Spotnana Single Sign-on (SSO) instellen voor uw identiteitsprovider

INHOUDSOPGAVE

• Spotnana Single Sign-on (SSO) instellen voor uw identiteitsprovider
  • Inleiding
  • Vereisten
    • SAML
    • OpenID Connect
    • Google Standaard
  • Stappen voor configuratie in de Spotnana Online Booking Tool
    • SAML
    • OpenID Connect
    • Google’s Standaard
  • Testen 
    • Problemen oplossen
  • Aandachtspunten
    • SAML
    • OpenID Connect

Inleiding

In deze handleiding leest u hoe u Spotnana koppelt aan uw identiteitsprovider (IdP) om Single Sign-on (SSO) mogelijk te maken. Na het instellen hoeven gebruikers geen apart Spotnana-account meer te gebruiken, maar kunnen zij via SSO inloggen. Om SSO in Spotnana te activeren, dient u eenmalig een aantal stappen te doorlopen. Deze stappen zijn verdeeld in drie onderdelen:

• Taken vooraf - Hier vindt u per methode (SAML, OpenID Connect en Google Standaard) welke gegevens u vooraf bij uw IdP moet verzamelen.

• Stappen voor configuratie in de Spotnana Online Booking Tool (OBT) - Hier leest u per methode (SAML, OpenID Connect en Google Standaard) hoe u Spotnana koppelt aan uw IdP.

• Testen - Hier wordt uitgelegd hoe u de verbinding tussen Spotnana en uw IdP kunt testen en controleren of alles goed werkt.

Vereisten

SAML

Uw metadata wordt aangeleverd als tekst uit een XML-bestand of als een URL naar de locatie waar uw metadata-bestand staat. Zorg dat u deze gegevens bij de hand heeft voordat u begint. 

• Als u een metadata-XMLgebruikt, levert u tijdens het instellen in de OBT (op het scherm SAML XML-metadata en de SAML e-mailattribuut in (via het scherm Bedrijfsgegevens invoeren ).. Het e-mailattribuut moet overeenkomen met het e-mailadres van de gebruiker.

• Als u een metadata document-URLgebruikt, vult u tijdens het instellen de Endpoint-URL in waar het metadata-bestand staat, samen met het SAML e-mailattribuut in (via het scherm Bedrijfsgegevens invoeren ).. Dit e-mailattribuut moet overeenkomen met het e-mailadres van de gebruiker.

OpenID Connect

Voor deze methode dient u Spotnana de volgende gegevens te verstrekken.

• Client ID – De publieke identificatiecode van uw identiteitsprovider voor uw account.

• Client Secret – Een geheime sleutel die alleen uw identiteitsprovider kent en die uniek is voor uw account. Deze wordt gebruikt voor gebruikersauthenticatie.

• Attribuutverzoek-methode (GET of POST) – De HTTP-methode waarmee de gebruikersgegevens worden opgehaald.

• Issuer URL – De URL waarop authenticatieverzoeken worden ontvangen.

• OpenID Connect e-mailattribuut – Het attribuut waarmee gebruikers worden geïdentificeerd. Dit moet overeenkomen met het e-mailadres van de gebruiker.

Google Standaard

Voor deze optie zijn er geen vereisten vooraf.

Stappen voor configuratie in de Spotnana Online Booking Tool

SAML

Om de SSO-verbinding in te stellen, logt u in op de OBT, kiest u Bedrijf in het Programma menu, klikt u het Configuratie menu aan de linkerkant uit en kiest u Integratie. Vervolgens kiest u het tabblad SSO en klikt u op Verbinden bij de optie SAML . 

1. Het scherm SAML configureren in uw IdP verschijnt. Hier vindt u twee waarden: ACS/Reply URL en Entity ID, die u nodig heeft om uw IdP zo in te stellen dat deze verzoeken van ons accepteert en antwoorden terugstuurt. Gebruik de kopieerknop om deze waarden naar uw klembord te kopiëren en plak ze vervolgens in de juiste velden van uw IdP. Nadat u deze gegevens in uw IdP heeft opgeslagen, klikt u op Volgende. Het scherm SAML-bron selecteren verschijnt.  

2. Geef aan waar uw SAML-metadata-bestand vandaan komt. Kies voor Metadata XML of Endpoint-URL van metadata-document. 

   1. Als u Metadata XMLheeft gekozen:

      • U wordt gevraagd de XML-gegevens van uw IdP te verstrekken. Kopieer en plak deze XML in het dialoogvenster.

        • Let op: Zorg dat het volgende onderdeel in uw XML-bestand staat:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Als u de XML niet direct kunt aanpassen, stel dan in uw IdP in dat u IDP Redirect URL verplichtmoet gebruiken.

      • Voer uw SAML e-mailattribuut in wanneer hierom wordt gevraagd en klik op Verbinden. 

   2. Als u Endpoint-URL van metadata-documentheeft gekozen:

      • Voer de URL in waar uw metadata-bestand staat in het veld Endpoint-URL .

      • Voer uw SAML e-mailattribuut in het juiste veld in.

3. Klik op Verbinden als u klaar bent.

OpenID Connect

Om de SSO-verbinding in te stellen, logt u in op de OBT, kiest u Bedrijf in het Programma menu, klikt u het Configuratie menu aan de linkerkant uit en kiest u Integratie. Vervolgens kiest u het tabblad SSO en klikt u op Verbinden bij de optie OpenID Connect . 

1. Vul de volgende velden in:

   • Attribuutverzoek-methode (GET of POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect e-mailattribuut 

2. Klik op Verbinden als u klaar bent.

Google’s Standaard

Om de SSO-verbinding in te stellen, logt u in op de OBT, kiest u Bedrijf in het Programma menu, klikt u het Configuratie menu aan de linkerkant uit en kiest u Integratie. Vervolgens kiest u het tabblad SSO en klikt u op Verbinden bij de optie Google Standaard .

Testen 

Nadat u Spotnana heeft gekoppeld aan uw IdP, is het belangrijk dat u samen met uw gebruikers test of SSO goed werkt. U wordt gevraagd de volgende stappen uit te voeren: 

1. Log uit bij Spotnana.

2. Ga naar de inlogpagina.

3. Kies voor de SSO-inlogoptie. U wordt automatisch doorverwezen naar de inlogpagina van uw IdP.

4. Log in met uw gebruikersnaam en wachtwoord van uw IdP. U wordt daarna automatisch teruggeleid naar Spotnana en direct ingelogd.

Let op: Mocht de SSO-doorverwijzing voor bepaalde gebruikers niet werken, dan kunnen zij alsnog inloggen met hun Spotnana-gebruikersnaam en wachtwoord.

Wanneer u instellingen van de SSO-koppeling in Spotnana wijzigt, wordt deze testprocedure opnieuw gestart. 

Problemen oplossen

Krijgen alle gebruikers binnen uw organisatie problemen tijdens het testen? Controleer dan het volgende:

• Controleer of alle verbindingsgegevens juist zijn ingevuld in Spotnana.

• Controleer of uw identiteitsprovider (IdP) goed is ingesteld en bereikbaar is.

Hebben slechts enkele gebruikers problemen? Dan bestaat de kans dat deze gebruikers nog niet bestaan in Spotnana, uw IdP of beide.

Aandachtspunten

SAML

• Identificatiecodes: Wij ondersteunen geen identificatiecodes die worden gebruikt om gebruikers in multi-tenant-applicaties naar de IdP te leiden.

• Automatisch afmelden: Wanneer een gebruiker wordt afgemeld bij de IdP, wordt deze automatisch ook bij Spotnana uitgelogd.

• SAML-aanmelding gestart door IdP: Wij vereisen SAML-asserties die door de serviceprovider worden gestart (volgens de gangbare standaard).

• SAML-ondertekening en versleuteling: Wij ondersteunen geen ondertekening van SAML-verzoeken of het verplicht stellen van versleutelde SAML-asserties.

OpenID Connect

• Identificatiecodes: Wij ondersteunen geen identificatiecodes die worden gebruikt om gebruikers in multi-tenant-applicaties naar de IdP te leiden.

• OpenID Connect-eindpunten ophalen: Wij ondersteunen alleen Automatisch invullen via issuer-URL en staan geen Handmatige invoer van eindpunten toe. Wij vullen automatisch de volgende velden in: autorisatie-endpoint, token-endpoint, userinfo-endpoint en jwks_uri.