Hoe stel ik Single Sign-On in voor Microsoft Azure?
Microsoft Azure Enterprise applications
Hier volgen de stappen om de Single Sign On met de Spend Cloud in te richten voor Microsoft Azure.
1: Allereerst dient de applicatie te worden aangemaakt (zie afbeelding 1).
2: Zodra deze is aangemaakt, kies je voor het opzetten van de Single Sign On (zie afbeelding 2a). Hierbij kies je voor de methode 'SAML' (zie afbeelding 2b) .
3: Hierna kan de basis configuratie worden bewerkt (zie afbeelding 3) .
4: Vervolgens dient bij punt 1 de volgende URL in te voeren (zie afbeelding 4):
URI live omgeving: https://spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata
URI test omgeving: https://test.spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata
Bij punt 2 dient de Reply URL te worden ingevoerd:
URI live omgeving: https://spend.cloud/api/sso/saml/clients/<omgevingsnaam>/acs
URI test omgeving: https://test.spend.cloud/api/sso/saml/clients/<omgevingsnaam>/acs
En tot slot dient bij punt 3 de inlog URL van de Spend Cloud te worden opgevoerd:
URI live omgeving: https://<omgevingsnaam>.spend.cloud
URI test omgeving: https://<omgevingsnaam>.test.spend.cloud
Bovenstaande test URI's zijn alleen van toepassing indien er ook een aparte test-omgeving van de Spend Cloud wordt afgenomen.
5: Nadat dit is opgeslagen zou je binnen de gegevens van de SSO een URL naar de metadata moeten zien staan (https://login.microsoftonline.com/TENNANT-ID/federationmetadata/2007-06/federationmetadata.xml?appid=CLIENT-ID). Deze dient te worden aangeleverd, zodat wij de metadata kunnen ophalen. Hierna kan de koppeling met ons worden getest.
Naast het aanleveren van de URL naar de metadata, dienen wij ook nog te weten middels welke claim er moet worden gevalideerd. Wij adviseren zelf om op basis van e-mailadres te valideren via de Claim 'name'. Echter bestaat ook de mogelijkheid om op basis van een andere Claim op e-mailadres te valideren. Zolang het e-mailadres van de opgegeven claim gelijk is aan die binnen de Spend Cloud, zal de gebruiker kunnen inloggen.
Indien het niet wenselijk is om op basis van e-mailadres te valideren, kunnen we ook eventueel op basis van het gebruikersnaam binnen de Spend Cloud valideren.
6: Nadat de Applicatie is aangemaakt, kan er vanuit het overzicht de toepassings-id worden ingesteld. Dit kan eventueel ook vanuit het onderdeel 'Een API beschikbaar maken' (zie afbeelding 6a en 6b). Hier kies je voor instellen en gebruik je de:
URI live omgeving: https://spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata
URI test omgeving: https://test.spend.cloud/api/sso/saml/clients/<omgevingsnaam>/metadata
7: Vervolgens moet er vanuit het onderdeel Verificatie ook nog een Omleidings-URI worden toegevoegd: (zie afbeelding 7).
URI live omgeving: https://spend.cloud/api/sso/saml/clients/<omgevingsnaam>/acs
URI test omgeving: https://test.spend.cloud/api/sso/saml/clients/<omgevingsnaam>/acs
Naast het aanleveren van de URL naar de metadata, dienen wij ook nog te weten middels welke claim er moet worden gevalideerd. Wij adviseren zelf om op basis van e-mailadres te valideren via de claim 'emailaddress'. Echter bestaat ook de mogelijkheid om op basis van andere waarden te valideren. Zolang de waarde van de opgegeven claim gelijk is aan die binnen de Spend Cloud, zal de gebruiker kunnen inloggen.
Indien het niet wenselijk is om op basis van e-mailadres te valideren, kunnen we ook eventueel op basis van het gebruikersnaam binnen de Spend Cloud valideren.
8: Aanvullend op deze configuratie dienen de gebruikers binnen Azure via een gebruikersgroep gematchtigd te worden, zodat zij toegang hebben tot de Spend Cloud applicatie die in stap 1 is aangemaakt. Voor meer informatie zie: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/manage-application-permissions?pivots=portal
Indien er toch nog meer informatie benodigd is voor het instellen van Azure, dan kan eventueel ook een hulpartikel van Microsoft worden geraadpleegd: https://docs.microsoft.com/nl-nl/azure/active-directory/manage-apps/add-application-portal-setup-sso .
Related Articles
Hoe stel ik Single Sign-On in?
Visma | ProActive biedt Single Sign On (SSO) functionaliteit aan via de SAML 2.0-standaard. Voor een meer diepgaande uitleg over hoe dit precies werkt, zie: https://en.wikipedia.org/wiki/SAML_2.0 In SAML worden 3 hoofdpartijen geïdentificeerd: de ...Hoe stel ik Single Sign-On in voor Microsoft Active Directory Server?
Hier volgen de stappen om de Single Sign-On met de Spend Cloud in te richten voor Microsoft Active Directory Server. De screenshots hieronder kunnen verouderd zijn, maar het proces zal soortgelijk zijn. In dit voorbeeld doorlopen we het proces ...Hoe stel ik Single Sign-On in voor Google Gsuite?
Hier volgen de stappen om de Single Sign-On met de Spend Cloud in te richten voor Google Gsuite. De screenshots hieronder kunnen verouderd zijn, maar het proces zal soortgelijk zijn. 1. Log in op het Google admin-paneel en ga naar Apps → SAML Apps. ...Outlook instellingen voor automatisch omleiden naar de Postbus
Wij adviseren om zoveel mogelijk alleen facturen of contracten binnen te laten komen in de Postbus van de Spend Cloud, zodat de scans vanuit de postbus zo efficient mogelijk verwerkt kunnen worden in de Spend Cloud. Om te zorgen dat er zoveel ...Medewerkers
Medewerkers Je levert de medewerkersgegevens aan van de medewerkers die een rol krijgen in de Spend Cloud. Van elke medewerker hebben we de volgende gegevens nodig: Voornaam Achternaam Gebruikersnaam E-mailadres Personeelsnummer (in geval van ...