Microsoft Entra ID is Microsofts cloudgebaseerde identiteits- en toegangsbeheerdienst, voorheen bekend als Azure Active Directory. Met SAML SSO geconfigureerd tussen Microsoft Entra en Document360 kunnen je gebruikers en lezers inloggen op Document360 met hun bestaande Microsoft-inloggegevens, zonder dat je een apart wachtwoord nodig hebt.
Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.
Wat je kunt doen met Microsoft Entra als je IdP
| Capaciteit | Ondersteund |
|---|---|
| Gebruikers- (portaal) authenticatie | Ja |
| Lezer (kennisbanksite) authenticatie | Ja |
| IdP-geïnitieerde aanmelding | Ja |
| SCIM-gebruikersprovisioning | Ja |
| SCIM-lezerprovisioning | Ja |
| SCIM groepssynchronisatie | Ja |
| SSO-configuratie-overerving (ouder-kindprojecten) | Ja |
Voordat je begint
- Je hebt een actief Microsoft Azure-account met beheerdersrecht. Inloggen op entra.microsoft.com.
- Je hebt eigenaar - of beheerdersrechten in je Document360-project.
- Open Document360 en Microsoft Entra in twee aparte browsertabbladen. Je zult tijdens de installatie meerdere keren tussen deze moeten wisselen.
Stap 1: Maak een SAML-applicatie aan in Microsoft Entra
Log in op Microsoft Entra
- Log in op je Microsoft Azure-account op entra.microsoft.com.
- Je wordt doorverwezen naar de Microsoft Entra beheercentrumpagina .
Maak de applicatie aan
- Selecteer in het Microsoft Entra beheercentrum de Entra ID in de linker navigatiebalk en klik op Enterprise-apps.
- Klik op de pagina Enterprise-applicaties op Nieuwe applicatie > Maak je eigen applicatie.
- Voer een naam van je applicatie in het veld Invoernaam in en klik op Aanmaken.
Bij het aanmaken van de applicatie kies je voor ' Maak je eigen applicatie aan' en kies je voor 'Integreer elke andere applicatie die je niet vindt' in de galerie-radioknop. Selecteer geen Galerij-app of zoek niet naar Document360 in de Entra Galerij. Galerijapplicaties ondersteunen geen aangepaste SCIM-provisioning. Als een Gallery-app al is geconfigureerd, moet je een nieuwe Non-Gallery-applicatie aanmaken en je SSO-setup opnieuw configureren.
Stap 2: Configureer SAML in Entra met behulp van Document360-parameters
Haal de parameters van de Service Provider op van Document360
- Open Document360 in een apart tabblad.
- Navigeer naar Instellingen > Gebruikers & Rechten > SSO-configuratie.
- Klik op Create SSO.
- Selecteer Entra ID als je Identity Provider (IdP) om automatisch naar de pagina 'Configureer the Service Provider, SP) te navigeren.
- De pagina Configureer the Service Provider (SP) toont de vereiste parameters om je SAML-integratie in de Identity Provider te configureren.
Configureer SAML in Entra
- Ga naar Microsoft Entra, en open op de pagina 'aangemaakt applicaties' het tabblad Single sign-on en selecteer de SAML-methode .
- Klik op Bewerken in de sectie Basis SAML-configuratie en voer de parameters in uit Document360 zoals hieronder weergegeven.
| Entra | Document360 |
|---|---|
| Antwoord-URL (Assertion Consumer Service URL) | Callback-pad |
| Aanmeld-URL | Callback-pad |
| Identificatie (Entiteits-ID) | Entiteits-ID van dienstverlener |
- Klik op Opslaan.
Stap 3: Voltooi de SSO-configuratie in Document360
Configureer de identiteitsprovider in Document360
- Ga terug naar Document360 en klik op Volgende om naar de pagina Configureer de Identiteitsprovider (IdP) te gaan.
- Als je al een bestaande SSO-configuratie hebt, kun je deze selecteren in het dropdown 'Configureer een bestaande verbinding ' om de instellingen te erven. Dit voorkomt redundante opstelling en bespaart tijd.
Voor meer informatie over overerving, zie Gebruikers en lezers beheren met SCIM in Entra.
- Vul de vereiste velden in met behulp van de parameters die te vinden zijn in het Set up Document360 SCIM SSO gedeelte van de Entra-pagina, zoals hieronder weergegeven.
| Entra | Document360 |
|---|---|
| Login-URL | Aanmeld-URL |
| Microsoft Entra Identifier | Entiteits-ID |
| SAML-certificaat | Certificaat (Base64) |
- Download het certificaat (Base64) in de sectie SAML-certificaten en voeg het toe aan het SAML-certificaatveld in Document360.
- Zet de optie 'Allow IdP'-initiatief aanmelden aan of uit afhankelijk van je projecteisen. Lees meer over IdP-geïnitieerde aanmeldingen.
- Klik op Volgende om door te gaan naar de SCIM-provisioningpagina .
Stap 4: Configureer SCIM-provisioning
SCIM-provisioning automatiseert het beheer van de levenscyclus van gebruikers en lezers tussen Microsoft Entra en Document360. Wanneer ingeschakeld, worden gebruikers die in Entra zijn toegevoegd, bijgewerkt of gedeactiveerd automatisch gesynchroniseerd met Document360.
Als je geen SCIM-provisioning nodig hebt, klik dan op Volgende en volg de stappen uit Stap 5: Meer instellingen.
Schakel SCIM in in Document360 in
- Zet op de SCIM-provisioningpagina in Document360 de schakelaar SCIM inschakelen .
- Er verschijnt een bevestigingsdialoog. Lees de voorwaarden en klik op Akkoord. Vervolgens wordt een set parameters weergegeven.
De primaire en secundaire geheime tokens worden eenmaal gegenereerd en alleen getoond op het moment van aanmaken. Zorg ervoor dat je ze kopieert en op een veilige plek opslaat voordat je de configuratie opslaat. Zodra de SSO-configuratie is opgeslagen, verschijnen de tokens gemaskeerd en kunnen ze niet worden teruggevonden. Het opnieuw genereren van een token maakt de bestaande ongeldig en vereist dat je de nieuwe token in je Entra-configuratie bijwerkt om gebruikerssynchronisatie te voorkomen.
Configureer SCIM-provisioning in Entra
- Ga naar Entra, selecteer het tabblad Provisioning in het linkermenu en kies vervolgens Nieuwe configuratie in het bovenste menu.
- De pagina Nieuwe provisioningconfiguratie wordt weergegeven. Vul de velden in het gedeelte Beheerdersreferenties in met de parameters uit Document360 zoals hieronder weergegeven.
| Entra | Document360 |
|---|---|
| Tenant-URL | SCIM Base URL |
| Geheime token | Primaire geheime token |
Klik op dit punt niet op 'Verbinding testen ' of 'Aanmaken '. De SSO-configuratie in Document360 moet eerst worden voltooid voordat de SCIM-provisioningverbinding succesvol kan worden opgezet.
Stel standaardrollen en groepen in in Document360
- Ga terug naar Document360 en zet de schakelaar groepssynchronisatie inschakelen . Wanneer ingeschakeld, worden gebruikers en lezersgroepen automatisch toegewezen op basis van IdP-groepsmapping.
- In het veld Standaardrol staat de rol standaard op Bijdrager . Je kunt dit wijzigen via het dropdownmenu indien nodig.
De standaardrol geldt alleen voor gebruikers . Het heeft geen invloed op gebruikers die als Lezers zijn geprovisioneerd via userType = "reader" of de legacy isTeamAccount = False attribuutmapping. Beoordelaars die via userType = "reviewer" provisioned zijn, worden niet door deze standaard beïnvloed. Voor informatie over attributenmapping, zie Gebruikers en lezers beheren met SCIM in Entra.
- Selecteer in de velden Gebruikersgroepen en Lezergroepen de groepen die je wilt toevoegen. Meerdere groepen kunnen worden toegevoegd, en ze erven de standaardrol die je eerder hebt gekozen.
- Klik op Volgende om naar de pagina Meer-instellingen te gaan.
Voor volledige details over het beheren van gebruikers, lezers en groepen via SCIM, inclusief attributenmapping, provisioning workflows en deprovisioning, zie Gebruikers en lezers beheren met SCIM in Entra.
Stap 5: Meer instellingen
Configureer SSO-naam en inlogopties
- Voer in het veld voor de SSO-naam een naam in voor de SSO-configuratie.
- Voer in de knop 'Inlogen aanpas' de tekst in voor de inlogknop die aan gebruikers wordt weergegeven.
- Auto assign reader group - deze optie is alleen beschikbaar voor bestaande SSO-configuraties. Voor nieuw aangemaakte SSO-configuraties wordt deze schakelaar niet weergegeven omdat SCIM automatisch gebruikers en groepen provisioneert. Lees meer over de Auto assign reader-groep.
- Schakel de uitloggende SSO-gebruiker in indien nodig en stel de duurder inactiviteit in.
- Kies of je bestaande gebruikers- en lezersaccounts uitnodigt bij SSO.
- Klik op Aanmaken om de SSO-configuratie te voltooien.
De SSO-configuratie in Document360 wordt succesvol aangemaakt.
Stap 6: Voltooi de SCIM-provisioning in Entra
Test en sla de SCIM-verbinding op
- Ga terug naar Entra, waar de pagina Nieuwe provisioning configuratie wordt weergegeven.
- Zodra alle vereiste velden zijn ingevuld, klik je op Testverbinding om de configuratie te verifiëren.
- Er verschijnt een bevestigingsbericht zodra de SCIM-provisioningverbinding tussen Entra en Document360 succesvol is.
- Klik op Aanmaken om de configuratie te voltooien.
De SCIM-provisioning tussen Entra en Document360 is met succes gecreëerd.
Voor meer details over hoe je gebruikers, lezers en groepen in Entra beheert, zie Gebruikers en lezers beheren met SCIM in Entra.
Best practices
- Maak een niet-galerij applicatie aan. Gebruik altijd de optie 'Integreer elke andere applicatie die je niet vindt in de galerij '-optie bij het maken van je Entra-applicatie. Galerij-apps ondersteunen geen aangepaste SCIM-provisioning.
- Bewaar beide geheime tokens veilig. Behandel de primaire en secundaire SCIM-tokens als wachtwoorden. Sla ze op in een secrets manager of wachtwoordkluis, niet in platte tekstbestanden of coderepositories.
- Test de SCIM-verbinding niet voordat je de Document360-configuratie hebt opgeslagen. De test faalt op dat moment. Voltooi en sla altijd eerst de Document360 SSO-configuratie op, en ga daarna terug naar Entra om te testen.
- Stel attributenmapping in op gebruikersniveau, niet op groepsniveau. Stel bij het configureren van het
userTypeor-attribuutisTeamAccountaltijd op gebruikersniveau in om conflicten te voorkomen voor gebruikers die tot meerdere groepen behoren. - Stem de idle time-out af op je beveiligingsbeleid. Schakel de uitloggende SSO-gebruiker in en stel de duur in die aansluit bij de sessiebeheervereisten van uw organisatie.
FAQ
Waarom moet ik een niet-galerij applicatie gebruiken in plaats van te zoeken naar Document360 in de Entra Galerij?
Galerijapplicaties in Entra ondersteunen geen aangepaste SCIM-provisioning. Om SCIM tussen Entra en Document360 in te schakelen, moet je een niet-galerijapplicatie aanmaken door te kiezen op ' Maak je eigen applicatie' en te kiezen voor 'Integreer elke andere applicatie die je niet in de galerij vindt'. Als een Gallery-app al is geconfigureerd, moet je een nieuwe Non-Gallery-applicatie aanmaken en je SSO-setup opnieuw configureren.
Wat gebeurt er met bestaande Document360-gebruikers wanneer ik SSO configureer?
Bestaande gebruikers worden niet automatisch omgezet. Tijdens de stap Meer instellingen kun je ervoor kiezen bestaande gebruikers- en lezersaccounts uit te nodigen voor SSO. Gebruikers die zijn geconverteerd behouden al hun bestaande rollen en rechten.