Single Sign On (SSO)

21.1 Single Sign On (SSO)

Stappenplan

  1. URL om enterprise app toe te voegen: https://portal.azure.com/#view/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/~/AppAppsPreview/menuId~/null
  2. Klik op 'new application'
  3. Zoek op Microsoft Entra SAML Toolkit
  4. Voer een naam in, klik 'Create'
  5. Voeg users en groups toe aan de app
  6. Ga dan naar Single sign-on
  7. Kies SAML
  8. Upload metadata file (download hiervoor dit bestand: https://login.iwink.nl/saml/module.php/saml/sp/metadata.php/kirra  -> hernoem naar federationmetadata.xml voor upload)
  9. Voer bij Sign-on URL in 'https://login.iwink.nl'
  10. Zorg dat de 'email' of 'emailaddress' claim gevuld is. Dit kan door deze te koppelen aan user.userprincipalname (zie screenshot via edit claims).
  11. Zorg dat de 'name' claim gevuld is met de naam van de gebruiker (waarschijnlijk user.displayname).
    • Download de metadata
    • Stuur deze op naar iWink: support@iwink.report (Onderwerp: SSO - [Organisatienaam]). 
    • Geef daarbij aan of je wilt dat:
      1. iedereen met een e-mailadres dat eindigt op @organisatie.nl verplicht via SSO moet inloggen, of
      2. er ook nog gebruikers mogen worden toegevoegd met een @organisatie.nl-account via het huidige gebruikersbeheer.
    • Ons advies is om SSO te verplichten. Als er geen voorkeur wordt doorgegeven, stellen we dit standaard zo in. Externe gebruikers (zoals tekstschrijvers) met een ander e-mailadres dan @organisatie.nl kunnen altijd via het reguliere gebruikersbeheer worden toegevoegd en toegang krijgen tot iwink.report.
  13. Voeg een notitie in de agenda toe op wanneer de vervaldatum van het certificaat van deze metadata in de buurt komt om deze te vernieuwen.

Upload metadata

Download Federation Metadata

Attributes & Claims

Geavanceerde instellingen en foutmeldingen

Block identifier URIs without unique tenant identifiers

Er is een security hardening instelling waardoor het kan zijn dat het toevoegen van de metadata in entra een generieke foutmelding geeft.

login.iwink.nl is een valide uitzondering op deze regel en indien deze security instelling aan staat dient deze uitzondering toegevoegd te worden zoals de afbeelding rechts.