ADFS identity provider instellen ADFS identity provider instellen

ADFS identity provider instellen

Marel Maathuis Marel Maathuis

Ga naar Start > Applicatiebeheer > SSO > Identity providers. Klik op Nieuw om een nieuwe koppeling in te stellen. Wil je een bestaande koppeling aanpassen of verwijderen? Klik dan die koppeling aan en klik daarna op Bewerken of Verwijderen


Selecteer bij Type ADFS en klik op Opslaan


Basis


Je kunt nu de gegevens voor de koppeling instellen. Bij stap 1 Basis staan de verplichte velden. Vul een Naam in voor de koppeling in e-UUR. Deze naam komt ook op de knop voor het inloggen als je geen naam invult bij Label voor inlogknop.



In onderstaand voorbeeld is de ingevulde tekst op de knop Inloggen via ADFS.



Onder ADFS/SAML kun je de specifieke gegevens invullen voor de koppeling.  


Vul bij Autorisatie URL de url in van de andere omgeving (de identity provider). Bij Certificaat (signing) geef je het certificaat voor signing in van de identity provider. Je kunt deze uit ADFS halen. 


Geavanceerd


Onder stap 2 Geavanceerd kun je extra opties instellen. 



Algemeen

Zet Inlogknop tonen op loginpagina op Nee als je geen inlogknop op de inlogpagina wilt.


Bij Automatisch inloggen o.b.v. e-mailadres kun je aangeven of je wilt dat er een keer moet worden ingelogd met het wachtwoord of dat je direct automatisch kunt inloggen. Dit betekent dat als een nog niet gekoppelde gebruiker via deze identity provider inlogt, er geen automatische koppeling plaatsvindt op basis van het e-mailadres, maar er altijd eenmalig om het e-mailadres en wachtwoord wordt gevraagd. 



Zet Directe login toestaan op Ja als je het inloggen voor meerdere e-UUR omgevingen wilt samenvoegen. Meer daarover vind je in het artikel Meerdere e-UUR omgevingen inloggen via SSO.


Perspectieven

Zet een vinkje bij de Perspectieven van de gebruikers die mogen inloggen via deze identity provider. Alleen gebruikers van de aangevinkte perspectieven kunnen vervolgens via deze weg inloggen.


Just in time e-UUR gebruiker

Het is mogelijk dat een leveranciersgebruiker die nog niet bekend is in e-UUR via ADFS wil inloggen. Hiervoor bestaat de optie Just in time e-UUR gebruiker aanmaken. Selecteer hier Ja als je toestaat dat nieuwe e-UUR leveranciergebruikers kunnen inloggen in e-UUR.


Je kunt vervolgens een Sjabloongebruiker selecteren. Hier kun je kiezen uit alle actieve leveranciergebruikers. Een nieuwe gebruiker krijgt dan automatisch de rollen van de geselecteerde leveranciergebruiker. Selecteer je geen sjabloongebruiker, dan krijg je bij het opslaan de volgende melding. 



Je kunt hier ook instellen dat de persoonsgegevens van de identity provider worden gebruikt. Selecteer dan Ja bij De identity Provider is leidend


Het is ook mogelijk om een Leveranciereenheid methode te selecteren. Je kunt kiezen uit Sjabloongebruiker of Claim. Selecteer je Claim, dan kun je bij Leveranciereenheid claim de naam invullen.  



ADFS/SAML

Bij Relyingparty Identifier wordt de URL van de huidige omgeving ingevuld als deze wordt leeggelaten. Eventueel kun je een identity provider Issuer URL invullen. Laat je die ook leeg, dan wordt die afgeleid van het autorisatie adres van de identity provider.


Selecteer daarnaast een optie bij NameId format die overeenkomt met de gegevens in ADFS. Laat je deze leeg, dan wordt automatisch Unspecified ingevuld.



Vul eventueel bij Certificaat (encryption) de sleutel van het certificaat voor encryptie in. Je kan deze uit ADFS halen. 


Relyingparty certificaat

Deze velden worden automatisch ingevuld na het opslaan.


Klik op Opslaan.


Open de koppeling weer. De velden zijn nu ingevuld.



Blokkeren normale inlog


Wil je dat leveranciergebruikers niet meer kunnen inloggen met de e-UUR inloggegevens? Dan kun je de normale inlog voor deze gebruikers blokkeren. Ga naar Start > Applicatiebeheer > Instellingen en zet een vinkje onder Instellingen - Algemeen bij Leveranciersgebruikers mogen alleen inloggen via Identity Provider.



Klik op Opslaan. Leveranciergebruikers kunnen nu alleen nog inloggen via de knop Inloggen via ADFS.