DifficultyMoeilijkheidsgraad: expert

Workplace Smart Buildings Single Sign-On (SSO) is available for Workplace beschikbaar voor Werkplek Web (GO), the Workplace App and Workplace de Werkplek-app en Werkplek back-end Studio.

Vereisten

based on gebaseerd op e-mail addressmailadres

• IWMS account for user must exist

• Ideally, an HR interface takes care of automatic creation of IWMS users

In case the logged in user doesn’t exist in IWMS, the user will not be able to use any IWMS-dependant features like making reservations

-account voor gebruiker moet bestaan

• Idealiter zorgt een HR-interface voor het automatisch aanmaken van IWMS-gebruikers.

• Als de ingelogde gebruiker niet bestaat in IWMS, kan de gebruiker geen gebruik maken van functies die afhankelijk zijn van IWMS, zoals het maken van reserveringen.

• Identity Provider Mapping (receiving following attributes from the de volgende attributen ontvangen van de identity provider: "IWMS login ID", "First NameVoornaam", "Last NameAchternaam" and en "E-Mail“Mail")

  • In case the “IWMS login ID” attribute is not correctly mapped, the user will not be able to use any IWMS-dependant features like making reservations.

• (optional) Mapping between Active Directory account groups with Workplace roles

How is it set up?

• • Als het "IWMS login ID" attribuut niet correct is toegewezen, kan de gebruiker geen gebruik maken van IWMS-afhankelijke functies zoals het maken van reserveringen.

• (optioneel) Mapping tussen Active Directory accountgroepen met Workplace rollen

Hoe is het opgezet?

Workplace ondersteunt het SAML 2.0 protocol, de industriestandaard voor alle up-to-date integrationsintegraties.

The SSO configuration from IWMS cannot be re-used on Workplace. These are 2 separated apps from the Identity Provider perspective, and each requires an independent SSO federation setup.

Contact your Spacewell Account Manager to have Workplace SSO set up.

De SSO-configuratie van IWMS kan niet worden hergebruikt op Workplace. Vanuit het perspectief van de Identity Provider zijn dit 2 afzonderlijke apps die elk een onafhankelijke SSO federatie setup vereisen.

Neem contact op met uw Spacewell Account Manager om Workplace SSO in te stellen.

Hoe werkt het?

Workplace Single Sign-On (SSO) is available for Workplace beschikbaar voor Werkplek Web (GO),  the Workplace App and Workplace de Werkplek App en Werkplek back-end Studio.

Eerste keer inloggen

Subsequent logins

Sessions are stored for a fairly long period, so when logging in to the same touch point after identification, the session will open again.

After session renewal, when a user logs in with Workplace user ID or with e-mail address: Workplace SSO verifies if he knows the user, and if he is enabled. If yes, the user will be forwarded to his known login page. After login, the user will be able to use all relevant Workplace functionalities.

Login without SSO

Latere aanmeldingen

Sessies worden voor een vrij lange periode opgeslagen, dus als je na identificatie inlogt bij hetzelfde touchpoint, wordt de sessie opnieuw geopend.

Na sessievernieuwing, wanneer een gebruiker inlogt met Workplace gebruikers-ID of met e-mailadres: Workplace SSO controleert of hij de gebruiker kent en of deze is ingeschakeld. Zo ja, dan wordt de gebruiker doorgestuurd naar de bekende inlogpagina. Na het inloggen kan de gebruiker alle relevante Workplace functionaliteiten gebruiken.

Inloggen zonder SSO

Als SSO is geconfigureerd voor je omgeving en je hebt geen login binnen de Identity Provider, dan moet je een work-around volgen:

SSO issues

If a user is experiencing SSO issues, he will be brought to the “Login Without SSO” page, which allows login with Cobundu Credentials. Yet, this user does not know his Cobundu credentials.

He might then also see the “Password reset” feature, but password reset feature is disabled when SSO is enabled for a tenant AND user auto-creation is enabled AND the user who is asking for the reset is auto-created.

An e-mail will be send saying that password reset is not allowed.

Role Mapping (see Roles & Profiles)

You can map the Active Directory account groups with Workplace roles:

• If a user logs in using SSO and has no Workplace account yet:

  • The user will be automatically created

  • Based upon the AD Account Group ID passed via metadata, the user will be created and assigned a Workplace role as defined in the role mapping 

• If a user logs in using SSO and already has a Workplace account:

  • Based upon the AD Account Group ID passed via metadata, the user will be assigned a Workplace role as defined in the role mapping

To start using this feature, contact your Spacewell Account Manager.

Image Removed

Automatic creation of Workplace users

The set-up of Workplace SSO has the hidden advantage that for every (new) Workplace user signing in, upon first login, Workplace creates an account on-the-fly (both in Workplace Management and Experience) and the user can start using the system.

Image Removed

A user logging in with Workplace ID (tenant.ID) or e-mail address is recognized as being part of a tenant where SSO has been setup and Workplace will automatically create a Workplace account.

The Identity provider is considered as the single source of truth. In other words: if the user is created automatically, the information is managed externally.

To make sure Workplace is always up-to-date with the user information, at each login (of an automatically created user), the following attributes are checked and updated:

• user first name

• last name

• IWMS ID

To start using this feature, contact your Spacewell Account Manager.

FAQ

How to test Workplace SSO setup?

On Workplace Web (GO), the Workplace App or Workplace back-end Studio:

1. User to provide Workplace user ID (or e-mail address, depending on set-up)

2. (Workplace will evaluate the account ID prefix, and know this login attempt needs to happen via SSO.) The user is redirected to the external SSO login screen.

3. After entering the credentials (assuming the Identity Provider approves): Workplace will automatically create a Workplace account (and link to the IWMS account).

4. The user will be able to use all relevant Workplace functionalities.

How does SSO treat Leavers in the company?

SSO is a Sign-on tool. It does not make any no updates on users nor does it handle deletion or deactivation. If a user is set to disabled in the IWMS, the linked Workplace user is still active, but does not have any IWMS rights anymore: the user can login to Workplace touchpoints and browse reservable rooms, floorplans etc, but as soon as they want to make a reservation, this will not be possible (because they don't have the correct IWMS rights anymore).

Troubleshooting

• Check if the IWMS user is set up correctly

  • Does the user have the necessary rights?

  • Is the user enabled?

• Check if the Workplace user is set up correctly

  • Is the Workplace user linked to the IWMS user?

  • Are any Roles assigned?

  • Is the user enabled?

• If you’re testing the access of the user in Workplace, does the SSO page open?

  • If yes, then please check SSO with your IT department

  • If no, please contact Spacewell Support

• What if the Auto-Create User field “Allowed email domains (comma separated)” is not editable (grey)?

  • “Allowed email domains” is a cross-tenant setting, and can only be managed with global super-accounts by Spacewell.

  • In some cases, it can even be greyed out for global super-accounts. This happens for example in special cases of custom setup with CMEK. This list then needs to be manually managed from the back-end.

SSO-problemen

Als een gebruiker SSO-problemen ondervindt, wordt hij naar de pagina "Inloggen zonder SSO" gebracht, waar hij kan inloggen met Cobundu Credentials. Toch heeft deze gebruiker niet weet zijn Cobundu-certificaten.

Hij zou dan ook de functie "Wachtwoord resetten" kunnen zien, maar de functie voor het resetten van wachtwoorden is uitgeschakeld als SSO is ingeschakeld voor een huurder. EN automatisch gebruikers aanmaken is ingeschakeld EN de gebruiker die om de reset vraagt, wordt automatisch aangemaakt.

Er wordt een e-mail verstuurd waarin staat dat het resetten van het wachtwoord niet is toegestaan.

Rollen in kaart brengen (zie Roles & Profiles)

Je kunt de Active Directory accountgroepen koppelen aan Workplace rollen:

• Als een gebruiker zich aanmeldt met SSO en nog geen Workplace-account heeft:

  • De gebruiker wordt automatisch aangemaakt

  • Op basis van de AD-accountgroep-ID die via metagegevens is doorgegeven, wordt de gebruiker aangemaakt en krijgt hij een Workplace-rol toegewezen zoals gedefinieerd in de roltoewijzing. 

• Als een gebruiker zich aanmeldt met SSO en al een Workplace account heeft:

  • Op basis van de AD-accountgroep-ID die via metagegevens is doorgegeven, krijgt de gebruiker een Workplace-rol toegewezen zoals gedefinieerd in de rolmapping

Neem contact op met uw Spacewell Account Manager om deze functie te gebruiken.

Image Added

Automatisch aanmaken van Workplace gebruikers

De opzet van Workplace SSO heeft het verborgen voordeel dat voor elke (nieuwe) Workplace gebruiker die zich aanmeldt, bij de eerste keer inloggen, Workplace on-the-fly een account aanmaakt (zowel in Workplace Management als in Experience) en de gebruiker het systeem kan gaan gebruiken.

Image Added

Een gebruiker die inlogt met Workplace ID (tenant.ID) of e-mailadres wordt herkend als onderdeel van een tenant waar SSO is ingesteld en Workplace zal automatisch een Workplace account aanmaken.

De Identity provider wordt beschouwd als de enige bron van waarheid. Met andere woorden: als de gebruiker automatisch wordt aangemaakt, wordt de informatie extern beheerd.

Om ervoor te zorgen dat Workplace altijd up-to-date is met de gebruikersinformatie, worden bij elke aanmelding (van een automatisch aangemaakte gebruiker) de volgende attributen gecontroleerd en bijgewerkt:

• Voornaam gebruiker

• achternaam

• IWMS ID

Neem contact op met uw Spacewell Account Manager om deze functie te gebruiken.

FAQ

Hoe test je een Workplace SSO setup?

Op Werkplek Web (GO), de Werkplek-app of Werkplek back-end Studio:

1. Gebruiker moet gebruikers-ID voor de werkplek opgeven (of e-mailadres, afhankelijk van de configuratie)

2. (Workplace zal de prefix van de account-ID evalueren en weten dat deze aanmeldpoging via SSO moet gebeuren). De gebruiker wordt omgeleid naar het externe SSO inlogscherm.

3. Na het invoeren van de referenties (ervan uitgaande dat de Identity Provider goedkeuring geeft): Workplace zal automatisch een Workplace account aanmaken (en koppelen aan het IWMS account).

4. De gebruiker kan alle relevante Workplace-functionaliteiten gebruiken.

Hoe behandelt SSO Leavers in het bedrijf?

SSO is een aanmeldprogramma. Het voert geen updates uit op gebruikers en zorgt ook niet voor verwijdering of deactivering. Als een gebruiker is uitgeschakeld in het IWMS, is de gekoppelde Workplace-gebruiker nog steeds actief, maar heeft hij geen IWMS-rechten meer: de gebruiker kan inloggen op Workplace touchpoints en bladeren door reserveerbare kamers, plattegronden enz., maar zodra hij een reservering wil maken, is dit niet mogelijk (omdat hij niet meer de juiste IWMS-rechten heeft).

Problemen oplossen

• Controleer of de IWMS-gebruiker correct is ingesteld

  • Heeft de gebruiker de benodigde rechten?

  • Is de gebruiker ingeschakeld?

• Controleer of de Workplace-gebruiker correct is ingesteld

  • Is de Workplace-gebruiker gekoppeld aan de IWMS-gebruiker?

  • Zijn er Rollen toegewezen?

  • Is de gebruiker ingeschakeld?

• Als je de toegang van de gebruiker in Workplace test, opent de SSO-pagina dan?

  • Zo ja, controleer SSO dan bij je IT-afdeling

  • Zo nee, neem dan contact op met Spacewell Support

• Wat moet ik doen als het veld "Toegestane e-maildomeinen (door komma's gescheiden)" van de autocreatie-gebruiker niet bewerkbaar (grijs) is?

  • "Toegestane e-maildomeinen" is een huurdersoverschrijdende instelling en kan alleen worden beheerd met globale superaccounts van Spacewell.

  • In sommige gevallen kan het zelfs grijs zijn voor globale superrekeningen. Dit gebeurt bijvoorbeeld in speciale gevallen van aangepaste instellingen met CMEK. Deze lijst moet dan handmatig worden beheerd vanaf de back-end.

Zoek op