Single Sign On
De rol opleidingscoördinator is vereist om de volgende stappen te kunnen doorlopen
Het kan zijn dat je gebruikers van een bestaand platform de mogelijkheid wilt geven om eenvoudig in te kunnen loggen in oZone. Denk hierbij bijvoorbeeld aan een knop bij dat platform, waarmee de gebruiker met een klik is ingelogd in oZone. Dit kan momenteel worden gedaan met SAML 2.0. Op deze pagina wordt het configureren hiervan in het algemeen uitgelegd. Om een goed beeld te krijgen van het configureren kan je een van de hieronder beschreven "how to guides" gebruiken:
Voordat gebruikers vanuit een ander platform kunnen inloggen bij oZone, moet er eerst configuratie worden gedeeld. Het configureren wordt gedaan in 2 stappen:
Configuratie waardes worden bij oZone ingevuld en opgeslagen
2a. (optioneel) Configuratie gebruiken bij meerdere bedrijven in oZone
Stap 1. Configuratie waardes worden aangevraagd en gedeeld
Over het algemeen heeft een ander platform een metadata URL nodig. Binnen het oZone platform wordt dit ook wel "Entity ID" genoemd. Deze waarde kan worden gevonden op de SSO configuratie pagina.
Daarnaast is, om door te gaan naar de tweede stap, de metadata URL (of XML) van het andere platform vereist en moet er bij het andere platform voor drie waardes een representerende naam worden ingesteld en opgehaald (ook wel genoemd "SAML attributes"). Deze drie waardes moeten bij iedere login aanvraag, vanuit het andere platform, worden meegestuurd. Het gaat om de waardes:
- Voornaam,
- Achternaam,
- E-mailadres
Stap 2. Configuratie waardes worden bij oZone ingevuld en opgeslagen
Wanneer de waardes van stap 1 beschikbaar zijn, kunnen ze worden ingesteld bij de SSO configuratie pagina. Selecteer als eerste welk configuratie type is aangeleverd en vul daarna de bijbehorende velden van dit type in.
Vul daarna de drie representerende waardes in bij de velden:
- Attribuutnaam voor het e-mailadres van de gebruiker
- Attribuutnaam voor de voornaam van de gebruiker
- Attribuutnaam voor de achternaam van de gebruiker
De naamgeving kan per SSO koppeling verschillen.
Een mogelijke optie voor het werkbaar maken van de attributen is de namespace uri
Maak je gebruik van Microsoft Azure AD, dan zijn de waarden van de in te vullen Attribuurnamen als volgt; e-mailadres: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, voornaam: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname, achternaam: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Nadat alle velden zijn ingevuld, kan de SSO configuratie worden opgeslagen door op de knop "Opslaan" te klikken.
Stap 2a. (optioneel) Configuratie gebruiken bij meerdere bedrijven in oZone
Bij oZone is het mogelijk om een SSO configuratie te delen met meerdere bedrijven. Dit kunnen bijvoorbeeld vestigingen zijn van een bedrijf die in oZone wel hun eigen omgeving hebben, maar buiten oZone wel gebruik maken van hetzelfde platform vanwaar de deelnemer navigeert met SSO naar oZone. Het is daarom mogelijk om een "Entity ID" van een ander platform bij meerdere bedrijven binnen oZone te gebruiken. Hiervoor moet er bij de eerste stap bij het andere platform worden geconfigureerd dat er een "audience" waarde wordt meegestuurd.
Dezelfde waarde moet bij de SSO configuratie pagina worden ingesteld. Hiervoor moet SAML-configuratie herbruikbaar maken bij andere bedrijven worden aangevinkt, waarna een of meerdere audience attributen kunnen worden toegevoegd.
Let hierbij op dat het andere platform maar één audience waarde mag opsturen. Het is bij oZone mogelijk om meerdere audience waardes in te stellen, zodat het ook mogelijk is om met behulp van verschillende audience waardes bij dezelfde bedrijf te kunnen inloggen.