Document360 ondersteunt SAML SSO met elke Identity Provider (IdP) die het SAML 2.0-protocol ondersteunt, zelfs als dit niet expliciet in de IdP-opties van Document360 wordt vermeld. Dit artikel leidt je bij het configureren van SSO tussen Document360 en een aangepaste of niet-vermelde Identity Provider.
Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.
Wat je kunt doen met een aangepaste IdP
| Capaciteit | Ondersteund |
|---|---|
| Gebruikers- (portaal) authenticatie | Ja |
| Lezer (kennisbanksite) authenticatie | Ja |
| IdP-geïnitieerde aanmelding | Ja |
| SCIM-provisioning | Ja (als je IdP het ondersteunt) |
| SSO-configuratie-overerving (ouder-kindprojecten) | Ja |
Voordat je begint
- Je hebt de benodigde inloggegevens en administratieve toegang tot zowel Document360 als je gekozen identiteitsprovider.
- Je hebt eigenaar - of beheerdersrechten in je Document360-project.
- Uw identiteitsprovider ondersteunt SAML 2.0.
- Open Document360 en je Identity Provider in twee aparte browsertabbladen. Je zult tijdens de installatie meerdere keren tussen deze moeten wisselen.
Stap 1: Maak een SAML-applicatie aan in je Identity Provider
Voeg een nieuwe applicatie toe aan je IdP
- Log in op de beheerdersconsole van je identiteitsprovider.
- Zoek het gedeelte waar je applicaties kunt aanmaken of beheren (vaak aangeduid als Applications, Enterprise Applications of iets dergelijks).
- Selecteer de optie om een nieuwe applicatie aan te maken.
- Configureer de basisinstellingen voor de nieuwe applicatie:
- Applicatienaam: Voer een naam in, bijvoorbeeld "Document360 SSO".
- Applicatietype: Selecteer SAML 2.0 als inlogmethode.
- Sla je applicatie-instellingen op.
Stap 2: Configureer SAML in je IdP met behulp van Document360-parameters
Haal de parameters van de Service Provider op van Document360
- Open Document360 in een apart tabblad.
- Navigeer naar Instellingen () > Gebruikers & machtigingen > SSO-configuratie.
- Klik op Create SSO.
- Selecteer Overigen als je Identity Provider (IdP) om automatisch naar de pagina Configureer the Service Provider (SP) te navigeren.
- De pagina Configureer the Service Provider (SP) toont de parameters die je nodig hebt om SAML in je Identity Provider te configureren.
Voer de Document360-parameters in je IdP in
Voer in de SAML-configuratie van je Identity Provider de Document360-parameters in met behulp van de onderstaande mapping.
| Jouw IdP | Document360 |
|---|---|
| Single Sign-On URL | Callback-pad |
| Entiteits-ID | Entiteits-ID van dienstverlener |
| Publiek URI | Entiteits-ID of Single Sign-On URL van de dienstverlener |
Configureer attributentoewijzing in je IdP
Je moet mogelijk attributenstatements configureren in je Identity Provider. Voeg de volgende attributen toe.
| Attribuutnaam | Waarde |
|---|---|
| NameID | user.email of gebruikers-ID |
| user.email | |
| Naam | user.name |
Attribuutnamen zijn hoofdlettergevoelig.
Voltooi eventuele extra configuraties in je IdP
- Geef alle aanvullende configuratiegegevens die door uw identiteitsprovider worden vereist.
- Bekijk je instellingen en sla de SAML-configuratie op.
- Klik op Volgende in Document360 om naar de pagina Configureren van de Identiteitsprovider (IdP) te navigeren.
Stap 3: Voltooi de SSO-configuratie in Document360
Configureer de identiteitsprovider in Document360
- Ga terug naar het tabblad Document360 waar de pagina 'Configureer the Identity Provider' (IdP) wordt weergegeven.
- Het veld 'Configure an existing connection' stelt je in staat een reeds aangemaakt SSO-configuratie te erven. Door deze optie te selecteren, wordt de huidige SSO-configuratie als kind ingesteld en kunnen er geen wijzigingen aan worden gedaan.
Voor meer informatie over overerving, zie Inherit from another application.
- Voer de overeenkomstige waarden in van je Identity Provider met behulp van de onderstaande mapping.
| Identiteitsverstrekker | Document360 |
|---|---|
| Single Sign-On URL | Aanmeld-URL |
| Identiteitsaanbieder Uitgever | Entiteits-ID |
| SAML-certificaat (X.509) | SAML-certificaat |
- Download het X.509-certificaat van je identiteitsprovider en upload het naar het SAML-certificaatveld in Document360.
- Zet de optie 'Allow IdP'-initiatief aanmelden aan of uit afhankelijk van je projecteisen.
- Klik op Volgende om door te gaan naar de SCIM-provisioningpagina .
Stap 4: Configureer SCIM-provisioning
SCIM-provisioning automatiseert het beheer van de levenscyclus van gebruikers en lezers tussen je Identity Provider en Document360. Dit is beschikbaar als je IdP SCIM ondersteunt.
Als je geen SCIM-provisioning nodig hebt, sla dan over naar Stap 5: Meer instellingen.
Schakel SCIM in in Document360 in
- Zet de schakelaar SCIM inschakelen aan .
- Er verschijnt een bevestigingsdialoog. Bekijk de voorwaarden, vink het vakje aan en klik op Akkoord.
- Er wordt vervolgens een set parameters weergegeven — gebruik deze om SCIM-provisioning in je IdP in te schakelen.
Wijs standaardrollen en groepen toe in Document360
- Zet groepssynchronisatie in indien nodig. Dit wijst automatisch gebruikers en lezers toe op basis van je IdP-groepsmapping.
- In het veld Standaardrol staat de rol standaard op Bijdrager . Je kunt dit wijzigen via het dropdownmenu indien nodig.
- Selecteer in de velden Gebruikersgroepen en Lezergroepen de groepen die je wilt toevoegen. Meerdere groepen kunnen worden toegevoegd, en ze erven de standaardrol die je eerder hebt gekozen.
- Klik op Volgende om naar de pagina Meer-instellingen te gaan.
Stap 5: Meer instellingen
Configureer SSO-naam en inlogopties
- Voer in het veld voor de SSO-naam een naam in voor de SSO-configuratie.
- Voer in de knop 'Inlogen aanpas' de tekst in voor de inlogknop die aan gebruikers wordt weergegeven.
- Automatisch toewijzen van lezergroep — deze optie is alleen beschikbaar voor bestaande SSO-configuraties. Voor nieuw aangemaakte SSO-configuraties wordt deze schakelaar niet weergegeven omdat SCIM automatisch gebruikers en groepen provisioneert. Lees meer over de Auto assign reader-groep.
- Schakel de uitloggende SSO-gebruiker in indien nodig, en zet hem aan op basis van je vereisten.
- Kies of je bestaande gebruikers- en lezersaccounts uitnodigt bij SSO.
- Klik op Aanmaken om de SSO-configuratie te voltooien.
De SSO-configuratie wordt nu ingesteld in Document360 met de door jou gekozen Identity Provider.
Wanneer SCIM is ingeschakeld, wordt het bewerken van de naam van een gebruiker of het direct verwijderen van een gebruiker in Document360 uitgeschakeld, omdat deze acties via je IdP moeten worden beheerd om beide platforms synchroon te houden. Je kunt alleen contenttoegang beheren vanuit Document360. Het verwijderen van een profiel in je IdP verwijdert het niet uit Document360 — het profiel blijft met een Inactieve status.
Erven van een andere applicatie
Bij het aanmaken van een nieuwe SSO-configuratie in Document360 kun je SCIM-instellingen erven van een bestaande SSO-verbinding. Dit vereenvoudigt het installatieproces, voorkomt herhaling van configuratiestappen en helpt beheerders tijd te besparen terwijl consistentie tussen de integraties wordt gewaarborgd.
Kindgeërfde SSO-configuratie
Selecteer op de pagina Configure Identity Provider (IdP) het veld 'Configure an existing connection' en kies de ouderapplicatie van SSO SCIM waarvan je wilt erven. Door deze optie te selecteren, wordt het huidige project aangewezen als het kindproject, waarbij alle relevante eigenschappen van de ouder worden geërfd.
Zodra de SSO-configuratie is aangemaakt, worden de SCIM-provisioning-instellingen overgenomen van de ouderapplicatie en kunnen ze niet meer worden aangepast in de kindapplicatie.
Oudergeërfde SSO-configuratie
De moederapplicatie toont een lijst van alle projecten die de configuratie hebben geërfd. Alle wijzigingen die aan de ouderapplicatie worden aangebracht, worden automatisch weergegeven in de kindapplicatie.
- Als SCIM in het hoofdproject is ingeschakeld nadat kindprojecten het al hebben geërfd, worden de gebruikers en groepen automatisch aan alle kindprojecten op de achtergrond toegewezen.
- Het inschakelen van overerving maakt het eenvoudiger om meerdere SSO-configuraties met SCIM ingeschakeld te beheren, omdat alle instellingen vanuit één ouderapplicatie worden bestuurd. Dit bespaart tijd en vermindert de inspanning die nodig is om elke configuratie afzonderlijk te beheren.
Best practices
- Controleer de ondersteuning van SAML 2.0 voordat je begint. Bevestig dat je Identity Provider het SAML 2.0-protocol ondersteunt. Document360 ondersteunt geen SAML 1.x of propriëtaire SSO-protocollen.
- Controleer de naamsletter van het attribuut zorgvuldig. De attribuutnamen
emailennamezijn hoofdlettergevoelig. Zorg ervoor dat ze precies worden ingevoerd zoals weergegeven in de attributenkaarttabel. - Download en sla het X.509-certificaat op voordat de installatie wordt voltooid. Je zult dit bestand moeten uploaden naar Document360. Bewaar een kopie op een veilige plek voor het geval je moet herconfigureren.
- Test eerst met één gebruiker. Controleer voordat je SSO uitrolt naar alle gebruikers, de configuratie met één testaccount om te bevestigen dat attribuutmapping, certificaten en URL's allemaal correct functioneren.
FAQ
Welke identiteitsproviders kan ik gebruiken met de optie "Andere configuraties"?
Je kunt elke Identity Provider gebruiken die het SAML 2.0-protocol ondersteunt. Dit omvat providers zoals PingIdentity, Shibboleth, JumpCloud, Centrify en anderen die niet expliciet in de IdP-selector van Document360 staan. Als je aanbieder expliciet wordt vermeld (Okta, Entra, Google, OneLogin, ADFS), gebruik dan dat speciale artikel voor zorgverlenerspecifieke richtlijnen.
Wat gebeurt er met het profiel van een gebruiker in Document360 als ik ze verwijder in mijn IdP?
Het verwijderen van een gebruikersprofiel in je IdP verwijdert het niet uit Document360. Het profiel blijft in Document360 met een Inactieve status. Je kunt alleen de toegang tot content direct beheren vanuit Document360.
Kan ik SCIM-provisioning gebruiken met elke identiteitsprovider?
SCIM-provisioning is beschikbaar als je Identity Provider het SCIM 2.0-protocol native ondersteunt. Als je IdP SCIM niet native ondersteunt, kun je het mogelijk inschakelen via een provisioningtool van derden of een aangepaste integratie.