tune .
  4. Klik op Single sign-on vpn_key .
  5. Plak de URL die je hebt gekopieerd in stap 24 van SSO instellen in Okta in het vak onder Identity Provider metadata URL
  6. Vink de optie Zet SSO aan aan.
  7. Klik op OPSLAAN.
    SSO is nu ingesteld en klaar voor gebruik.

ZIVVER 2FA vrijstelling

Een ZIVVER-account is standaard beveiligd met een extra inlogmethode (2FA). Ook bij het inloggen via SSO is 2FA vereist. Het is mogelijk om de 2FA van ZIVVER uit te schakelen wanneer gebruikers via SSO van Okta inloggen.

Helaas kan Okta niet in de SAML-response aangeven of de gebruiker al een extra inlogmethode heeft opgegeven. Okta geeft namelijk altijd de volgende SAML-response mee:

Dit betekent dat de SAML-response geen informatie bevat waar ZIVVER uit kan herleiden of de gebruiker veilig is ingelogd met 2FA. Lees daarom de onderstaande waarschuwing goed door.

Waarschuwing

ZIVVER zal nooit om een 2FA vragen wanneer je deze authenticatiecontext vrijstelt van 2FA in de SSO instellingen. Dit is een veiligheidsrisico wanneer gebruikers zonder 2FA inloggen in Okta in combinatie met een 2FA vrijstelling in ZIVVER. Daarom is het belangrijk dat gebruikers verplicht met 2FA inloggen in Okta wanneer je de bovenstaande authenticatiecontext vrijstelt in ZIVVER.

Volg onderstaande stappen om de 2FA vrijstelling voor Okta in ZIVVER in te stellen:

  1. Log in op de WebApp.
  2. Klik linksonder in het zijpaneel op Organisatie-instellingen tune .
  3. Klik op Single Sign-On (SSO) vpn_key .
  4. Vul in het veld SAML 2.0 authenticatiecontexten met ZIVVER 2FA vrijstellingen de waarde urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport in.
  5. Klik op OPSLAAN.

Je hebt nu succesvol een 2FA vrijstelling ingesteld voor Okta. Wanneer gebruikers nu inloggen via SSO, zal ZIVVER niet om 2FA vragen.

Inloggen in de WebApp met SSO

  1. Ga naar de WebApp.
  2. Vul je e-mailadres in.
  3. Wat is je rol in ZIVVER?
    • Gebruiker: je wordt direct omgeleid naar het inlogscherm van jouw organisatie.
    • Beheerder: je kiest tussen je ZIVVER-wachtwoord en je werkplekinloggegevens om in te loggen.
  4. Log in met de werkplekinloggegevens van jouw organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  5. Vul je extra inlogmethode in.
    Je bent ingelogd in onze WebApp.

Inloggen in Outlook met SSO

In de ZIVVER Office Plugin in Outlook log je op de volgende manier in met SSO:

  1. Klik op het tabblad ZIVVER.
  2. Klik op Accounts beheren account_circle .
  3. Klik op de link Voeg een account toe add_circle .
  4. Selecteer het e-mailadres waarmee je wilt inloggen.
  5. Klik op Ja, ik wil nu inloggen.
    Je wordt omgeleid naar het inlogscherm van je organisatie.
  6. Log in met de werkplekinloggegevens van je organisatie.
    Afhankelijk van een 2FA vrijstelling word je gevraagd om een extra inlogmethode. Bij een 2FA vrijstelling sla je de laatste stap over.
  7. Vul je extra inlogmethode in.
    Je bent ingelogd in Outlook.



Heeft dit artikel aan je verwachtingen voldaan? thumb_up thumb_down