Wat is Single sign-on?
Single sign-on (afgekort SSO) stelt eindgebruikers in staat om éénmalig te authenticeren waarmee automatisch toegang kan worden verkregen tot meerdere applicaties of websites. Als gebruiker hoef je dan ook niet meer voor iedere applicatie of website verschillende inlognamen en wachtwoorden te onthouden. Met SSO kan een LIFT gebruiker automatisch inloggen in LIFT.
Voorbereiding voor configureren van SSO
Het inloggen in LIFT wordt verzorgd door een Identity Provider (IdP). Voor het koppelen met een IdP gebruikt LIFT de SAML 2.0 standaard.
Een systeembeheerder van de organisatie zal de IdP moeten voorbereiden, zodat LIFT via SSO kan authenticeren.
De inlognamen in LIFT moeten gematched kunnen worden met gebruikers uit de Identity Provider (bijvoorbeeld een Active Directory).
Standaard wordt hiervoor het e-mailadres van de gebruiker uit de IdP gebruikt. Dit betekent dat een inlognaam van een gebruiker in LIFT gelijk moeten zijn met het e-mailadres van de IdP.
SSO activeren via Microsoft Entra ID
Voor organisaties die gebruik maken van Office 365 is Microsoft Entra ID de meest voorkomende Identity Provider. Microsoft Entra ID stond voorheen bekend als Azure Active Directory.
In Microsoft Entra kan de bedrijfstoepassing LIFT via de galerij worden toegevoegd.
Stappen:
Volg de procedure zoals beschreven in https://learn.microsoft.com/nl-nl/entra/identity/saas-apps/lift-tutorial t/m hoofdstuk 'LIFT toevoegen vanuit de galerie'.
Stuur de Federation Meta data URL van de toegevoegde app naar het e-mailadres van LIFT support zodat LIFT support SSO kan activeren in jullie LIFT omgeving.
Hierna ontvang je van LIFT support het configuratiebestand retour
Dit configuratiebestand kan worden geupload in de app om een groot deel van de configuratie goed te zetten. Zie evt 'Eenmalige aanmelding voor Microsoft Entra configureren' van https://learn.microsoft.com/nl-nl/entra/identity/saas-apps/lift-tutorial.
Ga verder met het volgen van de procedure zoals beschreven in https://learn.microsoft.com/nl-nl/entra/identity/saas-apps/lift-tutorial.
Let op: Het kan zijn dat Entra aangeeft dat er verplichte waardes (bijvoorbeeld een reply URL/assertion consumer URL) ingevuld moeten worden. Deze waardes kunnen pas worden ingevuld nadat je de Federation Metadata URL aan onze support hebt aangeleverd.
SSO activeren via een andere Identity Provider
Andere Identity Provider oplossingen zijn ook een mogelijkheid. Het is dan wel vereist dat deze de SAML 2.0 standaard ondersteunt.
Ook hier begint het proces met het aanleveren van de Federation Metadata URL of eventueel via een bestand met de Federation Metadata.
Configuratie in LIFT gebruikerkaart
Nadat SAML aangezet is in LIFT dient bij een gebruiker ook aangegeven te worden dat deze via SAML (en/of nog handmatig) mag inloggen.
Kies hiervoor de optie 'Inloggegevens aanpassen' in het gebruikerkaartmenu:
Hier vind je (o.a.) de onderstaande instellingen:
Afhankelijk van de technische configuratie van de LIFT omgeving kan het zijn dat de optie om handmatig in te loggen of mag inloggen via SAML niet beschikbaar is.
Neem contact op met LIFT support wanneer de instellingen niet naar wens zijn te configureren.