Stappenplan SSO via ADFS/Microsoft

Voordat wij aan de slag kunnen gaan met de inrichting van SSO via ADFS/Microsoft Azure zijn er een aantal stappen die de organisatie zelf eerst moet doorlopen.

1. Toepassing aanmaken

Ga als beheerder naar Azure Active Directory en klik in het menu op Toepassingen -> Bedrijfstoepassingen (link)

Kies bovenin voor “Nieuwe toepassing” en kies vervolgens bovenin voor “Uw eigen toepassing maken”. Geef de toepassing een naam; bijvoorbeeld “< Productnaam > SSO”, kies voor de onderste optie “Een willekeurige andere toepassing integreren die niet aanwezig is in de galerie (niet-galerie)” en klik op de knop “Maken”

Hierna kom je uit op de overzichtspagina van deze toepassing.

2. Gebruikers toewijzen

Klik op de tegel “1. Gebruikers en groepen toewijzen” om de juiste gebruikers / groepen te selecteren die van deze toepassing gebruik mogen maken.

3. SAML-koppeling instellen

Klik op de tegel “2. Eenmalige aanmelding instellen op” om de SAML-koppeling te configureren.
Kies bij “Selecteer een methode voor eenmalige aanmelding” voor SAML.

Om de koppeling tot stand te brengen heeft Paragin de “App-URL voor federatieve metagegevens” nodig. Wanneer deze in RemindoConnect is ingevoerd zullen wij een metadata-bestand aanleveren.

Dit metadata-bestand kun je uploaden door bovenin op “Metagegevensbestand uploaden” te klikken en het xml-bestand toe te voegen. Druk hierna op “Opslaan” en ga vervolgens naar de overzichtspagina van “Eenmalige aanmelding”.
De velden bij “Standaard SAML-configuratie” zijn nu ingevuld.
Afhankelijk van de configuratie kunnen de “Gebruikerskenmerken en claims” worden aangepast. Belangrijk is dat bij “Unieke gebruikers-id” dat wat een gebruiker in Azure identificeert (username, personeelsnummer, e-mailadres) hier wordt ingesteld. Deze unieke waarde dient vervolgens ook aan het account van de gebruikers te worden toegevoegd (Single Sign-on identificatie-code) binnen de Paragin-omgeving.

Hieronder een voorbeeld waarbij het e-mailadres als unieke waarde is ingesteld en de groeps-identifiers ook meegestuurd worden.

4. Testen

De koppeling is ingesteld; nu kan deze getest worden (na het uploaden van het metadatabestand kan het soms enkele minuten duren voor de koppeling up to date is).

Het kan zijn dat je een volgende melding krijgt bij het testen:

AADSTS50105: Your administrator has configured the application < Productnaam > SSO ('fa3e920c-dba4-67b9-16f2-e2c4e33e29ad ') to block users unless they are specifically granted ('assigned') access to the application. The signed in user '< emailadres >' is blocked because they are not a direct member of a group with access, nor had access directly assigned by an administrator. Please contact your administrator to assign access to this application.

Wanneer iedereen binnen de tenant gebruik mag maken van de SSO-koppeling kun je onder “Beheren -> Eigenschappen” in het linker menu wat kenmerken aanpassen. In dit geval dient “Toegang vereist?” op “Nee” te staan.

De SSO-configuratie is nu gereed.

5. Gegevens toesturen

Om de koppeling tot stand te brengen heeft Paragin de “App-URL voor federatieve metagegevens” nodig. Stuur deze metadata URL, samen met de overige gegevens van de aanvraag naar ons door. Wij kunnen op basis hiervan de technische koppeling gereed maken.

Vervolgens moet de organisatie zelf aan de slag met het toevoegen van de unieke ID’s bij de deelnemers en gebruikers. Zie hiervoor het artikel SSO Instellen in de producten van Paragin.