SSO: Single Sign On

Dit artikel bevat informatie over de opties voor eenmalige aanmelding (SSO) die voor je beschikbaar zijn en een inleiding tot het plannen van een implementatie van eenmalige aanmelding bij gebruik van Azure Active Directory (Azure AD). Een aanmelding is een verificatiemethode waarmee gebruikers zich met één set referenties kunnen aanmelden bij meerdere onafhankelijke softwaresystemen. Als je eenmalige aanmelding gebruikt, hoeft een gebruiker zich niet aan te melden bij elke toepassing die hij of zij gebruikt. Met eenmalige aanmelding hebben gebruikers toegang tot alle benodigde toepassingen zonder dat ze zich met andere referenties moeten verifiëren.

Er bestaan al veel toepassingen in Azure AD die je met SSO kunt gebruiken. Je hebt verschillende opties voor eenmalige aanmelding, afhankelijk van de behoeften van de toepassing en hoe deze wordt geïmplementeerd. Neem de tijd om jouw SSO-implementatie te plannen voordat je toepassingen in Azure AD maakt.

Let op! Het aanmaken en verwijderen van gebruikersaccounts loopt buiten deze SSO koppeling om. Deze wordt enkel gebruikt voor het verifiëren van de inloggegevens. Wanneer je toch gebruik wilt maken van het aanmaken en verwijderen van gebruikers verwijzen we je naar onze een IAM koppeling. Vraag hierover meer informatie op via uw accountmanager.

Inrichten

Federatie: wanneer je eenmalige aanmelding in stelt om te werken tussen meerdere id-providers, wordt dit federatie genoemd. Een SSO-implementatie op basis van federatieprotocollen verbetert de beveiliging, betrouwbaarheid, eindgebruikerservaringen en implementatie.

Met ge-federated single sign-on verifieert Azure AD de gebruiker bij de toepassing met behulp van het Azure AD-account. Deze methode wordt ondersteund voor SAML 2.0-, WS-Federation- of OpenID-Verbinding maken toepassingen. Federatief eenmalige aanmelding is de meest uitgebreide modus van eenmalige aanmelding. Gebruik federatief eenmalige aanmelding met Azure AD wanneer een toepassing dit ondersteunt, in plaats van eenmalige aanmelding op basis van een wachtwoord en Active Directory Federation Services (AD FS).

Aansluiten

• Om gebruik te maken van SSO voor OnView moet gebruik gemaakt worden van de inlogurls:
  https://SSO.ONVIEW.NL 
  https://SSOBETA.onview.nl 
  https://SSOALPHA.onview.nl
• Geef je tenant ID door aan OnView.
• Zorg ervoor dat de gebruikersnamen in jouw Azure AD exact overeen komen met de gebruiksnamen in OnView.

Aansluitstappen

• OnView registreert in de back-end de Tenant-ID van de klant
• Je organisatie probeert in te loggen.
• Je organisatie ziet in de Azure omgeving een request/melding staan.
• Deze request kan jouw organisatie verwerken zodat OnView een toepassing/app wordt binnen uw AD.
  Wij hebben nodig: Microsoft Graph à OpenID en Basic profile 
  •    Nu kunnen de gebruiker stap 2 herhalen en kunnen ze wel inloggen.

Aandachtspunten 

Gebruikers die wel voorkomen in OnView en niet voorkomen in Azure AD kunnen inloggen via open.onview.nl (of beta.onview.nl als het een beta kantoor betreft).
Wanneer een gebruiker zich afmeldt komt hij automatisch terecht op een inlogpagina die zich op open.onview.nl (of beta.onview.nl) bevindt. Deze SSO gebruiker moet dan eerst weer naar sso.onview.nl om weer in te kunnen loggen.