SSO/SAML-configuratie met Azure Active Directory (AD)

In dit artikel wordt uitgelegd hoe u de Diligent Boards-applicatie in Microsoft Azure configureert, zodat gebruikers via eenmalige aanmelding (SSO) toegang krijgen tot hun Boards-site.

Hoe het werkt

SSO is een handige en veilige methode om met één set inloggegevens toegang te krijgen tot alle bronnen van uw bedrijf. Om ervoor te zorgen dat de juiste persoon toegang heeft tot de juiste middelen, is het volgende nodig:

  • Een identiteitsprovider (IdP), zoals Azure Active Directory, die verantwoordelijk is voor de gebruikersauthenticatie.

  • Een serviceprovider (SP) die de toegang tot bronnen beheert, inclusief Diligent Boards.

Diligent ondersteunt door IdP en SP geïnitieerde identiteitsprocessen. Houd er rekening mee dat er voor IdP een optionele extra stap is in het configuratieproces om beheerders in te stellen. Zie het gedeelte Claims toevoegen voor door IdP geïnitieerde aanmelding voor meer informatie.

Voor het configureren van Diligent Boards in uw Azure Active Directory (AD) is mogelijk samenwerking vereist tussen een Boards-beheerder en een IT-specialist die de IdP binnen uw organisatie beheert. Dit kan dezelfde persoon zijn, maar meestal zijn het verschillende mensen.

Vereisten voor machtigingen

De IT-specialist die de IdP bij uw bedrijf beheert, heeft ontwikkelaarstoegang tot Azure AD nodig met een van de volgende rollen:

  • Globale beheerder

  • Beheerder van cloudtoepassingen

  • Toepassingsbeheerder

Voor hen is geen Diligent Boards-account vereist.

Als u samenwerkt met een Boards-beheerder, raden we u aan dat deze toegang heeft tot de Sitebeheer-applicatie, zodat hij/zij de lijst met actieve gebruikers, hun machtigingen en rollen kan bekijken.

De Diligent Boards-applicatie configureren voor SSO

Om SSO voor Diligent Boards te configureren, moet u de toepassing instellen in Azure AD. Maak eerst de Diligent Boards-applicatie. Haal vervolgens het ondertekeningscertificaat met uw IdP-metagegevens op en stuur dit ter validatie naar het Customer Success/Implementation-team. Wijs ten slotte gebruikers toe aan de Diligent Boards-applicatie, zodat ze via SSO toegang krijgen tot hun account.

De Diligent Boards-applicatie maken

In dit gedeelte wordt uitgelegd hoe u een nieuwe toepassing, Diligent Boards, in Azure AD maakt en SSO-compatibiliteit instelt.

  1. Meld u aan bij de Microsoft Azure Portal.

  2. Selecteer Azure Active Directory.

  3. Selecteer Bedrijfstoepassingen in het menu aan de linkerkant.

  4. Selecteer Nieuwe toepassing bovenaan het scherm.

  5. Selecteer op de pagina die verschijnt, bovenaan het scherm Uw eigen toepassing maken.

  6. Voer onder 'Wat is de naam van uw app?' een naam in voor de applicatie, bijvoorbeeld Diligent Boards.

  7. Selecteer het keuzerondje naast Integreer alle andere toepassingen die u niet in de galerij vindt (Niet-galerij).

SSO-compatibiliteit instellen

Voor SSO-compatibiliteit heeft Diligent gegevens van uw authenticatieprovider nodig en heeft het ook informatie van ons nodig.

  1. Selecteer Eenmalige aanmelding in het menu aan de linkerkant.

  2. De aanmeldmethode voor Diligent Boards is SAML 2.0. Selecteer het potloodpictogram in de sectie Basis-SAML-configuratie om de SAML-configuratiegegevens te bewerken.

  3. U kunt ervoor kiezen om metagegevens te uploaden of handmatig gegevens in te voeren. Om metagegevens te uploaden, selecteert u Metagegevensbestand uploaden boven aan het scherm.

  4. Om handmatig gegevens in te voeren, vult u de volgende velden in:

    Veldnaam

    Invoertekst

    Identificatie (Entiteits-ID)

    https://diligent-identity/"omgeving"_"sitenaam"

    Antwoord-URL (URL van de Assertion Consumer Service)

    https://identity-"omgeving".diligentcloudservices.com/saml/external-callback/"omgeving"_"sitenaam"

    Notitie

    De waarden omgeving en sitenaam in de bovenstaande URL's zijn uniek voor uw bedrijf. Neem contact op met uw Diligent Customer Success/Implementation-team voor hulp met de URL's.

  5. Het kenmerk voor authenticatie moet Mail of E-mail zijn. Controleer of de e-mailstructuur voor de Diligent Boards-app overeenkomt met de e-mailstructuur van uw bedrijf.

    Notitie

    Als de e-mailadressen van gebruikers niet overeenkomen, wordt de authenticatie bij het aanmelden geweigerd.

Het verkrijgen van uw ondertekeningscertificaat

In dit gedeelte wordt uitgelegd hoe u uw IdP-metagegevens kunt bekijken en ter validatie naar Diligent Boards kunt sturen.

  1. Selecteer in het gedeelte SAML-certificaten de optie Downloaden naast de optie 'Federation Metadata XML'.

  2. Het XML-bestand verschijnt onderaan uw browservenster. Het zal ook beschikbaar zijn in de door u aangewezen downloadmap.

  3. Stuur het XML-bestand met uw metagegevens naar uw Diligent Customer Success/Implementation-team.

Gebruikersaccounts toewijzen

In dit gedeelte wordt beschreven hoe u een gebruiker aan de Diligent Boards-applicatie toewijst, zodat deze via SSO toegang krijgt tot zijn/haar account.

  1. Selecteer in Azure AD Bedrijfstoepassingen in het menu aan de linkerkant.

  2. Selecteer de toepassing Diligent Boards.

  3. Selecteer Gebruikers en groepen in het menu aan de linkerkant.

  4. Selecteer Gebruiker/groep toevoegen bovenaan de pagina.

  5. Selecteer Geen geselecteerd. De pagina Toewijzing toevoegen wordt weergegeven.

  6. Voer de naam in van de gebruiker die u wilt toewijzen aan de Diligent Boards-applicatie in het veld Zoeken, dat aan de rechterkant van het scherm wordt weergegeven. U kunt zoeken op gebruikersnaam of e-mailadres.

  7. Selecteer de optie Selecteren die naast de naam van de gebruiker wordt weergegeven.

  8. Selecteer Toewijzen om het toewijzen van de gebruiker aan de Diligent Boards-applicatie te voltooien.

Claims toevoegen voor door IdP geïnitieerde aanmelding

Zodra uw Diligent Boards-site is geconfigureerd in Azure AD, kunt u een nieuwe claim maken om aan te geven hoe gebruikers met de beheerdersrol toegang krijgen tot de toepassing. Standaard worden gebruikers doorgestuurd naar Boards Web Director als deze claim niet aanwezig is.

  1. Selecteer in Azure AD Bedrijfstoepassingen in het menu aan de linkerkant.

  2. Selecteer de toepassing Diligent Boards.

  3. Selecteer Eenmalige aanmelding in het menu aan de linkerkant.

  4. Ga naar beneden op de pagina om de sectie Attributen en claims te bekijken.

  5. Selecteer het potloodpictogram om de informatie te bewerken.

  6. Selecteer Nieuwe claim toevoegen.

  7. Vul de volgende velden in het venster Claim beheren in:

    Veldnaam

    Invoertekst

    Beschrijving

    Naam

    diligent_client_id

    Claimvoorwaarden

    Bereikte groepen: Selecteer een groep voor de beheerdersgebruikers

    Bron: Attribuut

    Waarde: bw_book_admin

    Stuurt een groep gebruikers naar Boards Web Admin

    Claimvoorwaarden

    Bereikte groepen: Selecteer een groep voor de directeuren/managers

    Bron: Attribuut

    Waarde: bw_director

    Stuurt een groep gebruikers naar Boards Web Admin

    Notitie

    U moet één groep maken voor de beheerdersgebruikers en een aparte groep voor de niet-beheerdersgebruikers. Dit maakt dynamische claims mogelijk op basis van gebruikerspersona's.

  8. Selecteer Opslaan. De aangepaste claim wordt geconfigureerd in de Diligent Boards-applicatie.