Active Directory Federation Services (ADFS) is Microsofts on-premises identiteitsprovider die gefedereerde identiteit en single sign-on over applicaties heen mogelijk maakt. Met OpenID Connect SSO geconfigureerd tussen ADFS en Document360 kunnen je gebruikers en lezers inloggen bij Document360 met hun bestaande Active Directory-inloggegevens.
Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.
Wat je kunt doen met ADFS als je IdP
| Capaciteit | Ondersteund |
|---|---|
| Gebruikers- (portaal) authenticatie | Ja |
| Lezer (kennisbanksite) authenticatie | Ja |
| SCIM-provisioning | Ja (alleen via tools van derden of aangepaste integraties) |
| SSO-configuratie-overerving (ouder-kindprojecten) | Ja |
Voordat je begint
- Je hebt administratieve toegang tot zowel Document360 als je ADFS-server.
- Je hebt eigenaar - of beheerdersrechten in je Document360-project.
- Open Document360 en ADFS in twee aparte browsertabbladen voordat je begint.
Hoe configureer je ADFS OpenID SSO in Document360
Stap 1: Voeg de applicatie toe in ADFS
- Log in op de ADFS Management console op je ADFS-server.
- Navigeer in de ADFS Managementconsole naar Relying Party Trusts.
- Klik met de rechtermuisknop op Relying Party Trusts en selecteer Voeg Relying Party Trust toe.
- In de Wizard Toewijding van Afhankelijke Partij Toevoegen kies je Claims aware en klik je op Start.
- Selecteer Voer handmatig gegevens in over de betrouwende partij en klik op Volgende.
- Geef een weergavenaam (bijvoorbeeld "Document360 OpenID SSO") en klik op Volgende.
- Klik in de stap Certificaat Configureren op Volgende (je kunt dit overslaan als je geen certificaat gebruikt).
Stap 2: Haal de SP-parameters op van Document360
- Open Document360 in een apart tabblad.
- Ga naar Instellingen () > Gebruikers & machtigingen > SSO-configuratie.
- Klik op Create SSO.
- Selecteer ADFS als je identiteitsprovider om automatisch naar de pagina 'Configureer the Service Provider (SP') te navigeren.
- Op de pagina Configureren van de Service Provider (SP) selecteer je de OpenID-radioknop .
- Er wordt een set parameters weergegeven.
Stap 3: Voer de Document360-parameters in in ADFS
- Schakel over naar het tabblad ADFS Management-console en voer de Document360-parameters in in de bijbehorende velden in de stap URL configureren met behulp van de onderstaande mapping.
| ADFS | Document360 |
|---|---|
| Relying Party Identifier | Subdomeinnaam |
| Aanmeld-URL | Log in redirect-URL |
| Uitlog-URL | Uitlog redirect-URL |
- Klik op Volgend en voltooi de resterende stappen in de wizard, zoals het instellen van multi-factor authenticatie indien nodig, en het toestaan van toegang tot de applicatie voor alle gebruikers.
- Bekijk je instellingen en klik op Volgend om het vertrouwensvertrouwen van de afhankelijke partij toe te voegen.
- Vink op het laatste scherm het vakje ' Open' de dialoogkaart 'Claim Bewerken ' aan en klik op Sluiten.
Stap 4: Voeg claimregels toe in ADFS
- Klik in het dialoog 'Claim Regels bewerken ' op 'Regel toevoegen'.
- Selecteer 'Send LDAP Attributen as Claims' als regeltemplate en klik op Volgende.
- Geef een naam aan de claimregel (bijvoorbeeld "Send LDAP Attributes").
- Configureer het volgende:
- Attribuutopslag: Selecteer Active Directory.
- Mapping:
- LDAP-attribuut: User-Principal-Name | Uitgaande claimtype: Naam-ID
- LDAP-attribuut: E-mailadressen | Uitgaande claimtype: E-mail
- LDAP-attribuut: Display-Name | Uitgaande claimtype: Naam
- Klik op Afmaken om de regel toe te voegen.
- Klik op Toepassen om je wijzigingen op te slaan en sluit het dialoogvenster.
Stap 5: Configureer de identiteitsprovider in Document360
- Keer terug naar Document360 op de pagina Configureer de Service Provider (SP) en klik op Volgende om naar de pagina Configureer de Identity Provider (IdP) te gaan.
- Voer de bijbehorende waarden in uit je ADFS-configuratie met behulp van de onderstaande mapping.
| ADFS | Document360 |
|---|---|
| Client Identifier (Client ID) | Klant-ID |
| Klantgeheim | Klantgeheim |
| Uitgevende URL | Autoriteit (autorisatie-URL of eindpunt) |
Zorg ervoor dat de Client ID in Document360 overeenkomt met de Relying Party Identifier die in ADFS is geconfigureerd.
- Typ in het veld Scope (optioneel) een scope-waarde in en klik op + om deze als chip toe te voegen. Dit definieert welke gebruikersinformatie of rechten Document360 van ADFS opvraagt. Je kunt tot 3 scopes toevoegen.
- Klik op Volgende om door te gaan naar de SCIM-provisioningpagina .
Stap 6: Configureer SCIM-provisioning
SCIM-provisioning stelt je in staat om het beheer van de levenscyclus van gebruikers en lezers tussen ADFS en Document360 te automatiseren. Omdat ADFS SCIM niet native ondersteunt, vereist dit een tool van derden of een op maat gemaakte integratie.
Als je geen SCIM-provisioning nodig hebt, ga dan naar stap 7: Configureer de SSO-naam en inlogopties.
- Zet de schakelaar SCIM inschakelen aan .
- Er verschijnt een bevestigingsdialoog. Bekijk de voorwaarden, vink het vakje aan en klik op Akkoord.
- De parameters die nodig zijn om de SCIM-configuratie te voltooien, worden vervolgens weergegeven.
SCIM-provisioning in ADFS kan alleen worden ingeschakeld met tools van derden of met op maat gemaakte integraties. ADFS ondersteunt niet native SCIM-provisioning.
- Voer de benodigde parameters van Document360 in de bijbehorende velden in je aangepaste app.
- In het veld Standaardrol staat de rol standaard op Bijdrager . Je kunt dit wijzigen via het dropdownmenu indien nodig.
- Selecteer in de velden Gebruikersgroepen en Lezergroepen de groepen die je wilt toevoegen. Meerdere groepen kunnen worden toegevoegd, en ze erven de standaardrol die je eerder hebt gekozen.
- Klik op Volgende om naar de pagina Meer-instellingen te gaan.
Stap 7: Configureer de SSO-naam en inlogopties
- Voer in het veld voor de SSO-naam een naam in voor de SSO-configuratie.
- Voer in de knop 'Inlogen aanpas' de tekst in voor de inlogknop die aan gebruikers wordt weergegeven.
- Automatisch toewijzen van lezergroep: Deze optie is alleen beschikbaar voor bestaande SSO-configuraties. Voor nieuw aangemaakte SSO-configuraties wordt deze schakelaar niet weergegeven omdat SCIM automatisch gebruikers en groepen provisioneert.
- Zet of uit Uitloggen en inactieve SSO-gebruiker aan of uit op basis van je vereisten.
- Kies of je bestaande gebruikers- en lezersaccounts uitnodigt bij SSO.
- Klik op Aanmaken om de OpenID SSO-configuratie te voltooien.
De SSO-configuratie met ADFS en het OpenID Connect-protocol is nu actief in Document360.
Gebruikers beheren in ADFS
Om lezers te bekijken die via uw ADFS-integratie zijn toegevoegd:
- Ga in Document360 naar Instellingen () > Gebruikers & machtigingen > Lezers & groepen.
- Selecteer de lezer om naar hun lezerprofiel te navigeren.
Lezers die via SCIM zijn ingesteld, tonen een SSO-SCIM-badge naast hun naam.
Wanneer SCIM is ingeschakeld, wordt het bewerken van de naam van een gebruiker of het direct verwijderen van een gebruiker in Document360 uitgeschakeld, omdat deze acties via je IdP moeten worden beheerd om beide platforms synchroon te houden. Je kunt alleen contenttoegang beheren vanuit Document360. Het verwijderen van een profiel in je IdP verwijdert het niet uit Document360 — het profiel blijft met een Inactieve status.
Beheer de toegang tot content van lezers, gebruikers en groepen
De standaard contentrol die aan elke nieuwe gebruiker, lezer of groep wordt toegewezen, is gebaseerd op wat is geconfigureerd tijdens de SCIM-provisioning. Rechten worden standaard op Geen gezet, maar kunnen op elk moment worden bijgewerkt.
- Selecteer de gewenste lezer en klik op Toegang tot inhoud beheren.
- Kies het gewenste toegangsniveau uit het dropdown en klik op Updaten.
Best practices
- Controleer of de Client ID overeenkomt met de Relying Party Identifier. De Client ID die in Document360 wordt ingevoerd, moet exact overeenkomen met de Relying Party Identifier die in ADFS is geconfigureerd. Een mismatch veroorzaakt authenticatiefouten.
- Gebruik het juiste uitgaande claimtype voor e-mail. Voor OpenID Connect ADFS is het uitgaande claimtype voor e-mail e-mail, niet e-mailadressen zoals gebruikt in de SAML-configuratie. Het gebruik van het verkeerde claimtype veroorzaakt gebruikersidentiteitsfouten.
- Gebruik een tool van derden voor SCIM. ADFS ondersteunt niet native SCIM-provisioning. Plan je gebruikersprovisioning-aanpak voordat je SCIM inschakelt in Document360.
- Roteer clientgeheimen voordat ze verlopen. Het clientgeheim dat in ADFS is geconfigureerd heeft een vervaldatum. Wanneer het verloopt, faalt de SSO-authenticatie. Houd de vervaldatum in de gaten en roteer geheimen van tevoren.
FAQ
Waarom wordt SCIM niet native ondersteund in ADFS?
ADFS is een on-premises federatiedienst die is gebouwd op SAML- en WS-Federatieprotocollen. Het bevat geen ingebouwd SCIM-eindpunt. Om SCIM met ADFS in Document360 te gebruiken, heb je een provisioningtool van derden nodig of een aangepaste integratie die ADFS verbindt met het SCIM-protocol.
Wat gebeurt er met het profiel van een gebruiker in Document360 als ik ze verwijder in ADFS?
Het verwijderen van een gebruikersprofiel in je IdP verwijdert het niet uit Document360. Het profiel blijft in Document360 met een Inactieve status.
Hoe verschilt de ADFS OpenID claimregelmapping van de SAML claimregelmapping?
De claimregelmapping voor OpenID Connect ADFS gebruikt e-mail als uitgaande claimtype voor e-mailadressen, terwijl de SAML-configuratie e-mailadressen gebruikt. Zorg ervoor dat je het juiste claimtype gebruikt voor het protocol dat je instelt.