/
SSO-configuratie voor WPM

SSO-configuratie voor WPM

Owned by Lango: Language and translation manager
Last updated: Aug 21, 2024Version comment
11 min read

De configuratiegidsen voor het configureren van Single Sign On (SSO) kunnen hieronder worden gevonden.

Op dit moment wordt SSO implementatie aan de kant van Workplace Management (en Workplace Experience) altijd gedaan door het Spacewell Integratie team.

Azure AD configuratiegids

Hieronder vind je de benodigde stappen om een Single sign on applicatie aan te maken binnen het Azure AD portaal.

Azure-applicatie maken

  1. Navigeer in Azure AD naar Enterprise-toepassingen



  2. Druk op "Nieuwe toepassing".



  3. Druk op "Maak je eigen applicatie".



  4. Vul een geschikte naam in en selecteer de optie " Integreer elke andere toepassing die je niet in de galerij vindt (Non-gallery)". Klik daarna op "Aanmaken". Het kan even duren voordat de applicatie is aangemaakt. Azure geeft je het volgende bericht totdat de toepassing klaar is.

 

Eenmalige aanmelding instellen

Zodra de applicatie is aangemaakt en je naar het scherm met applicatie-eigenschappen wordt genavigeerd.

  1. Klik op "Eenmalige aanmelding instellen" of doe dit in het menu aan de linkerkant met "Eenmalige aanmelding".

     

  2. Selecteer de optie "SAML

 

Automatisch met behulp van metagegevensbestand

De eenvoudigste manier om de single sign on instellingen in te vullen is via het metadatabestand. Dit kan op twee manieren worden verkregen:

 

  1. Zodra je de URL hebt, moet je de XML opslaan op je computer.

  2. Als je de benodigde instellingen handmatig wilt instellen, kun je deze waarden ophalen uit de metadata. We zullen geen documentatie verschaffen voor een handmatige instelling, omdat we vermoeden dat de benodigde kennis aanwezig is als je besluit deze optie te kiezen.

Let op: als u kiest voor een handmatige installatie, kan Spacewell kosten in rekening brengen voor eventuele assistentie van een Spacewell-consultant.

De metagegevens uploaden

  1. Klik in Azure op "Metagegevensbestand uploaden".

     

  2. Selecteer de XML die je net op je computer hebt opgeslagen en druk op "Toevoegen".

  3. Het resultaat zou een pagina "Basic SAML Configuration" moeten zijn. Hierin vind je de vooraf ingevulde waarden uit het metadatabestand. Een waarde die je kunt toevoegen is de "Sign on URL (Optional)". Als je deze waarde gebruikt, kun je Service Provider Initiated Single Sign On toestaan. Dit is niet noodzakelijk, maar wordt aangeraden om in te vullen. In de meeste gevallen zou deze URL er als volgt uit moeten zien: https://client.axxerion.com/axxerion/sso
    Waarbij u "client" vervangt door uw clientspecifieke URL waarmee u al bekend zou moeten zijn. Houd er rekening mee dat Workplace Management meerdere SSO-verbindingen binnen één clientomgeving ondersteunt. Als dat het geval is, zal deze URL anders zijn en moet deze worden besproken met uw Spacewell-contactpersoon.

  4. Zodra je de nodige waarden hebt ingevoerd, druk je op "Opslaan".

  5. Sluit het configuratiescherm zodra het succesvol is opgeslagen. Azure kan je vragen om de verbinding te testen. Sla dit aanbod af, aangezien er nog verschillende instellingen moeten worden ingesteld (zowel in Azure als aan de Workplace Management kant).

 

Extra claims instellen (optioneel)

Als je van plan bent om de SSO-verbinding te gebruiken in combinatie met Just In Time Provisioning, dan wil je misschien extra claims toevoegen. Navigeer hiervoor naar "Attributes & Claims" en druk op "Edit".

In het resulterende scherm kun je naar wens (groeps)claims toevoegen. Als je meer hulp nodig hebt bij het toevoegen van deze claims, neem dan contact op met je Azure beheerder.

 

Gebruikers toevoegen

  1. Klik in het menu aan de linkerkant op "Gebruikers en groepen".



  2. Druk op "Gebruiker/groep toevoegen".



  3. Druk op "Geen geselecteerd" en zoek naar de gebruikers of een specifieke groep die je toegang wilt geven tot de Single sign on applicatie.

  4. Druk op "Selecteren" om de gebruikers en/of groepen toe te voegen



  5. Druk op "Toewijzen" om de gebruikers aan de applicatie toe te wijzen

  6. Alle andere wijzigingen aan de gebruikers en/of groepen moeten worden gedaan door de Azure beheerder van jouw kant.

 

De nodige informatie delen

Als u klaar bent met alle bovenstaande stappen, kunt u het metadatabestand van de applicatie delen met uw Spacewell-contactpersoon. Navigeer op de SAML-based Sign-on pagina naar sectie 3 "SAML Certificates" en deel de "App Federation Metadata Url". met uw Spacewell-contactpersoon. Zij zullen de nodige stappen ondernemen om de SSO-verbinding te laten werken.

 

Verlenging van certificaten

  • Elk jaar zal Workplace Management het certificaat updaten dat wordt gebruikt voor de SSO-verbinding. Op dit moment zal Azure dit certificaat accepteren zonder dat daar stappen voor nodig zijn.

  • Als het certificaat wordt vernieuwd aan de Azure kant, moet Spacewell hier zo snel mogelijk van op de hoogte worden gesteld via de benodigde supportkanalen. Als Spacewell de Federation Metadata URL heeft ontvangen, kan een Spacewell contactpersoon eenvoudig de benodigde instellingen op Workplace Management bijwerken. Als Spacewell niet op de hoogte wordt gesteld, zal de SSO-verbinding niet meer werken zodra het certificaat aan de kant van Azure verloopt.

 


Configuratiegids voor Okta

Hieronder vindt u de stappen die nodig zijn om een Single sign on-toepassing te maken in het Okta-portaal.

Een Okta SSO-applicatie maken

  1. Navigeer in Okta naar "Applications > Applications" en druk op "Create App Integration".



  2. Selecteer in het venster "SAML 2.0" en klik op "Volgende".

     

  3. Vul een "App naam" in en druk op "Volgende". U bent vrij om een van de "App visibility" opties aan te vinken als deze op u van toepassing zijn. U hoeft ook niets toe te voegen voor het App logo omdat deze applicatie niet zal worden gebruikt om te worden gepresenteerd aan uw gebruikers (meer hierover in de sectie "Okta Bookmark applicatie maken").

 

Metadata-informatie

De eenvoudigste manier om de informatie op te halen die nodig is voor de SAML 2.0 verbinding is via het metadatabestand. Dit kan op twee manieren worden verkregen:

 

  1. Zodra je de URL hebt, kun je deze openen in je browser. Je kunt het bestand ook downloaden en openen in je favoriete tekstverwerker.

  2. In de onderstaande tabel vindt u de mapping met in de eerste kolom het veld in de Okta-applicatie en in de tweede kolom de tagnaam in de XML van de Workplace Management Federation Metadata.

Okta

Tag metagegevens

Okta

Tag metagegevens

URL voor eenmalige aanmelding 

md:AssertionConsumerService > Locatie

Audience URI (SP entiteit ID) 

md:EntiteitDescriptor > entiteitID

Naam ID-indeling

Voorbijgaand

 

3. Scroll naar beneden naar de "Attribute Statements (optioneel)" en voeg de attributen toe die gedeeld moeten worden. Voeg minimaal "user.email", "user.firstName" en "user.lastName" toe. Let op de waarden in de kolom "Name", want die moeten worden gedeeld met uw Spacewell-contactpersoon. Gebruik de knop "Nog een toevoegen" om extra attributen toe te voegen als u die nodig hebt.

4. Druk op "Volgende".

5. Stel in het volgende scherm de waarde in op "Ik ben een Okta-klant die een interne app toevoegt" en "Dit is een interne app die we hebben gemaakt".

6. Klik op "Voltooien".

7. Navigeer in het resulterende scherm naar de sectie "SAML Signing Certificates".
8. Klik op het actieve certificaat en druk op "Actions", gevolgd door "View IdP metadata".
9. Er wordt een tabblad geopend met de benodigde URL voor Metadata. Noteer de URL en deel deze met uw Spacewell-contactpersoon.

 

Okta Bookmark-toepassing maken (optioneel)

Als u gebruikers wilt laten inloggen vanuit Okta in Workplace Management, moet u een bladwijzerapplicatie maken. De SSO applicatie in Okta staat het niet toe om een URL op te geven waarmee een gebruiker kan inloggen. Het toevoegen van een bladwijzerapplicatie maakt dit wel mogelijk.

Klik in Okta op "Applications > Applications" (Toepassingen > Toepassingen) gevolgd door "Browse App Catalog" (App-catalogus doorbladeren).

  1. Zoek naar "Bladwijzer" in de zoekbalk en selecteer de "Bladwijzer App".



  2. Klik op "Integratie toevoegen".



  3. Vul een "Toepassingslabel" en de "URL" in. In de meeste gevallen moet de URL-waarde als volgt zijn: https://client.axxerion.com/axxerion/sso
    Waarbij u "client" vervangt door uw clientspecifieke URL waarmee u al bekend zou moeten zijn. Houd er rekening mee dat Workplace Management meerdere SSO-verbindingen binnen één clientomgeving ondersteunt. Als dat het geval is, zal deze URL anders zijn en moet deze worden besproken met uw Spacewell-contactpersoon.

  4. Druk op "Gereed" als je klaar bent

 

Gebruikers toewijzen

Het toewijzen van gebruikers is van toepassing op ten minste de SSO-toepassing en optioneel de bladwijzertoepassing.

  1. Open de applicatie en ga naar het tabblad "Toewijzingen". Klik op "Toewijzen" en selecteer of je Personen of Groepen wilt toevoegen



  2. In het onderstaande voorbeeld voegen we één specifieke gebruiker toe. Selecteer de gebruikers die je wilt toevoegen en druk op "Toewijzen". Druk na het toewijzen op "Gereed".



  3. Je gebruikers moeten zichtbaar zijn in de applicatie

 

Toepassingslogo toevoegen (optioneel)

  1. Als u een logo wilt toevoegen aan een van beide applicaties, kunt u hieronder het logo van Workplace Management downloaden.

  2. Klik op het logo om de afbeelding te vergroten.

  3. Je kunt het downloaden door rechtsboven op het pictogram "Downloaden" te klikken.



  4. Open de toepassing en druk op het "pen"-pictogram in de buurt van het bestaande logo (waarschijnlijk het tandwiel)

     

  5. Selecteer vervolgens de gedownloade afbeelding en druk op "Logo bijwerken".

 

 

Verlenging van certificaten

  • Elk jaar zal Workplace Management het certificaat updaten dat wordt gebruikt voor de SSO-verbinding. Op dit moment zal Okta dit certificaat accepteren zonder dat hiervoor stappen van uw kant nodig zijn.

  • Als het certificaat aan Okta-zijde wordt vernieuwd, moet Spacewell hiervan zo snel mogelijk op de hoogte worden gesteld via de benodigde supportkanalen. Als Spacewell de Federation Metadata URL heeft ontvangen, kan een contactpersoon van Spacewell eenvoudig de benodigde instellingen op Workplace Management bijwerken. Als Spacewell niet op de hoogte wordt gesteld, zal de SSO-verbinding niet meer functioneren zodra het certificaat van Okta verloopt.

 

ADFS-configuratiegids

Hieronder vind je de instellingen die, indien gebruikt, leiden tot een succesvolle SAML-verbinding met Workplace Management. Deze instellingen hebben geleid tot de meest succesvolle verbindingen met klanten. Afwijken van onderstaande instellingen kan leiden tot factureerbare uren door uw Spacewell contactpersoon.

Instellingen in ADFS

In de onderstaande afbeeldingen vindt u verwijzingen naar de server "axpr05". Deze moet worden vervangen door uw Workplace Management server. U kunt deze informatie vinden in de onderstaande sectie https://spacewell.atlassian.net/wiki/spaces/~62e256719974783acc356c63/pages/128024601.

 

De nodige claims instellen

Let op de claimvolgorde. Als de aangepaste claim eerder is, zal de verbinding mislukken.

 

Aangepaste claim

De aangepaste claim die hierboven wordt gebruikt, is als volgt ingesteld:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "!!!REPLACE!!!entityId of the ADFS on your end!!!REPLACE!!!", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "!!!REPLACE!!!url of Axxerion server!!!REPLACE!!!");

 

Aangepaste claims voor het geval het bovenstaande niet werkt

In het zeldzame geval dat de bovenstaande instructie niet voldoende is voor een werkende verbinding, moeten mogelijk de volgende aangepaste beweringen worden geïmplementeerd. Alle andere beweringen moeten worden verwijderd.

Aangepaste claim 1

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

Aangepaste claim 2

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "!!!REPLACE!!!entityId of the ADFS on your end!!!REPLACE!!!", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "!!!REPLACE!!!url of Workplace management server!!!REPLACE!!!");

 

 

URL metadata van federatie ophalen voor WPM

Navigeer binnen Workplace Management naar de omgevingsinstellingen door op de dashboardknop "Setup" te klikken of in het menu op "Admin > Setup".

Noteer het servernummer

De metagegevens-URL kan worden gevonden via de volgende URL:

https://axpr00.axxerion.com/axxerion/saml/metadata

In deze URL moet je de 00 vervangen door je servernummer. Let op: als je op een server zit met een enkele 'x', moet het axpr0x zijn.

 

 

 

Related content

SSO-Konfiguration für WPM
SSO-Konfiguration für WPM
Workplace Knowledge Base (de.support.spacewell.com)
More like this
EXP - Apparaatbediening ondersteunt nu ook SSO
EXP - Apparaatbediening ondersteunt nu ook SSO
What`s new (NL)
More like this
Workplace SSO instellen
Workplace SSO instellen
Workplace Knowledge Base (nl.support.spacewell.com)
More like this
EXP - Gebruikers anonimiseren
EXP - Gebruikers anonimiseren
What`s new (NL)
More like this
EXP - Gestroomlijnde SSO-aanmeldingservaring
EXP - Gestroomlijnde SSO-aanmeldingservaring
What`s new (NL)
More like this
EXP - SSO met meerdere identiteitsproviders
EXP - SSO met meerdere identiteitsproviders
What`s new (NL)
More like this