Security Assertion Markup Language (SAML) is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen een Identity Provider (IdP) en een Service Provider (SP). In eenvoudige termen stelt SAML een gebruiker in staat om één keer in te loggen via het identiteitssysteem van hun organisatie en toegang te krijgen tot Document360 zonder dat er een aparte gebruikersnaam en wachtwoord nodig zijn.
Document360 fungeert als de Service Provider (SP). Je gekozen identiteitsplatform, zoals Okta, Microsoft Entra of Google Workspace, fungeert als de identiteitsprovider (IdP). Wanneer een gebruiker inlogt, verifieert de IdP zijn identiteit en stuurt een digitaal ondertekende aanwerving naar Document360, die toegang verleent.
Waarom gebruik van SAML SSO
- Gecentraliseerde toegangscontrole. Beheer wie toegang heeft tot Document360 vanaf je bestaande identiteitsplatform zonder aparte accounts aan te maken.
- Verbeterde beveiliging. Authenticatie gebeurt via je IdP, die MFA, conditionele toegangsregels en sessiecontroles kan afdwingen.
- Betere gebruikerservaring. Gebruikers loggen eenmaal in via het portaal van hun organisatie en krijgen direct toegang tot Document360, zonder extra inlogs.
- Vereenvoudigde offboarding. Het deactiveren van een gebruiker in je IdP voorkomt direct toegang tot Document360.
Hoe de configuratie van SAML SSO werkt in Document360
Het configureren van SAML SSO in Document360 volgt altijd hetzelfde driestapspatroon, ongeacht welke identiteitsprovider je gebruikt:
- Maak een SAML-applicatie aan in je Identity Provider met behulp van de Service Provider (SP)-parameters uit Document360.
- Voltooi de SSO-configuratie in Document360 met behulp van de parameters van je Identity Provider, inclusief de Sign On URL, Entity ID en X.509-certificaat.
- Configureer optionele instellingen zoals SCIM-provisioning, SSO-naam, aanpassing van de inlogknop en opties voor gebruikersuitnodigingen.
Selecteer hieronder uw identiteitsprovider om de stapsgewijze opzetgids te volgen.
Ondersteunde identiteitsaanbieders
Document360 ondersteunt SAML SSO met de volgende identiteitsproviders. Selecteer uw zorgverlener om te beginnen.
Google Workspace
Configureer SAML SSO met Google Workspace. Opmerking: SCIM wordt niet ondersteund.
Stel Google → inAndere aanbieders
Configureer SAML SSO met elke SAML 2.0-compatibele Identity Provider.
Zet andere IdP-→SAML-mogelijkheden per provider
| Identiteitsverstrekker | Teamlid-authenticatie | Lezersauthenticatie | IdP-geïnitieerde aanmelding | SCIM-provisioning |
|---|---|---|---|---|
| Okta | Ja | Ja | Ja | Ja (gebruikers en lezers) |
| Microsoft Entra | Ja | Ja | Ja | Ja (gebruikers en lezers) |
| Google Workspace | Ja | Ja | Ja | Nee |
| OneLogin | Ja | Ja | Ja | Ja (alleen voor lezers) |
| ADFS | Ja | Ja | Ja | Ja (via tools van derden) |
| Andere aanbieders | Ja | Ja | Ja | Ja (als IdP SCIM ondersteunt) |
IdP-geïnitieerde aanmelding
Standaard starten gebruikers de inlogflow vanaf de Document360-inlogpagina (SP-initiatief inloggen). Wanneer IdP-geïnitieerde aanmelding is ingeschakeld, kunnen gebruikers in plaats daarvan direct inloggen vanaf het dashboard van hun identiteitsprovider en toegang krijgen tot Document360 zonder eerst de Document360-inlogpagina te bezoeken.
De volgende identiteitsproviders ondersteunen IdP-geïnitieerde aanmelding met Document360: Okta, Microsoft Entra, Google Workspace, OneLogin en ADFS.
Hoe het werkt:
- Zodra de schakelaar 'Allow IdP' geïnitieerde aanmelding is ingeschakeld, wordt een exclusieve door IdP geïnitieerde aanmeld-URL verkregen van de IdP en gedeeld met SSO-gebruikers.
- Gebruikers gebruiken deze link om in te loggen op het dashboard van hun identiteitsprovider.
- De gebruiker selecteert het geconfigureerde project en krijgt direct toegang tot Document360.
Om IdP-geïnitieerde aanmelding tijdens de eerste SSO-installatie in te schakelen, zet u de schakelaar 'Allow IdP' initiatief inloggen aan op de pagina Configure the Identity Provider (IdP).
Om het in te schakelen op een bestaande SSO-configuratie:
- Navigeer naar Instellingen () > Gebruikers & rechten > SSO-configuratie.
- Beweeg je muis over de bestaande SSO-configuratie en klik op het pictogram Bewerken () ().
- Ga naar het tabblad IdP-configuraties .
- Zet de schakelaar 'Allow IdP' geïnitieerde aanmelding aan.
- Klik op Opslaan.
Als je een foutmelding krijgt wanneer je probeert toegang te krijgen tot Document360 via je IdP-dashboard, komt dat waarschijnlijk doordat de schakelaar 'IdP' die aanmeldt initiëren niet is ingeschakeld. Volg de bovenstaande stappen om het in te schakelen.
Beheer van het SSO-certificaat
Document360 gebruikt een X.509-certificaat om SAML-asserties van uw Identity Provider te valideren. Certificaten hebben een vervaldatum. Wanneer een certificaat verloopt, zal de SSO-authenticatie voor alle gebruikers falen.
Een SAML Certificaatrotatiemelding verschijnt 15 dagen voor het verlopen van de SSO Configuratiepagina, waarmee je het bijgewerkte certificaat kunt downloaden en verlengen in je Identity Provider voordat de toegang wordt verstoord.
Lees meer over het beheren van SSO-certificaten →
Andere SAML-bronnen
SCIM-provisioning
Automatiseer het beheer van de levenscyclus van gebruikers en lezers met SCIM met Okta of Entra.
Leer over SCIM →Verwijder een SAML SSO-configuratie
Leer wat er gebeurt als je een geconfigureerde SAML SSO verwijdert en hoe je dit veilig doet.
Verwijder SAML SSO →FAQ
Kan ik SAML en JWT tegelijk gebruiken?
Ja. SAML en JWT kunnen naast elkaar bestaan in Document360. SAML verzorgt gebruikers- en lezerauthenticatie via een Identity Provider, terwijl JWT doorgaans door ontwikkelaars wordt gebruikt om lezers programmatisch te authenticeren via hun eigen applicatie. Beide kunnen tegelijkertijd actief zijn in hetzelfde project.
Kan ik meer dan één SAML SSO configureren in één Document360-project?
Ja. Je kunt meerdere SAML SSO-configuraties configureren in hetzelfde project, elk met een andere identiteitsprovider. Je kunt bijvoorbeeld aparte configuraties voor Okta, Microsoft Entra en Google Workspace tegelijk actief hebben.