Single Sign On met Entra ID (Azure AD)
Het is mogelijk het online platform te koppelen aan Entra ID (de nieuwe naam Azure Active Directory). Zo kunnen gebruikers inloggen met hun Microsoft-account. Deze koppeling kan op twee verschillende manieren worden gerealiseerd:
- Koppeling met behulp van Toolsfactory applicatie uit de Microsoft Entra-galerie.
- Koppeling met behulp van een zelf aangemaakte Entra applicatie, waarbij ieder jaar een nieuw clientgeheim moet worden aangemaakt.
De eerste optie is het simpelste op te zetten en geeft de minste kans op problemen. Bij de tweede optie ligt een deel van de verantwoordelijkheid namelijk bij de klant, omdat Toolsfactory bijvoorbeeld geen nieuw clientgeheim kan genereren als het inloggen niet meer werkt.
Toolsfactory applicatie uit Microsoft Entra-galerie gebruiken
Het enige wat aangeleverd moet worden is het zogenaamde "Tenant-id". Deze is onder andere te vinden door het beheercentrum van Entra https://entra.microsoft.com te bezoeken en vervolgens aan de linkerkant voor "Overzicht" te kiezen. Controleer of de juiste Azure tenant naam in beeld staat en stuur de bijbehorende "Tenant-id" aan Toolsfactory.
Nadat de eerste gebruiker gebruik heeft gemaakt van de SSO login verschijnt de applicatie in de Entra beheeromgeving en kunnen instellingen zoals welke gebruikers ermee mogen inloggen worden ingesteld.
App aanmaken in Entra
Het gebruik van deze methode wordt afgeraden omdat Toolsfactory geen zicht heeft op de verloopdatum van het clientgeheim, waardoor gebruikers onverwacht niet meer kunnen inloggen als het clientgeheim verloopt.
Om SSO met Entra ID-accounts mogelijk te maken dien je een applicatie aan te maken in Azure Active Directory.
- Ga naar het beheercentrum van Entra: https://entra.microsoft.com
- Klik vervolgens op "Toepassingen" en op "App-registraties".
- Klik bovenin het scherm op "Nieuwe registratie".
- Typ een naam voor de app
- Kies welke accounttypen de app kunnen gebruiken.
- Selecteer bij Omleidings-url ‘Web’ en vul de onderstaande domeinnaam in. Vervang DOMEINNAAM door de domeinnaam van de omgeving.
https://DOMEINNAAM/users/auth/microsoft_graph_auth/callback
- Klik onderaan de pagina op ‘Registreren’.
- De overzichtspagina verschijnt. Kopieer de ‘Toepassings-id (client-id)’ en bewaar het in een apart document. Zet erbij dat het de Toepassings-id betreft.
- Kopieer ook de ‘Map-id (tenant-id)’ en bewaar deze in hetzelfde document. Zet erbij dat het de Map-id betreft.
- Selecteer ‘Certficaten en geheimen’ (Certificates & Secrets).
- Klik onder de kop Clientgeheimen op ‘Nieuw clientgeheim’ (New client secret).
- Typ een beschrijving en selecteer wanneer het certificaat verloopt. Als je ‘Aangepast’ kiest, kun je een datum ver in de toekomst kiezen. Let op: als je kiest voor een kortere periode dient het certificaat voordat de periode verloopt opnieuw ingesteld te worden.
- Klik op ‘Toevoegen’ (Add).
- Kopieer de waarde (value) van het clientgeheim door op de knop achter de waarde te klikken en plak deze in het document. Zet erbij dat het het clientgeheim betreft.
LET OP: Het gaat om de waarde (value) van het clientgeheim, niet het ID. De waarde het het clientgeheim wordt nooit meer getoond. Dit is dus de enige mogelijkheid om deze te kopiëren!
Je hebt nu een document met daarin drie waardes:
- Toepassings-id (client-id)
- Map-id (tenant-id)
- Clientgeheim Waarde
Stuur deze waardes naar je contactpersoon bij Toolsfactory. De omgeving wordt door ons ingesteld.
LET OP: Zodra het clientgeheim verloopt kan er niet meer worden ingelogd. Lever dus op tijd een nieuw clientgeheim aan bij Toolsfactory zodat gebruikers hier geen last van ondervinden.
Optioneel: gebruikersgroepen doorgeven
Het is ook mogelijk om de gebruikersgroepen zoals die ingesteld staan in Entra ID door te geven aan ons platform. Ga hiervoor naar het menu-item "Tokenconfiguratie".
Klik vervolgens op "Groepsclaim toevoegen".
Vink tot slot aan dat alle groepen moeten worden doorgegeven en klik op toevoegen.
Iedere keer dat een gebruiker nu inlogt worden de groepen van die gebruiker bijgewerkt. Helaas ontvangt het platform alleen de "object id" van de groep, dus de namen zullen eenmalig in het platform moeten worden aangepast. De lijst met groepen bevat in Entra ID ook een kolom "object id", dus het is redelijk snel goed te zetten.
