Active Directory Federation Services (ADFS) is Microsofts on-premises identiteitsprovider die gefedereerde identiteit en single sign-on over applicaties heen mogelijk maakt. Met SAML SSO geconfigureerd tussen ADFS en Document360 kunnen je teamleden en lezers inloggen bij Document360 met hun bestaande Active Directory-inloggegevens.
Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.
Wat je kunt doen met ADFS als je IdP
| Capaciteit | Ondersteund |
|---|---|
| Teamlid- (portaal) authenticatie | Ja |
| Lezer (kennisbanksite) authenticatie | Ja |
| IdP-geïnitieerde aanmelding | Ja |
| SCIM-provisioning | Ja (alleen via tools van derden of aangepaste integraties) |
| SSO-configuratie-overerving (ouder-kindprojecten) | Ja |
ADFS ondersteunt niet native SCIM-provisioning. SCIM kan alleen worden ingeschakeld met tools van derden of op maat gemaakte integraties.
Voordat je begint
- Je hebt administratieve toegang tot zowel Document360 als je ADFS-server.
- Je hebt eigenaar - of beheerdersrechten in je Document360-project.
- Open Document360 en ADFS in twee aparte browsertabbladen. Je zult tijdens de installatie meerdere keren tussen deze moeten wisselen.
Stap 1: Creëer een trusttrust voor de afhankelijke partij in ADFS
Voeg de applicatie toe in ADFS
- Log in op de ADFS Management console op je ADFS-server.
- Navigeer in de ADFS Managementconsole naar Relying Party Trusts.
- Klik met de rechtermuisknop op Relying Party Trusts en selecteer Voeg Relying Party Trust toe.
- In de Wizard Toewijding van Afhankelijke Partij Toevoegen kies je Claims aware en klik je op Start.
- Selecteer Voer handmatig gegevens in over de betrouwende partij en klik op Volgende.
- Geef een weergavenaam (bijvoorbeeld "Document360 SAML SSO") en klik op Volgende.
- Klik in de stap Certificaat Configureren op Volgende (je kunt dit overslaan als je geen certificaat gebruikt).
- Selecteer onder URL configureren ondersteuning inschakelen voor het SAML 2.0 Web SSO-protocol.
Stap 2: Configureer ADFS met parameters van de Document360 Service Provider
Haal de SP-parameters van Document360
- Open Document360 in een apart tabblad.
- Navigeer naar Instellingen () > Gebruikers & permissies > SSO-configuratie.
- Klik op Create SSO.
- Selecteer ADFS als je Identity Provider (IdP) om automatisch naar de pagina Configureer the Service Provider (SP) te navigeren.
- Op de pagina Configureer de Service Provider (SP) selecteer je de SAML-radioknop als protocol.
- Een set parameters wordt weergegeven om de SAML-configuratie in ADFS te voltooien.
Voer de Document360-parameters in ADFS in
Voer de Document360-parameters in in de bijbehorende velden in de stappen 'URL en Identifiers configureren ' in ADFS met behulp van de onderstaande mapping.
| ADFS | Document360 |
|---|---|
| Relying Party Identifier | Entiteits-ID van dienstverlener |
| Aanmeld-URL | Callback-pad |
| Uitlog-URL | Uitgelogde callback-route |
| Vertrouwen op partijvertrouwensidentificatie | Subdomeinnaam |
| Metadata-URL | Metadatapad |
- Klik op Volgend en voltooi de resterende stappen in de wizard, zoals het instellen van multi-factor authenticatie indien nodig, en het toestaan van toegang tot de applicatie voor alle gebruikers.
- Bekijk je instellingen en klik op Volgend om het vertrouwensvertrouwen van de afhankelijke partij toe te voegen.
- Vink op het laatste scherm het vakje ' Open' de dialoogkaart 'Claim Bewerken ' aan en klik op Sluiten.
Stap 3: Configureer claimregels in ADFS
Claimregels toevoegen
- Klik in het dialoog 'Claim Regels bewerken ' op 'Regel toevoegen'.
- Selecteer 'Send LDAP Attributen as Claims' als regeltemplate en klik op Volgende.
- Geef een naam aan de claimregel (bijvoorbeeld "Send LDAP Attributes").
- Configureer het volgende:
- Attribuutopslag: Selecteer Active Directory.
- Mapping:
- LDAP-attribuut: User-Principal-Name | Uitgaande claimtype: Naam-ID
- LDAP-attribuut: E-mailadressen | Uitgaande claimtype: E-mailadressen
- LDAP-attribuut: Display-Name | Uitgaande claimtype: Naam
- Klik op Afmaken om de regel toe te voegen.
- Klik op Toepassen om je wijzigingen op te slaan en sluit het dialoogvenster.
Stap 4: Voltooi de SSO-configuratie in Document360
Configureer de identiteitsprovider in Document360
- Ga terug naar het tabblad Document360 waarop de pagina 'Configureer the Service Provider (SP' wordt weergegeven en klik op Volgende om naar de pagina 'Configureer the Identity Provider' (IdP) te gaan.
- Het veld 'Configure an existing connection' stelt je in staat een SSO-configuratie te erven die SCIM al heeft ingeschakeld van een hoofdproject. Door deze optie te kiezen, wordt de huidige SSO-configuratie het kind en erft automatisch de SCIM-instellingen van het hoofdproject.
- Voer de bijbehorende waarden in uit je ADFS-configuratie met behulp van de onderstaande mapping.
| ADFS | Document360 |
|---|---|
| SAML Sign-On URL | Identiteitsprovider Single Sign-On URL |
| Identificatie (Entiteits-ID) | Identiteitsaanbieder Uitgever |
| X.509 Certificaat | SAML-certificaat |
- Download het X.509-certificaat van ADFS en upload het naar het SAML-certificaatveld in Document360.
Bij het exporteren van het X.509-certificaat uit ADFS, selecteer Base-64 gecodeerd (. CER)- formaat. Het standaard DER-gecodeerde formaat wordt niet ondersteund voor de Document360 SAML-configuratie.
- Zet de optie 'Allow IdP' initieerde aanmelding aan of uit op basis van je projectbehoeften.
- Klik op Volgende om door te gaan naar de SCIM-provisioningpagina .
Stap 5: Configureer SCIM-provisioning
SCIM-provisioning stelt je in staat om het beheer van de levenscyclus van gebruikers en lezers tussen ADFS en Document360 te automatiseren. Omdat ADFS SCIM niet native ondersteunt, vereist dit een tool van derden of een op maat gemaakte integratie.
Als je geen SCIM-provisioning nodig hebt, sla dan over naar Stap 6: Meer instellingen.
Schakel SCIM in in Document360 in
- Zet de schakelaar SCIM inschakelen aan .
- Er verschijnt een bevestigingsdialoog. Bekijk de voorwaarden, vink het vakje aan en klik op Akkoord.
- De parameters die nodig zijn om de SCIM-configuratie te voltooien, worden vervolgens weergegeven.
SCIM-provisioning in ADFS kan alleen worden ingeschakeld met tools van derden of met op maat gemaakte integraties. ADFS ondersteunt niet native SCIM-provisioning.
- Voer de benodigde parameters van Document360 in de bijbehorende velden in je aangepaste app.
Wijs standaardrollen en groepen toe in Document360
- In het veld Standaardrol staat de rol standaard op Bijdrager . Je kunt dit wijzigen via het dropdownmenu indien nodig.
- Selecteer in de velden Gebruikersgroepen en Lezergroepen de groepen die je wilt toevoegen. Meerdere groepen kunnen worden toegevoegd, en ze erven de standaardrol die je eerder hebt gekozen.
- Klik op Volgende om naar de pagina Meer-instellingen te gaan.
Stap 6: Meer instellingen
Configureer SSO-naam en inlogopties
- Voer in het veld voor de SSO-naam een naam in voor de SSO-configuratie.
- Voer in de knop 'Inlogen aanpas' de tekst in voor de inlogknop die aan gebruikers wordt weergegeven.
- Automatisch toewijzen van lezergroep — deze optie is alleen beschikbaar voor bestaande SSO-configuraties. Voor nieuw aangemaakte SSO-configuraties wordt deze schakelaar niet weergegeven omdat SCIM automatisch gebruikers en groepen provisioneert. Lees meer over de Auto assign reader-groep.
- Schakel de uitloggende SSO-gebruiker in indien nodig, en zet hem aan op basis van je vereisten.
- Klik op Aanmaken om de SAML SSO-configuratie te voltooien.
Gebruikers beheren in ADFS
Om lezers te bekijken die via uw ADFS-integratie zijn toegevoegd:
- Ga in Document360 naar Instellingen () > Gebruikers & machtigingen > Lezers & groepen.
- Selecteer de lezer om naar hun lezerprofiel te navigeren.
Lezers die via SCIM zijn ingesteld, tonen een SSO-SCIM-badge naast hun naam.
Wanneer SCIM is ingeschakeld, wordt het bewerken van de naam van een gebruiker of het direct verwijderen van een gebruiker in Document360 uitgeschakeld, omdat deze acties via je IdP moeten worden beheerd om beide platforms synchroon te houden. Je kunt alleen contenttoegang beheren vanuit Document360. Het verwijderen van een profiel in je IdP verwijdert het niet uit Document360 — het profiel blijft met een Inactieve status.
Beheer de toegang tot content van lezers, gebruikers en groepen
De standaard contentrol die aan elke nieuwe gebruiker, lezer of groep wordt toegewezen, is gebaseerd op wat is geconfigureerd tijdens de SCIM-provisioning. Rechten worden standaard op Geen gezet, maar kunnen op elk moment worden bijgewerkt.
- Selecteer de gewenste lezer en klik op Toegang tot inhoud beheren.
- Kies het gewenste toegangsniveau uit het dropdown en klik op Updaten.
Je kunt ook groepen beheren voor een lezer door onder de sectie Lezersgroep op Groepen beheren te klikken.
Best practices
- Exporteer het certificaat in Base-64 gecodeerd (. CER)-formaat. Het standaard DER-gecodeerde formaat van ADFS wordt niet ondersteund door Document360. Selecteer altijd Base-64-codering bij het exporteren van het X.509-certificaat.
- Gebruik een tool van derden voor SCIM. ADFS ondersteunt niet native SCIM-provisioning. Plan je gebruikersprovisioning-aanpak voordat je SCIM inschakelt in Document360.
- Configureer de claimregels zorgvuldig. Zorg ervoor dat alle drie de LDAP-attributentoewijzingen (Naam-ID, E-mailadressen en Naam) correct zijn geconfigureerd. Ontbrekende of onjuiste claims zullen authenticatiefouten veroorzaken.
- Test eerst met één gebruiker. Voordat je SSO naar alle gebruikers uitrolt, test je de configuratie met één gebruiker om te verifiëren dat claim-regels, certificaten en URL's allemaal correct werken.
FAQ
Waarom wordt SCIM niet native ondersteund in ADFS?
ADFS is een on-premises federatiedienst die is gebouwd op SAML- en WS-Federatieprotocollen. Het bevat geen ingebouwd SCIM-eindpunt. Om SCIM met ADFS in Document360 te gebruiken, heb je een provisioningtool van derden nodig of een aangepaste integratie die ADFS verbindt met het SCIM-protocol.
Welk certificaatformaat vereist Document360 voor ADFS?
Document360 vereist het X.509-certificaat in Base-64 gecodeerd (. CER)- formaat. Wanneer je exporteert vanuit ADFS, zorg ervoor dat je dit formaat selecteert. Het standaard DER-gecodeerde formaat wordt niet ondersteund.
Wat gebeurt er met het profiel van een gebruiker in Document360 als ik ze verwijder in ADFS?
Het verwijderen van een gebruikersprofiel in je IdP verwijdert het niet uit Document360. Het profiel blijft in Document360 met een Inactieve status.