In dit artikel leggen we stap voor stap uit hoe je Single Sign-On (SSO) instelt in vPlan. SSO stelt gebruikers in staat om zich met één set inloggegevens aan te melden op meerdere systemen. Volg de onderstaande stappen zorgvuldig om SSO in te stellen.
De SSO connectie wordt ingesteld middels SAML 2.0.
Voorbereidingen SSO connectie
Domeinen aansluiten
Zorg ervoor dat minimaal 24 uur van tevoren de benodigde domeinen aangesloten zijn. Het kan namelijk tot 24 uur duren voordat een domein herkend wordt, omdat de DNS (Domain Name System) moet worden bijgewerkt om de juiste verwijzingen naar de SSO-provider te maken. DNS-servers wereldwijd moeten deze wijzigingen herkennen en verwerken.
Als er geen domein ingesteld is kan een SSO gebruiker niet via het standaard inlog portaal inloggen met zijn SSO gebruiker op dat domein. Wel is het mogelijk om vanuit het de SSO provider een in te loggen in vPlan (IDP initiated Single Sign-On).App Roles aanmaken
Maak in de SSO-provider (zoals Azure AD of Okta) de volgende app roles aan, allemaal in kleine letters:administratorplannerworkerguest
Attributes & Claims invullen
Stel de attributen en claims correct in binnen de SSO-provider om te zorgen dat de juiste gegevens worden doorgestuurd naar vPlan. Dit is belangrijk voor de roltoewijzing en toegangsrechten. . De velden “role”, “name” en “email” moeten binnen het SAML bericht aangeleverd worden, deze kunnen door middel de hieronder genoemde mapping ingesteld worden.Gebruikers koppelen aan de juiste groepen of rollen
Zorg ervoor dat de gebruikers van tevoren aan de juiste groepen binnen de SSO-provider worden gekoppeld, op basis van hun rol. Alternatief kan je per gebruiker handmatig de juiste rol toewijzen.
SSO-connectie instellen in vPlan
Na de voorbereidingen, kun je de daadwerkelijke SSO-connectie instellen.
Nieuwe connectie toevoegen
Ga in vPlan naar de Configuratie en vervolgens naar het onderdeel Beveiliging. Klik op het tabblad Single Sign-On om naar de SSO-instellingen te gaan, en voeg een nieuwe connectie toe.
Vul de vereiste velden in:
Naam: Geef de connectie een naam (de naam maakt niet veel uit).
Sign-in URL: Dit is de URL van de SSO-provider waarmee gebruikers zich aanmelden. Let op, de naam van dit veld kan per provider verschillen.
Sign-out URL: Dit is de URL waar gebruikers na het afmelden heen worden geleid. Let op, de naam van dit veld kan per provider verschillen.
Certificaat: Upload het certificaat dat wordt gebruikt voor de beveiligde verbinding.
Mapping: Zorg dat de juiste mapping van attributen en claims wordt toegepast. Dit zorgt voor een goede toewijzing van gebruikersrollen in vPlan. Zie onderstaand voorbeeld van de mapping:
Domeinen: Vink de domeinen aan die je actief wilt stellen binnen deze SSO verbinding.
Redirect URL toevoegen
Nadat je de connectie hebt toegevoegd, moet je binnen de SSO-provider de Redirect URL (terugstuur-URL) instellen die is gegenereerd door vPlan. Dit zorgt ervoor dat de SSO-procedure correct wordt afgehandeld.SSO-connectie activeren
Schakel de SSO-connectie in om deze te activeren. Gebruikers kunnen nu inloggen via SSO.
Bestaande gebruiker omzetten naar een SSO-gebruiker
Op het moment dat een bestaande gebruiker wordt omgezet naar een SSO-gebruiker, zullen de gegevens als het wachtwoord en de rol automatisch aangepast worden. Het is voor de gebruiker dan niet meer mogelijk om in te loggen met zijn oude wachtwoord.
Op het moment dat van een gebruiker de SSO-verbinding wordt gedeactiveerd, zullen de oude gegevens (indien deze er zijn) teruggezet worden.
Hoe om te gaan met verlopen certificaten
Binnen de instellingen van je SSO-verbinding kun je het toegevoegde certificaat zien. Daarnaast zie je hier wanneer deze verloopt. Op het moment dat een certificaat bijna verloopt zullen wij tijdig mails sturen, dit gebeurt:
60 dagen voor het verlopen van het certificaat
30 dagen voor het verlopen van het certificaat
1 dag voor het verlopen van het certificaat
Wanneer je een nieuw certificaat wilt toevoegen, zul je het oude certificaat moeten verwijderen en kan een nieuwe worden toegevoegd.
