Cloud ondersteunt de mogelijkheid om via Single Sign On in te loggen via Microsoft Azure Active Directory. Met SSO hoeven gebruikers minder wachtwoorden te onthouden en kunnen beheerders problemen met accounts (zoals een wachtwoord resetten) vanuit één locatie beheren.
Inhoudsopgave:
Cloud als nieuwe app registreren in Azure
Een cliëntgeheim aanmaken
Kopieer het metagegevens eindpunt
Optional claims instellen
De antwoord-URL aanmaken in Cloud
De antwoord-URL in Azure instellen
Een beperkt aantal gebruikers toegang geven tot single sign-on
API-machtigingen instellen
Test de single sign-on integratie
Veelgestelde vragen
Een paar punten voordat u begint:
-
Voor het inschakelen van SSO dient u een verzoek in te dienen bij support.
- De SSO werkt op het moment alleen met Working Papers 2017.00.283 of nieuwere versies.
- Gebruikers in Azure AD worden geïntegreerd via Microsoft Office 365. Zodra u de single sign-on inschakelt kunnen gebruikers met hun Office 365 e-mailadres inloggen in Cloud. Gebruikers met een gastaccount kunnen ook gebruik maken van de SSO.
- Gebruikers met een gastaccount kunnen ook gebruik maken van de SSO.
- Als de gebruiker een ander e-mailadres gebruikt voor Cloud, wordt een dubbele account aangemaakt zodra u SSO inschakelt voor hen.
Cloud als nieuwe app registreren in Azure
Om Cloud te integreren met Azure AD moet Cloud geregistreerd worden als nieuwe app. Zodra dit is gelukt kunt u Cloud toegang geven tot uw Active Directory.
Een nieuwe app registreren voor single sign-on in Azure:
-
Log in bij uw Azure portal. Als u meerdere portals gebruikt, klik dan op uw account rechts bovenin beeld en selecteer de gewenste tenant.
-
Selecteer de Azure Active Directory.
-
In het linker navigatiepaneel klikt u op App-registraties.
-
Klik op Nieuwe registratie.
-
Op de pagina Een toepassing registreren vult u de registratie gegevens in:
-
Naam: Voer een naam in.
-
Ondersteunde accounttypen: Selecteer Alleen accounts in deze organisatiemap (alleen (x) - één tenant)
-
Omleidings-URI: Selecteer de optie Web. U hoeft geen URL in te voeren.
-
-
Als alle informatie is ingevuld klikt u op Registreren. De informatie over de toepassing wordt getoond.
-
Kopieer uw Applicatie-ID. Deze heeft u nodig om de koppeling in Cloud te maken.
Een cliëntgeheim aanmaken
Om een beveiligde communicatie met uw Active Directory te kunnen garanderen heeft u een cliëntgeheim nodig. Deze wordt door Azure gebruikt om Cloud te verifiëren.
Een cliëntgeheim aanmaken:
-
Log in bij uw Azure portal.
-
Selecteer de Azure Active Directory.
-
In het linker navigatiepaneel klikt u op App-registraties.
-
Selecteer de app uit de lijst.
-
Ga in het linker navigatiepaneel naar Certificaten en geheimen.
- Klik op Nieuw cliëntgeheim.
-
Voer een Sleutelbeschrijving in en selecteer de Duur.
Als de sleutel verloopt hebben gebruikers geen toegang meer tot Cloud. We raden daarom aan om de optie Verloopt nooit te kiezen zodat er niet onverwacht een aantal SSO-gebruikers geen toegang meer heeft.
-
Klik op Toevoegen.
-
Kopieer de sleutel van het cliëntgeheim. Deze heeft u nodig om de koppeling in Cloud te maken.
Waarschuwing: Zodra u het tabblad Certificaten en geheimen sluit of naar een andere pagina gaat wordt de waarde van het cliëntgeheim permanent verborgen. Om de SSO-setup af te ronden heeft u het cliëntgeheim nodig. Als u de sleutel niet meer heeft moet u het cliëntgeheim verwijderen en een nieuwe maken.
Kopieer het metagegevens eindpunt
Een metagegevens eindpunt geeft de autorisatie-URL's en andere metagegevens die nodig zijn voor de SSO. U heeft deze nodig als u SSO gaat instellen in Cloud.
Kopieer het metagegevens eindpunt:
-
Log in bij uw Azure portal.
-
Selecteer de Azure Active Directory.
-
In het linker navigatiepaneel klikt u op App-registraties.
-
Selecteer de app uit de lijst.
-
Klik op Eindpunten.
-
Kopieer het OpenID Connect-document met metagegevens eindpunt. Deze heeft u nodig om de koppeling in Cloud te maken.
Optional claims instellen
Om de stappen in Azure af te ronden moet het manifest nog aangepast worden zodat de claims given_name en family_name worden toegevoegd. Als een gebruiker SSO instelt geven deze claims hun voor- en achternaam door aan Cloud.
Optional claims instellen:
-
Log in bij uw Azure portal.
-
Selecteer de Azure Active Directory.
-
In het linker navigatiepaneel klikt u op App-registraties.
-
Selecteer de app uit de lijst.
-
In het linker navigatiepaneel klikt u op Manifest.
-
Pas de optionalClaims eigenschap aan zoals op de afbeelding hieronder:
"optionalClaims": {
"idToken": [
{
"name": "given_name",
"essential": true
},
{
"name": "family_name",
"essential": true
}
]
},Let op: Kopieer de bovenstaande code precies zoals het er staat om de optional claims goed in te stellen.
-
Klik op Opslaan.
De antwoord-URL aanmaken in Cloud
Azure gebruikt de antwoord-URL om gebruikers door te verbinden naar Cloud als ze hebben ingelogd via Azure.
De antwoord-URL aanmaken in Cloud
-
U heeft de rol Beheerder instellingen nodig of vergelijkbare machtigingen.
-
Ga vanuit het Cloudmenu naar Instellingen | Single Sign-On | Identiteitsprovider.
-
Vul de volgende velden in:
-
Naam identiteitsprovider: Geef de identiteitsprovider een passende naam. Azure, bijvoorbeeld. Deze naam wordt ook naast de Antwoord-URL weergegeven zodat u weet bij welke identiteitsprovider deze hoort.
Let op: De naam mag niet meer dan 32 tekens bevatten en gebruik alleen letters, nummers, liggende streepjes, plusjes en mintekens.
-
Metadata-eindpunt identiteitsprovider: Voer het metagegevens eindpunt in. Voor meer informatie, zie Kopieer het metagegevens eindpunt.
-
Cliënt-ID: Voer de applicatie-ID in. Zie Cloud als nieuwe app registreren in Azure voor meer informatie waar u deze kunt vinden.
-
Cliëntgeheim token: Voer de sleutel in van het cliëntgeheim. Voor meer informatie, zie Een cliëntgeheim aanmaken. Gebruik de waarde van Value voor de waarde Sleutel
-
-
Klik op Toevoegen. De Antwoord-URL wordt getoond.
-
Klik op Antwoord-URL kopiëren () zodat u deze makkelijk in Azure AD kunt invoeren.
De antwoord-URL in Azure instellen
Zodra de antwoord-URL in Cloud is aangemaakt kan deze worden toegevoegd in Azure zodat gebruikers kunnen inloggen.
De antwoord-URL in Azure instellen:
-
Ga naar Azure Active Directory | App-registraties en selecteer op die pagina de app.
-
Klik op Een omleidings-URI toevoegen.
-
Plak de antwoord-URL in het veld Omleidings-URI. Informatie over de antwoord-URL vindt u onder De antwoord-URL aanmaken in Cloud.
-
Klik op Opslaan.
Een beperkt aantal gebruikers toegang geven tot single sign-on
Het is mogelijk om in Azure alleen gemachtigde gebruikers toe te voegen aan de app, zodat een beperkt aantal gebruikers toegang heeft to Caseware Cloud via single sign-on. Als u liever alle gebruikers toegang wilt geven, kunt u deze stap overslaan en doorgaan met API-machtigingen instellen.
Gemachtigde gebruikers toewijzen:
-
Ga naar Azure Active Directory | Bedrijfstoepassingen en selecteer op die pagina de app.
-
In het linker navigatiepaneel klikt u op Eigenschappen.
-
Zet de optie Gebruikerstoewijzing vereist op Ja.
-
Klik op Opslaan.
-
In het linker navigatiepaneel klikt u op Gebruikers en groepen.
-
Klik op Gebruiker toevoegen.
-
Klik op Gebruikers en selecteer elke gebruiker die u toegang wilt geven via de applicatie.
Let op: Als u een Premium Microsoft Azure account heeft kunt u gebruikersgroepen aanmaken en zo een groep selecteren om alle leden van die groep toegang te geven. Voor meer informatie hierover, zie het artikel van Microsoft Een basisgroep maken en leden toevoegen met Azure Active Directory.
-
Klik op Selecteren als u alle gebruikers heeft toegevoegd.
-
Klik op Toewijzen en de geselecteerde gebruikers krijgen toegang tot de single sign-on.
API-machtigingen instellen
Door de API-machtigingen in te stellen kan Caseware Cloud gegevens lezen van Microsoft Azure en zo gebruikers valideren.
API-machtigingen instellen:
-
Ga naar Azure Active Directory | App-registraties en selecteer op die pagina de app.
-
In het linker navigatiepaneel klikt u op API-machtigingen.
-
Klik op Een machtiging toevoegen.
-
Selecteer Microsoft Graph.
-
Klik op Gedelegeerde machtigingen.
-
Vink de volgende machtigingen aan:
-
Email
-
Openid
-
Profiel
-
User.Read
-
-
Klik op Machtigingen toevoegen.
-
Klik op Beheerderstoestemming verlenen voor (x).
-
Er komt een melding op. "Wilt u toestemming verlenen voor de opgevraagde machtigingen voor alle accounts in (x)?" Klik op Ja
Test de single sign-on integratie
Nu Cloud is geïntegreerd met uw Active Directory Domein kunt u de integratie testen. Ga naar de loginpagina van uw Cloudomgeving. Er moet nu een nieuwe knop staan: Ga naar Single Sign On. Zo niet, zie onderstaande vraag uit de FAQ Waarom krijg ik een foutmelding?.
Veelgestelde vragen
Hieronder vindt u de veelgestelde vragen over de integratie van single sign-on met Cloud.
Hoe veilig is de Cloud SSO-integratie?
Alle gebruikergegevens die worden overgebracht tussen uw identiteitsprovider en CWI worden versleuteld met het Secure Sockets Layer (SSL) protocol en getekend met JSON Web Encryption. Als gebruikers zijn ingelogd in de identiteitsprovider van uw organisatie worden de identiteitsreferenties van de gebruiker (zoals hun logingegevens, gebruikersnaam en wachtwoord) niet gedeeld met Cloud. Het enige wat wordt gedeeld is de algemene informatie van het gebruikersprofiel (hun naam en e-mailadres) wat wordt gebruikt om de gebruiker te valideren.
Als de SSO is ingeschakeld, kunnen gebruikers dan nog met hun gebruikersnaam en wachtwoord inloggen?
Zodra een medewerker de SSO voor de eerste keer heeft gebruikt om bij Cloud in te loggen kunnen zij vanaf dan alleen nog inloggen via single sign-on. Als medewerkers daarna nog proberen in te loggen met hun gebruikersnaam en wachtwoord komt er een foutmelding op die aangeeft dat de SSO moet worden gebruikt.
Ik heb mijn identiteitsprovider verwijderd en opnieuw toegevoegd maar sommige gebruikers kunnen nu niet inloggen. Hoe komt dit?
Als de identiteitsprovider opnieuw wordt toegevoegd kunnen gebruikers die voor het verwijderen gevalideerd waren inderdaad niet meer inloggen. U moet dan nieuwe referenties voor deze gebruikers aanmaken in Azure AD. Vanaf de volgende versies is dit proces niet meer nodig.
Kunnen contactpersonen ook gebruik maken van SSO?
Contactpersonen kunnen nog geen gebruik maken van SSO.
Wij hebben de twee-factor-authenticatie ingeschakeld. Wat gebeurt daarmee als we SSO inschakelen?
Als SSO is ingeschakeld voor uw Cloudomgeving kunnen SSO-gebruikers de twee-factor-authenticatie van Cloud niet meer gebruiken. Uw identiteitsprovider biedt een meer beveiligde verbinding en neemt zo het validatieproces over. Als u toch gebruik wilt blijven maken van de twee-factor-authenticatie raden wij aan dit te doen via uw identiteitsprovider.
De twee-factor-authenticatie kan nog altijd gebruikt worden door gebruikers die geen SSO-integratie hebben ingesteld.
Wat gebeurt er als een medewerker wel een account in Cloud heeft maar nog niet in Azure AD?
Als een medewerker is toegevoegd in Cloud voordat deze een account heeft in Azure AD dan kan deze gebruiker nog niet inloggen met SSO. Voeg een nieuwe gebruiker toe aan Azure AD met hetzelfde e-mailadres dat de medewerker gebruikt voor Cloud.
Wat gebeurt er als ik uitlog bij mijn identiteitsprovider en ik ben nog ingelogd bij Cloud?
U blijft ingelogd bij Cloud zolang uw sessie actief blijft. Als de sessie verloopt moet u opnieuw inloggen bij uw identiteitsprovider voordat u weer met SSO bij Cloud kunt inloggen.
Er staat een medewerker op Inactief maar kan nog steeds inloggen in Cloud. Hoe komt dit?
Als de single sign-on is ingeschakeld worden de inlogmogelijkheden beheerd via Azure AD. Als u een gebruiker geen toegang meer wilt verlenen tot Cloud moet u hun account verwijderen. Voor meer informatie, zie Gebruikers toevoegen of verwijderen met Azure Active Directory.
Het account van een medewerker is verwijderd uit Azure AD, maar de gebruiker is nog steeds ingelogd in Cloud. Hoe komt dit?
Als de account uit Azure AD verwijderd wordt terwijl de gebruiker nog ingelogd is in Cloud dan blijft diegene ingelogd tot hun sessie verloopt of tot ze uitloggen. Daarna kunnen ze niet meer inloggen bij Cloud.
Waarom kan ik sommige velden, zoals de naam, het e-mailadres of het wachtwoord van een account, niet meer wijzigen in Cloud?
Als de single sign-on is ingeschakeld worden namen, e-mailadressen en wachtwoorden beheerd via Azure AD. Voor meer informatie, zie De profielgegevens van een gebruiker toevoegen of bijwerken met behulp van Azure Active Directory.
Als onze identiteitsprovider down is, hoe kunnen gebruikers dan bij Cloud inloggen?
Als de identiteitsprovider down is kunnen gebruikers niet inloggen bij Cloud. Wij raden aan om altijd een (back-up) beheerdersaccount te gebruiken die geen gebruik maakt van de identiteitsprovider zodat u altijd toegang blijft houden tot Cloud.
Wat gebeurt er als mijn cliëntgeheim verloopt?
Als het cliëntgeheim verloopt kunnen SSO-gebruikers niet meer inloggen bij Cloud. Gebruikers krijgen dan een 'Onverwachte fout' of 'Unknown error' te zien bij het aanmelden. U moet dan een nieuw cliëntgeheim aanmaken en de gegevens van de identiteitsprovider in Cloud bijwerken.
-
Log in bij Cloud met uw gebruikersnaam en wachtwoord.
-
Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.
-
Klik op de knop Bewerken ().
-
Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.
We raden daarom aan om de optie Verloopt nooit te kiezen zodat er niet onverwacht een aantal SSO-gebruikers geen toegang meer heeft.
Hoe kan ik de toegang tot Cloud beperken zodat gebruikers alleen toegang hebben vanaf hun werkcomputers?
Als u Cloud wilt beperken tot alleen toegang via werkcomputers kunt u vertrouwde locaties aan Azure AD toevoegen. Hiermee kunt u toegang beperken op basis van IP-adressen, zoals die van het kantoor of de VPN IP.
Hoe kan ik de SSO uitschakelen?
Als u SSO weer wilt uitschakelen voor uw Cloudomgeving, neem dan contact op met onze supportafdeling.
Zodra de SSO is uitgeschakeld kunnen gebruikers weer inloggen met hun gebruikersnaam en wachtwoord. Als gebruikers hun wachtwoord vergeten zijn, of als zij alleen nog gebruik hebben gemaakt van SSO, kunnen zij via de optie Wachtwoord vergeten? een nieuw wachtwoord aanmaken. Indien nodig kan de beheerder ook de wachtwoorden resetten voor de gebruikers.
Waarom krijg ik een foutmelding?
Als er iets mis is gegaan bij het instellen van Cloud of Azure AD dan kan het zijn dat u een van de volgende foutmeldingen krijgt bij het aanmelden.
Het spijt ons... Er is een onverwachte fout opgetreden bij de authenticatie met de identiteitsprovider.
Het is mogelijk dat u bij het instellen van de identiteitsprovider een verkeerd cliëntgeheim of klant-ID heeft opgegeven. Deze melding treedt ook op als het certificaat is verlopen.
-
Log in bij Cloud met uw gebruikersnaam en wachtwoord.
-
Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.
-
Klik op de knop Bewerken ().
-
Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.
AADSTS70001: Applicatie met ID ... is niet gevonden in de directory ...
Het is mogelijk dat bij het instellen van Azure AD u een verkeerde identiteitsprovider heeft ingevoerd.
-
Log in bij Cloud met uw gebruikersnaam en wachtwoord.
-
Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.
-
Klik op de knop Bewerken ().
-
Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.
AADSTS50011: De gebruikte antwoord-URL komt niet overeen met de antwoord-URL die is ingesteld voor de applicatie ...
Het is mogelijk dat u een verkeerde antwoord-URL in Azure heeft opgegeven.
-
In het linker navigatiepaneel klikt u op Azure Active Directory | App-registraties.
-
Selecteer de juiste applicatie en klik op Instellingen | Antwoord-URL's.
-
Klik op de knop Contextmenu naast de antwoord-URL en klik op Verwijderen.
-
Voeg de antwoord-URL opnieuw toe en klik op Opslaan.
Er zijn geen Cloudlicenties beschikbaar. Neem contact op met uw beheerder om extra licenties te verkrijgen.
U heeft niet genoeg beschikbare Cloud licenties voor alle gebruikers in uw Active Directory-domein. Als het aantal gebruikers in uw Active Directory-domein hoger is dan het aantal beschikbare licenties kunnen sommige medewerkers niet inloggen. Om al uw medewerkers te laten inloggen kunt u extra licenties aankopen vanuit MyCaseware of neem contact op met Caseware NL.
Account bestaat al. Er is al een gebruiker met het e-mailadres ... Hoe wilt u verder gaan?
Deze foutmelding komt op als een gebruiker verwijderd is van Azure en er is een andere gebruiker met hetzelfde e-mailadres toegevoegd.
Om dit probleem te omzeilen kunt u het Cloudaccount gekoppeld aan het e-mailadres uit de melding verwijderen. De gebruiker kan dan opnieuw proberen in te loggen via SSO.
Vanaf de volgende versies is dit proces niet meer nodig.
De ontvangen token mist de volgende claims: email is nodig voor toegang tot het systeem. Neem contact op met uw beheerder.
De integratie tussen Caseware Cloud en SSO is zo opgesteld dat de 'username' en 'email' claims herkend worden. Voor onze integratie is de 'email'-claim nodig om goed te kunnen werken. Deze 'email'-claim wordt alleen opgegeven door gastgebruikers en beheerde gebruikers via Office365. Als uw gebruikers ingesteld zijn via Office365 volg dan de Azure instructies om de 'email'-claim in te stellen via het Office beheerdersportaal.