Hoe werkt Single Sign-On met AzureAD?
Het is mogelijk om TriasWeb te koppelen aan AzureAD. Dit gaat op basis van het protocol OpenID Connect 2.0. In deze pagina is uitgelegd welke instellingen er in AzureAD ingesteld moeten worden. Om dit in te richten heb je voldoende rechten en kennis nodig.
Let op! Soms kun je beter een Enterprise registratie aanmaken dan een app-registratie. Dit is het geval als een van de volgende waarden wel meegegeven wordt door jullie SSO-applicatie, maar niet het juiste e-mailadres bevat.
sub
preferred_username
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
In de Enterprise registratie kun je de claims manipuleren. De handleiding voor Enterprise registraties staat hier.
Maak een nieuwe app registratie aan:
Geef de app een duidelijke naam en stel de redirect URI in die je van Triaspect hebt gekregen. Deze ziet er ongeveer zo uit: https://portaal.triasweb.nl/naam/signin-oidc in. Gebruik alleen kleine letters en vervang naam voor de naam van de organisatie zoals hij in de url van triasweb staat. Als je niet zeker weet welke je moet gebruiken, vraag dat dan gerust even na.
Bij Authentication moet implicit grant op ID tokens worden gezet.
Daarnaast moet er bij Certificates & secrets een client secret aangemaakt worden, we hebben de waarde bij Value nodig. Houd rekening met de verloop datum en geef dit tijdig aan via onze ServiceDesk.
Als laatste moeten de gebruikers nog permissie krijgen om de applicatie te mogen gebruiken. Ga naar API Permissions, en klik op Grant admin consent for {klantnaam}
Als je dit allemaal gedaan hebt is de inrichting in AzureAD klaar. Aan de zijde van TriasWeb richten wij SSO voor jouw omgeving in. Hiervoor hebben we de volgende informatie nodig:
Application (client) ID
OpenID Connect metadata document URL, deze kun je zien via de knop Endpoints:
De client secret Value (waarborg verloop datum en geef dit tijdig aan via de ServiceDesk)