Hoe stel ik Single Sign-On in voor Microsoft Active Directory Server?

Hier volgen de stappen om de Single Sign-On met de Spend Cloud in te richten voor Microsoft Active Directory Server. De screenshots hieronder kunnen verouderd zijn, maar het proces zal soortgelijk zijn. 

In dit voorbeeld doorlopen we het proces waarbij we gebruik maken van Windows Server 2012 R2 Standard en ADFS management 6.3.0.0.

Algemeen

Voor het instellen van SSO moet de IDP verbonden zijn met internet. De ADFS-server moet toegankelijk zijn via poort 443. Zorg ervoor dat jouw ADFS-server bereikbaar is vanaf internet via poort 443. 

Schakel TLS 1.2 in

Als je een oudere versie van Windows Server gebruikt, is het mogelijk dat TLS 1.2 ondersteuning niet is geactiveerd. Aangezien we de metadata via een URL op TLS 1.2 leveren, zul je TLS 1.2 moeten inschakelen. Volg daarvoor deze handleiding:

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs#enabling-strong-authentication-for-net-applications 

 

SSO instellen voor de Spend Cloud

Start het Active Directory Federation Services programma: 

Klik op ‘Add Relying Party Trust’ en klik op ‘Start’ in de wizard. Vul het volgende in voor Federation metadata adres en klik op ‘Next’:  

URL live omgeving: https://spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata

URL test omgeving: https://test.spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata

Accepteer de waarschuwing, vul een naam in en klik op ‘Next’: 

Klik op ‘Next’ in het ‘Multi-factor Authentication’ scherm, klik op ‘Next’ in ‘Choose Issuance Authorization Rules’, klik op ‘Next’ in ‘Ready to Add Trust’ en klik op ‘Close’ in Finish. Het Edit claim rules dialog wordt geopend: 

Klik op  ‘Add Rule’ en kies voor ‘Send LDAP Attributes as Claims’: 

Geef de Claimregel een naam, bijvoorbeeld ‘Email’. Selecteer ‘Active Directory’ als ‘Attribute store’. Wijs ten minste het kenmerk toe dat je wilt gebruiken als identificatie voor de Spend Cloud. Dit is meestal het e-mailadres:

Klik op ‘OK’ en ‘Add Rule’. Selecteer ‘Transform an Incoming Claim’ als claim template: 

Klik op ‘Next’ en vul het formulier op de volgende manier:

Klik op ‘OK’. Hiermee is alles ingesteld. 

• Related Articles

• Hoe stel ik Single Sign-On in?

  Visma | ProActive biedt Single Sign On (SSO) functionaliteit aan via de SAML 2.0-standaard. Voor een meer diepgaande uitleg over hoe dit precies werkt, zie: https://en.wikipedia.org/wiki/SAML_2.0 In SAML worden 3 hoofdpartijen geïdentificeerd: de ...

• Hoe stel ik Single Sign-On in voor Microsoft Azure?

  Microsoft Azure Enterprise applications Hier volgen de stappen om de Single Sign On met de Spend Cloud in te richten voor Microsoft Azure. 1: Allereerst dient de applicatie te worden aangemaakt (zie afbeelding 1). Afbeelding 1 2: Zodra deze is ...

• Hoe stel ik Single Sign-On in voor Google Gsuite?

  Hier volgen de stappen om de Single Sign-On met de Spend Cloud in te richten voor Google Gsuite. De screenshots hieronder kunnen verouderd zijn, maar het proces zal soortgelijk zijn. 1. Log in op het Google admin-paneel en ga naar Apps → SAML Apps. ...

• Medewerkers

  Medewerkers Je levert de medewerkersgegevens aan van de medewerkers die een rol krijgen in de Spend Cloud. Van elke medewerker hebben we de volgende gegevens nodig: Voornaam Achternaam Gebruikersnaam E-mailadres Personeelsnummer (in geval van ...

• Koppeling Exact

  We koppelen met Exact Globe, Exact Financials en Exact Online. Voor onderstaande koppelingen kan zowel handmatig informatie uitgewisseld worden als via de webservice. Hieronder volgt meer informatie over het opzetten van een webservicekoppeling. ...