Google Workspace is een identiteitsprovider (IdP) waarmee gebruikers met hun Google-inloggegevens bij meerdere applicaties kunnen inloggen. Met SAML SSO geconfigureerd tussen Google Workspace en Document360, kunnen je teamleden en lezers Document360 openen zonder een apart wachtwoord nodig te hebben.
Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.
Wat je kunt doen met Google Workspace als je IdP
| Capaciteit | Ondersteund |
|---|---|
| Gebruikers- (portaal) authenticatie | Ja |
| Lezer (kennisbanksite) authenticatie | Ja |
| IdP-geïnitieerde aanmelding | Ja |
| SCIM-provisioning | Nee |
| SSO-configuratie-overerving (ouder-kindprojecten) | Ja (alleen SSO-instellingen, niet SCIM) |
SCIM-provisioning wordt niet ondersteund wanneer Google Workspace is geconfigureerd als je Identity Provider. Gebruikers- en lezerbeheer moet handmatig worden uitgevoerd in Document360.
Voordat je begint
- Je hebt een actief Google Workspace-account met beheerderstoegang. Als je er een moet aanmaken, meld je dan aan op workspace.google.com.
- Je hebt eigenaar - of beheerdersrechten in je Document360-project.
- Open Document360 en Google Workspace in twee aparte browsertabbladen. Je zult tijdens de installatie meerdere keren tussen deze moeten wisselen.
Stap 1: Maak een aangepaste SAML-app aan in Google Workspace
Voeg een aangepaste SAML-app toe
- Klik op de startpagina van de Google Workspace beheerdersconsole op Apps en selecteer SAML-apps.
- Klik op App toevoegen en kies in het dropdown op Aangepaste SAML-app toevoegen.
- Voer in de app-details een naam in voor je app en klik op Doorgaan.
Noteer de IdP-gegevens en download het certificaat
- Op de volgende pagina vindt u de SSO-URL, Entiteits-ID en het certificaat. Noteer deze details — je hebt ze nodig bij het configureren van de Identity Provider in Document360.
- Klik in het gedeelte Certificaat op het downloadicoon om het certificaat in
.pemformaat op te slaan in je lokale opslag. Je zult dit certificaat later uploaden in Document360.
Schakel de app in voor gebruikers
- Bij gebruikerstoegang staat de Servicestatus standaard voor iedereen UIT .
- Zet het op AAN zodat iedereen gebruikers kan authenticeren via deze app.
Na het voltooien van de Google-zijde configuratie zal je SAML-app er als volgt uitzien.
Stap 2: Configureer SAML in Google Workspace met behulp van Document360-parameters
Haal de parameters van de Service Provider op van Document360
- Navigeer in Document360 naar Instellingen () > Gebruikers & machtigingen > SSO-configuratie.
- Klik op Create SSO.
- Selecteer op de pagina Kies je identiteitsprovider (IdP) Google als identiteitsprovider.
- Vanaf de pagina 'Configureer de Service Provider (SP) kopieert u de volgende parameters.
Voer de Document360-parameters in in Google Workspace
- Schakel over naar het tabblad Google Workspace en plak de Document360-parameters in de Google aangepaste SAML-app met behulp van de onderstaande mapping.
| Google aangepaste SAML-app | Document360 |
|---|---|
| ACS URL | Callback-pad |
| Entiteits-ID | Entiteits-ID van dienstverlener |
- Selecteer in Name ID-formaat EMAIL uit het keuzemenu.
- Selecteer in Naam-ID Basisinformatie > Primaire e-mail.
- Klik op Doorgaan.
Voeg attributentoewijzingen toe in Google Workspace
- Voeg gebruikersvelden toe en selecteer deze in Google Directory, en koppel ze vervolgens aan de attributen van dienstverleners met behulp van de onderstaande tabel.
| Google Directory-attributen | App-attributen |
|---|---|
| Primaire e-mail | Naam |
| Primaire e-mail | |
| Primaire e-mail | urn:oasis:names:tc:SAML:2.0:nameid |
- Klik elke keer dat je een attribuut toevoegt op Mapping toevoegen .
- Als je klaar bent, klik dan op Afronden.
Stap 3: Voltooi de SSO-configuratie in Document360
Configureer de identiteitsprovider in Document360
- Schakel terug naar Document360 op de pagina Configureer de Service Provider (SP) en klik op Volgende om naar de pagina Configureren de Identity Provider (IdP) te gaan.
- Het veld 'Configure an existing connection' stelt je in staat een reeds aangemaakt SSO-configuratie te erven. Door deze optie te selecteren, wordt de huidige SSO-configuratie als kind ingesteld en kunnen er geen wijzigingen aan worden gedaan. Om meer te weten te komen over Inheritance.
Zodra de SSO-configuratie is aangemaakt met een geërfde verbinding, worden de instellingen geërfd van de ouderapplicatie en kunnen ze niet worden aangepast in de kindapplicatie. SCIM-instellingen kunnen niet worden overgenomen wanneer Google de IdP is, zelfs niet als de ouderconfiguratie SCIM heeft ingeschakeld.
- Voeg op de pagina 'Configureer de identiteitsprovider (IdP') de informatie toe die je hebt genoteerd op de Google aangepaste SAML-apppagina met behulp van de onderstaande mapping.
| Document360 | Google aangepaste SAML-app |
|---|---|
| Aanmeld-URL | SSO URL |
| Entiteits-ID | Entiteits-ID |
| SAML-certificaat | Certificaat (upload het .pem-bestand dat van Google is gedownload) |
- Zet de schakelaar 'Allow IdP' die inlogen aan of uit op basis van je projectvereisten.
- Klik op Volgend om naar de SCIM-provisioningpagina te gaan.
SCIM-provisioningpagina
SCIM-provisioning wordt niet ondersteund wanneer Google is geconfigureerd als jouw Identity Provider (IdP) in Document360.
Deze beperking geldt in twee scenario's:
- Bij het instellen van een nieuwe Google IdP-configuratie.
- Wanneer je een bestaande SSO-configuratie hebt geërfd die Google als IdP gebruikt.
Klik op Volgende om naar Meer instellingen te navigeren.
Stap 4: Meer instellingen
Configureer SSO-naam en inlogopties
- Voer in het veld voor de SSO-naam een naam in voor de SSO-configuratie.
- Voer in de knop 'Inlog' aanpassen de tekst in die je wilt laten zien op de inlogknop die aan gebruikers wordt getoond.
- Automatisch toewijzen van lezergroep — deze optie is alleen beschikbaar voor bestaande SSO-configuraties. Voor nieuw aangemaakte SSO-configuraties wordt deze schakelaar niet weergegeven omdat SCIM automatisch gebruikers en groepen provisioneert. Lees meer over de Auto assign reader-groep.
- Kies of je alle gebruikers of geselecteerde gebruikers uitnodigt met de knoppen bestaande gebruikers en lezers omzetten naar SSO-radioknoppen .
- Klik op Aanmaken om de SSO-configuratie te voltooien.
De SSO-configuratie gebaseerd op het SAML-protocol is succesvol geconfigureerd met Google Workspace.
Erven van een andere applicatie
Bij het aanmaken van een nieuwe SSO-configuratie in Document360 kun je instellingen erven van een bestaande SSO-verbinding. Dit vereenvoudigt het installatieproces, voorkomt herhaling van configuratiestappen en helpt beheerders tijd te besparen terwijl consistentie tussen de integraties wordt gewaarborgd.
Selecteer op de pagina Configure Identity Provider (IdP) het veld 'Configure an existing connection' en kies de ouderapplicatie van SSO SCIM waarvan je wilt erven. Door deze optie te selecteren, wordt het huidige project aangewezen als het kindproject, waarbij alle relevante eigenschappen van de ouder worden geërfd.
Zodra de SSO-configuratie is aangemaakt, worden de instellingen overgenomen van de ouderapplicatie en kunnen ze niet meer worden aangepast in de kindapplicatie.
Omdat SCIM-provisioning Google IdP-configuraties niet ondersteunt, kunnen SCIM-instellingen van het hoofdproject niet worden overgenomen.
Terwijl andere SSO-configuratie-instellingen van het hoofdproject worden geërfd, kunnen SCIM-instellingen alleen niet worden overgenomen.
Gebruikers beheren in Google IdP
Omdat SCIM niet wordt ondersteund voor Google IdP, moeten gebruikers en lezers handmatig worden beheerd in Document360.
Om lezers te bekijken die via je Google SAML-app zijn toegevoegd:
- Ga in Document360 naar Instellingen > Gebruikers & Rechten > Lezers & Groepen.
- Selecteer een lezer om naar hun lezersprofiel te navigeren.
Lezers die via SCIM zijn ingesteld, tonen een SSO-SCIM-badge naast hun naam.
Wanneer SCIM is ingeschakeld, wordt het bewerken van de naam van een gebruiker of het direct verwijderen van een gebruiker in Document360 uitgeschakeld, omdat deze acties via je IdP moeten worden beheerd om beide platforms synchroon te houden. Je kunt alleen contenttoegang beheren vanuit Document360.
Beheer de toegang tot content van lezers, gebruikers en groepen
De standaard contentrol die aan elke nieuwe gebruiker, lezer of groep wordt toegewezen, is gebaseerd op wat is geconfigureerd tijdens de SCIM-provisioning. Rechten worden standaard op Geen gezet, maar kunnen op elk moment worden bijgewerkt.
- Selecteer de gewenste lezer en klik op Toegang tot inhoud beheren.
- Kies het gewenste toegangsniveau uit het dropdown en klik op Updaten.
Je kunt ook groepen beheren voor een lezer door onder de sectie Lezersgroep op Groepen beheren te klikken.
Best practices
- Schakel de app in voor alle gebruikers voordat je SSO test. De status van de Google SAML-app-service staat standaard voor iedereen uit. Verander het voor iedereen op AAN voordat je gebruikers uitnodigt om in te loggen met SSO.
- Bewaar het .pem-certificaat veilig. Download en sla het Google-certificaat op voordat je de configuratie in Document360 voltooit. Je wordt niet gevraagd om het opnieuw te downloaden.
- Gebruik handmatig gebruikersbeheer voor Google IdP. Omdat SCIM niet wordt ondersteund, plan dan hoe je gebruikers toevoegt, bijwerkt en verwijdert in Document360 wanneer je Google als je IdP gebruikt.
- Overweeg Okta of Entra als je SCIM-provisioning nodig hebt. Als geautomatiseerd gebruikerslevenscyclusbeheer een vereiste is, configureer dan SSO met Okta of Microsoft Entra als je identiteitsprovider.
FAQ
Waarom wordt SCIM-provisioning niet ondersteund voor Google IdP?
De SCIM-provisioning van Document360 vereist specifieke provisioningmogelijkheden die Google Workspace niet op dezelfde manier ondersteunt als Okta of Microsoft Entra. Als je geautomatiseerde gebruikersprovisioning nodig hebt, overweeg dan SSO te configureren met Okta of Microsoft Entra als je identiteitsprovider.
Kan ik SCIM-instellingen van een hoofdproject erven wanneer ik Google als mijn IdP gebruik?
Nee. Hoewel andere SSO-configuratie-instellingen van een hoofdproject kunnen worden overgenomen, kunnen SCIM-instellingen niet worden overgenomen wanneer Google als identiteitsprovider is geconfigureerd. Dit geldt zowel voor nieuwe configuraties als voor geërfde configuraties waarbij de moeder Google als IdP gebruikt.
Wat gebeurt er met bestaande Document360-gebruikers wanneer ik Google SSO configureer?
Bestaande gebruikers worden niet automatisch omgezet. Tijdens de stap Meer instellingen kun je ervoor kiezen om alle bestaande gebruikers of geselecteerde gebruikers uit te nodigen om over te schakelen naar SSO-login. Gebruikers die zijn geconverteerd behouden al hun bestaande rollen en rechten.