SAML2 gefedereerde identiteitsintegratie
Gebruik je Azure AD?
Alvorens verder te gaan, als je Azure AD gebruikt, dan is een betere manier misschien het gebruik van: Azure AD Enterprise Application integration (SSO/Office365).
De SAML2 integratie is in staat om single sign-on (SSO) mogelijk te maken met de Azure Active Directory (Azure AD) of ActiveDirectory Federation Services (AD FS) van uw bedrijf.
Inleiding
Voor we beginnen geven we een korte introductie van de SAML2 integratie:
Bij een integratie zijn er twee systemen betrokken, die moeten worden geconfigureerd:
- De Identity Provider (IdP), zijnde Azure AD of AD FS:
De IdP moet geconfigureerd worden om het GoBright Platform als Service Provider te vertrouwen, en claims moeten geconfigureerd worden.Let op: voor het inschakelen van SAML in Azure AD, heeft u Azure AD Premium P1 of hoger nodig, voor SAML in AD FS is er geen extra vereiste.
- Het GoBright Platform is de Service Provider (SP):
De SAML integratie moet als een 'Integratie' van het type 'SAML' in het portaal worden aangemaakt, terwijl u de details van de IdP moet configureren.
U kunt één SAML integratie hebben in een GoBright omgeving.
Wanneer geconfigureerd kunt u ook automatisch gebruikers aanmaken, zodat gebruikers die onbekend zijn voor het systeem automatisch worden aangemaakt na succesvolle SAML-gebaseerde sign-on.
Integraties worden geconfigureerd in het Admin centrum. Log in op GoBright met uw beheerdersaccount en klik op de switch knop in de rechterbovenhoek.
Binnen het Admin centrum kunt u bovenaan klikken op de 'Integraties'.
Hier kunt u een nieuwe integratie 'toevoegen'. Geef de integratie een naam, zet het 'Externe systeem' op 'SAML', en sla op.
Nu zul je meer details zien, voor nu moet je het volgende kopiëren:
- "Identificatiecode betrouwbare partij / Entiteit Id
- Antwoord-URL (Assertion Consumer Service URL)
U zult deze twee nodig hebben in de volgende stap.
U kunt nu verder gaan met stap 2, de overige gegevens in dit scherm zullen in stap 3 worden ingevuld.
Nu moet u de IdP configureren, selecteer hieronder de IdP die u gebruikt, en volg de stappen in een van onze volgende artikels:
- Configureer SAML in Azure AD
- SAML configureren in AD FS
- SAML configureren in OneLogin
- SAML configureren in SURF
- SAML configureren in Okta
Wanneer u klaar bent met deze stap, gaat u verder met stap 3 hieronder.
In stap 2 heeft u de IdP geconfigureerd, en als gevolg daarvan beschikt u over 3 stukken informatie:
- Single Sign-on service url
- Dienst Enkelvoudig uitloggen url
- Token-ondertekenend certificaat
Nu moet u de laatste stappen configureren in het GoBright portaal:
- Ga terug naar het GoBright portaal, log in met een manager gebruiker als je dat nog niet bent
- Ga naar Instellingen > Integraties
- Open de "SAML" integratie die in stap 1 is aangemaakt.
- Vul nu de velden met de betreffende gegevens:
- Single Sign-on service url
- Dienst Enkelvoudig uitloggen url
- Token-ondertekenend certificaat
- De 'Gerelateerde Exchange / Office365 integratie' moet worden ingesteld op de Exchange/Office365 configuratie die in de portal is geconfigureerd en waar deze gebruikers hun mailboxen hebben.
- Om het automatisch aanmaken van gebruikers in te schakelen, zie "stap 4" hieronder.
- De 'direct login url' is een link die u kunt publiceren op bijvoorbeeld uw intranet. Deze link zal automatisch verwijzen naar de geconfigureerde SAML integratie en een directe login doen. Als een gebruiker wil inloggen zonder een 'direct login url' kan hij naar www.gobright.com gaan, 'Login' kiezen en zijn emailadres invullen. Op basis van het emailadres zal het login proces gestart worden.
Om automatische gebruikerscreaties mogelijk te maken, zijn er twee stappen nodig:
- Configureer de SAML integratie met automatische gebruikersaanmaak ingeschakeld, en kies de standaard rol voor automatisch aangemaakte gebruikers.
- Het platform moet weten welke bedrijfsdomeinen gerelateerd zijn aan uw omgeving, bijvoorbeeld: '@company.com'.
Geef deze domeinen door aan GoBright via het aanvraagformulier.
Geef in uw aanvraag het volgende op: uw organisatie, de domeinen die u wilt gebruiken voor het automatisch aanmaken van gebruikers.
Vraag dit aan via dit formulier.GoBright zal deze configureren en u feedback geven.
Problemen oplossen
Wanneer het SAML proces niet werkt, of onverwachte fouten geeft, is de eenvoudigste manier om te kijken welke problemen er zouden kunnen zijn het Windows Event Log.
- Log in op uw AD FS server
- Start Event Viewer (voer Administrative Tools > Event Viewer uit)
- Selecteer in de linker boomstructuur: Logboeken voor toepassingen en services > AD FS > Admin
- Waarschijnlijk ziet u de problemen meteen in de bovenste items, maar als u ze niet ziet, kunt u de 'Zoek' opties gebruiken in de rechter 'Acties'. Zoek dan op de term 'SAML'.