/
Workplace SSO instellen

Workplace SSO instellen

Owned by Lango: Language and translation manager
Last updated: Feb 25, 2024
6 min read

Moeilijkheidsgraad: expert

Leerdoelen

Na het lezen van dit artikel zul je in staat zijn om:

  • uw Active Directory instellen voor communicatie met Workplace

  • begrijpen hoe Workplace SSO werkt

  • Workplace SSO instellen om automatisch rollen toe te wijzen aan Workplace gebruikers

  • Workplace SSO instellen om automatisch Workplace-gebruikers aan te maken

Workplace Smart Buildings Single Sign-On (SSO) is beschikbaar voor Werkplek Web (GO)de Werkplek-app en Werkplek back-end Studio.

 

image-20240118-155323.png

Vereisten

gebaseerd op e-mailadres

  • IWMS-account voor gebruiker moet bestaan

    • Idealiter zorgt een HR-interface voor het automatisch aanmaken van IWMS-gebruikers.

    • Als de ingelogde gebruiker niet bestaat in IWMS, kan de gebruiker geen gebruik maken van functies die afhankelijk zijn van IWMS, zoals het maken van reserveringen.

  • Identity Provider Mapping (de volgende attributen ontvangen van de identity provider: "IWMS login ID", "Voornaam", "Achternaam" en "E-Mail")

    • Als het "IWMS login ID" attribuut niet correct is toegewezen, kan de gebruiker geen gebruik maken van IWMS-afhankelijke functies zoals het maken van reserveringen.

  • (optioneel) Mapping tussen Active Directory accountgroepen met Workplace rollen

Hoe is het opgezet?

Workplace ondersteunt het SAML 2.0 protocol, de industriestandaard voor alle up-to-date integraties.

De SSO-configuratie van IWMS kan niet worden hergebruikt op Workplace. Vanuit het perspectief van de Identity Provider zijn dit 2 afzonderlijke apps die elk een onafhankelijke SSO federatie setup vereisen.

Neem contact op met uw Spacewell Account Manager om Workplace SSO in te stellen.

Hoe werkt het?

Workplace Single Sign-On (SSO) is beschikbaar voor Werkplek Web (GO), de Werkplek App en Werkplek back-end Studio.

Eerste keer inloggen

  1. Workplace zal de prefix van de account-ID evalueren en weten dat deze inlogpoging via SSO moet gebeuren.

  2. De gebruiker wordt doorgestuurd naar het externe SSO-loginscherm.

  3. Na het invoeren van de referenties, als de Identity Provider het goedkeurt, stuurt SSO connectie de bovengenoemde attributen (zie Prerequisites) terug naar Workplace.

  4. Workplace zal automatisch een Workplace account aanmaken (en koppelen aan het IWMS account).

  5. De gebruiker kan alle relevante Workplace-functionaliteiten gebruiken.

Voeg de relevante e-mailprovider (bijv. @spacewell.com of @mcs.be) toe aan de Workplace SSO-configuratie om e-mailprovider te whitelisten. Om een e-maildomein te whitelisten, voeg je het toe aan Workplace back-end Studio Settings > SAML SSO > "Allowed email domains (comma separated)" (onder "Auto-Create user").

  1. Workplace zal het domein evalueren en weten dat deze inlogpoging via SSO moet gebeuren.

  2. De gebruiker wordt doorgestuurd naar het externe SSO-loginscherm.

  3. Na het invoeren van de referenties, als de Identity Provider het goedkeurt, stuurt SSO connectie de bovengenoemde attributen (zie Prerequisites) terug naar Workplace.

  4. Workplace zal automatisch een Workplace account aanmaken (en koppelen aan het IWMS account).

  5. De gebruiker kan alle relevante Workplace-functionaliteiten gebruiken.

Latere aanmeldingen

Sessies worden voor een vrij lange periode opgeslagen, dus als je na identificatie inlogt bij hetzelfde touchpoint, wordt de sessie opnieuw geopend.

Na sessievernieuwing, wanneer een gebruiker inlogt met Workplace gebruikers-ID of met e-mailadres: Workplace SSO controleert of hij de gebruiker kent en of deze is ingeschakeld. Zo ja, dan wordt de gebruiker doorgestuurd naar de bekende inlogpagina. Na het inloggen kan de gebruiker alle relevante Workplace functionaliteiten gebruiken.

Inloggen zonder SSO

Als SSO is geconfigureerd voor je omgeving en je hebt geen login binnen de Identity Provider, dan moet je een work-around volgen:

  1. voeg /no-sso toe aan de URL (bijv. https://go.cobundu.com/no-sso)

  2. kies "Log in met je Cobundu-referenties".

  3. log in met uw Workplace ID en wachtwoord

  1. voer uw werkplek-ID of e-mailadres in

  2. wordt u doorgestuurd naar de inlogpagina van SSO

  3. selecteer "klaar" in de linkerbovenhoek

  4. selecteer "Log in met je Cobundu-referenties".

  5. log in met uw Workplace ID en wachtwoord

 

SSO-problemen

Als een gebruiker SSO-problemen ondervindt, wordt hij naar de pagina "Inloggen zonder SSO" gebracht, waar hij kan inloggen met Cobundu Credentials. Toch heeft deze gebruiker niet weet zijn Cobundu-certificaten.

Hij zou dan ook de functie "Wachtwoord resetten" kunnen zien, maar de functie voor het resetten van wachtwoorden is uitgeschakeld als SSO is ingeschakeld voor een huurder. EN automatisch gebruikers aanmaken is ingeschakeld EN de gebruiker die om de reset vraagt, wordt automatisch aangemaakt.

Er wordt een e-mail verstuurd waarin staat dat het resetten van het wachtwoord niet is toegestaan.

Rollen in kaart brengen (zie Roles and Profiles)

Je kunt de Active Directory accountgroepen koppelen aan Workplace rollen:

  • Als een gebruiker zich aanmeldt met SSO en nog geen Workplace-account heeft:

    • De gebruiker wordt automatisch aangemaakt

    • Op basis van de AD-accountgroep-ID die via metagegevens is doorgegeven, wordt de gebruiker aangemaakt en krijgt hij een Workplace-rol toegewezen zoals gedefinieerd in de roltoewijzing. 

  • Als een gebruiker zich aanmeldt met SSO en al een Workplace account heeft:

    • Op basis van de AD-accountgroep-ID die via metagegevens is doorgegeven, krijgt de gebruiker een Workplace-rol toegewezen zoals gedefinieerd in de rolmapping

Als deze functie in gebruik is, worden handmatige roltoewijzingen overschreven.

Neem contact op met uw Spacewell Account Manager om deze functie te gebruiken.

image-20240118-155208.png

Automatisch aanmaken van Workplace gebruikers

De opzet van Workplace SSO heeft het verborgen voordeel dat voor elke (nieuwe) Workplace gebruiker die zich aanmeldt, bij de eerste keer inloggen, Workplace on-the-fly een account aanmaakt (zowel in Workplace Management als in Experience) en de gebruiker het systeem kan gaan gebruiken.

Een gebruiker die inlogt met Workplace ID (tenant.ID) of e-mailadres wordt herkend als onderdeel van een tenant waar SSO is ingesteld en Workplace zal automatisch een Workplace account aanmaken.

 

De Identity provider wordt beschouwd als de enige bron van waarheid. Met andere woorden: als de gebruiker automatisch wordt aangemaakt, wordt de informatie extern beheerd.

Om ervoor te zorgen dat Workplace altijd up-to-date is met de gebruikersinformatie, worden bij elke aanmelding (van een automatisch aangemaakte gebruiker) de volgende attributen gecontroleerd en bijgewerkt:

  • Voornaam gebruiker

  • achternaam

  • IWMS ID

 

Neem contact op met uw Spacewell Account Manager om deze functie te gebruiken.

FAQ

Hoe test je een Workplace SSO setup?

Op Werkplek Web (GO), de Werkplek-app of Werkplek back-end Studio:

  1. Gebruiker moet gebruikers-ID voor de werkplek opgeven (of e-mailadres, afhankelijk van de configuratie)

  2. (Workplace zal de prefix van de account-ID evalueren en weten dat deze aanmeldpoging via SSO moet gebeuren). De gebruiker wordt omgeleid naar het externe SSO inlogscherm.

  3. Na het invoeren van de referenties (ervan uitgaande dat de Identity Provider goedkeuring geeft): Workplace zal automatisch een Workplace account aanmaken (en koppelen aan het IWMS account).

  4. De gebruiker kan alle relevante Workplace-functionaliteiten gebruiken.

Hoe behandelt SSO Leavers in het bedrijf?

SSO is een aanmeldprogramma. Het voert geen updates uit op gebruikers en zorgt ook niet voor verwijdering of deactivering. Als een gebruiker is uitgeschakeld in het IWMS, is de gekoppelde Workplace-gebruiker nog steeds actief, maar heeft hij geen IWMS-rechten meer: de gebruiker kan inloggen op Workplace touchpoints en bladeren door reserveerbare kamers, plattegronden enz., maar zodra hij een reservering wil maken, is dit niet mogelijk (omdat hij niet meer de juiste IWMS-rechten heeft).

Problemen oplossen

  • Controleer of de IWMS-gebruiker correct is ingesteld

    • Heeft de gebruiker de benodigde rechten?

    • Is de gebruiker ingeschakeld?

  • Controleer of de Workplace-gebruiker correct is ingesteld

    • Is de Workplace-gebruiker gekoppeld aan de IWMS-gebruiker?

    • Zijn er Rollen toegewezen?

    • Is de gebruiker ingeschakeld?

  • Als je de toegang van de gebruiker in Workplace test, opent de SSO-pagina dan?

    • Zo ja, controleer SSO dan bij je IT-afdeling

    • Zo nee, neem dan contact op met Spacewell Support

  • Wat moet ik doen als het veld "Toegestane e-maildomeinen (door komma's gescheiden)" van de autocreatie-gebruiker niet bewerkbaar (grijs) is?

    • "Toegestane e-maildomeinen" is een huurdersoverschrijdende instelling en kan alleen worden beheerd met globale superaccounts van Spacewell.

    • In sommige gevallen kan het zelfs grijs zijn voor globale superrekeningen. Dit gebeurt bijvoorbeeld in speciale gevallen van aangepaste instellingen met CMEK. Deze lijst moet dan handmatig worden beheerd vanaf de back-end.

 

 

Zoek op

Search

Related content

Wie man Workplace SSO einrichtet
Wie man Workplace SSO einrichtet
Workplace Knowledge Base (de.support.spacewell.com)
More like this
EXP - SSO met meerdere identiteitsproviders
EXP - SSO met meerdere identiteitsproviders
What`s new (NL)
More like this
EXP - Gebruikers anonimiseren
EXP - Gebruikers anonimiseren
What`s new (NL)
More like this
EXP - Gestroomlijnde SSO-aanmeldingservaring
EXP - Gestroomlijnde SSO-aanmeldingservaring
What`s new (NL)
More like this
EXP - Apparaatbediening ondersteunt nu ook SSO
EXP - Apparaatbediening ondersteunt nu ook SSO
What`s new (NL)
More like this
Workplace web (GO) Snelle handleiding voor eindgebruikers
Workplace web (GO) Snelle handleiding voor eindgebruikers
Workplace Knowledge Base (nl.support.spacewell.com)
More like this