Samenvatting
SSO, wat staat voor Single Sign-On, is een sessie- en gebruikersverificatiedienst waarmee een gebruiker met één set inloggegevens (bijvoorbeeld werk-/bedrijfsgegevens) toegang heeft tot meerdere applicaties. Voor Effectory is dit van toepassing op de vragenlijsten, My Effectory en My Feedback.
Wat zijn de voordelen van het gebruik van SSO?
SSO is een groot voordeel voor gebruikers, omdat:
- Controle. Door SSO te gebruiken zal jouw organisatie toegang verlenen op basis van actieve accounts in de e-mailextensies die door jouw organisatie worden beheerd.
- Meer veiligheid en compliance. SSO biedt de mogelijkheid om het netwerk veiliger te maken. Ook het toevoegen van accounts voor nieuwe medewerkers en het deactiveren van accounts bij einde dienstverband is eenvoudiger met SSO, omdat de klant dit zelf beheert.
- Verbeterde gebruiksvriendelijkheid en medewerkerstevredenheid. Door gebruik te maken van SSO heb je maar één manier van aanmelden. Een gebruiker hoeft niet meerdere inlognamen en wachtwoorden te onthouden bij het gebruik van verschillende applicaties.
- Lagere IT-kosten.
Voor welke toepassingen van Effectory kan ik SSO gebruiken?
Effectory ondersteunt Single Sign-On in onze systemen, voor het inloggen op vragenlijsten, My Effectory en My Feedback. Het wordt van onze kant sterk aanbevolen om SSO te gebruiken.
Welke systemen worden (niet) ondersteund door Effectory?
Om je eigen identity provider te gebruiken om in te loggen op Effectory systemen, moet een aantal gegevens worden aangeleverd zodat de configuratie in onze systemen kan worden opgezet. Effectory maakt SSO voor klanten mogelijk als de klant gebruik maakt van Azure Active Directory, OpenID Connect SURFConnext & AFDS. Als je Office365 gebruikt via jouw bedrijfsaccount is dat een indicatie dat je Azure Active Directory gebruikt.
Niet ondersteunde systemen en protocollen
Helaas kunnen we niet alle systemen en protocollen ondersteunen die gebruikt worden voor Single Sign-On. Effectory ondersteunt het SAML-protocol niet en ondersteunt geen ADFS 3.0 of lager. ADFS vanaf Windows Server 2016 (v4.0) wordt ondersteund door gebruik te maken van het OpenID Connect protocol.
Hoe zet ik SSO op?
Zorg voor de juiste informatie om de configuratie van SSO in onze systemen in te stellen, zodat je jouw eigen identity provider kunt gebruiken om in te loggen op Effectory systemen.
Zie de verschillende tabs hieronder voor de ondersteunde systemen en de te nemen stappen om SSO in te stellen.
Houd bij het instellen van de configuratie in de identiteitsprovider rekening met het volgende:
-Effectory gebruikt de implicit flow in OpenID Connect.
-Een claim met de naam "email" is vereist voor authenticatie.
-De claims "given_name" en "family_name" zijn niet vereist, maar het zou fijn zijn als deze ook in de token meegegeven worden.
-Twee scopes worden gebruikt om de benodigde informatie op te halen: 'openid' en 'profile'.
-De callback URl die gebruikt wordt is https://signin.effectory.com/openid/[identifier]/callback, waarbij [identifier] de identifier is die hieronder beschreven wordt.
Het zou ook fijn zijn als een test account opgezet kan worden, zodat het Development team van Effectory de SSO implementatie kan testen voordat het aangezet wordt voor iedereen.
OpenID Connect benodigdheden
Om de benodigde configuratie op te zetten, moet de volgende informatie aan Effectory doorgegeven worden:
1. Een identifier voor je identity provider, die gebruikt wordt door Effectory. Een unieke identifier is nodig om onderscheid te maken tussen verschillende identity providers. De identifier wordt gebruikt in de login URL (https://signin.effectory.com/[identifier]) en in de callback URL. Gebruik a.u.b. alleen alfanumerieke karakters, en geen speciale karakters of diacritics.
2. De lijst van domeinnamen die gebruikt worden in je provider. Stuur a.u.b. een komma-gescheiden lijst op, e.g.: @example.com,@domain.com,@company.com. Het is momenteel niet mogelijk om privé e-mail addressen zoals Gmail te gebruiken.
3. Het e-mail adres van de technische contactpersoon, die kan worden gecontacteerd in geval van vragen of problemen.
4. Het OpenID well-known endpoint. Dit is je authority URL gevolgd door ‘/.well-known/openid-configuration’, e.g. https://login.domain.com/.well-known/openid-configuration.
5. Een ClientId, een unieke ID in je identity provider die Effectory toestemming geeft om ermee te communiceren en te authenticeren.
1. De naam van uw organisatie zoals bekend bij SURFconext. U kunt ook uw organisatie opzoeken in de SURFconext-metadata en ons de EntityID bezorgen.
2. De lijst van domeinnamen die gebruikt worden in je provider. Stuur a.u.b. een komma-gescheiden lijst op, e.g.: @example.com,@domain.com,@company.com. Het is momenteel niet mogelijk om privé e-mail addressen zoals Gmail te gebruiken.
3. Het e-mail adres van de technische contactpersoon, die kan worden gecontacteerd in geval van vragen of problemen. Zodra wij de benodigde informatie hebben ontvangen, regelen wij samen met SURFconext dat uw organisatie kan inloggen op de software van Effectory.
Opmerkingen
U moet u aanmelden om een opmerking te plaatsen.