Door voor jouw organisatie SAML (Security Assertion Markup Language) te configureren op Holaspirit, kunnen jij en je medewerkers inloggen op Holaspirit met behulp van de identifiers die zijn opgeslagen in Active Directory, LDAP of een andere identity store van jouw organisatie die werd geconfigureerd met behulp van een SAML-identiteitsprovider.
Alleen een beheerder of eigenaar van de organisatie kan deze instellingen beheren.
1. SAML activeren voor jouw organisatie op Holaspirit
Om SAML-authenticatie in te schakelen, volg je de volgende stappen:
Klik op jouw Profielpictogram onderaan het linkernavigatiemenu.
Klik op Beheer.
Klik in het onderdeel Instellingen op Authenticatie.
Schuif de knop naar rechts om SAML te activeren.
2. SAML configureren
Elke Identity Provider moet werken met één of meerdere geregistreerde domeinen.
Voeg in het eerste onderdeel de domeinnamen toe waarvoor de authenticatie-instellingen van toepassing zijn. Domeinen kunnen niet apart opgeslagen worden zonder de verbinding met je identity provider (IDP) te configureren.
Om de verbinding met je identity provider te configureren:
Selecteer de Identity Provider in het tweede keuzemenu.
Vul de
URL van de uitgever in (SAML Entity ID), beispiel https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/
SSO Endpoint (waar je gaat inloggen, SAML Single Sign-On Service URL), beispiel https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
SLO Endpoint (de URL wanneer je uitlogt), beispiel https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
Certificaat (verstrekt door je IDP, moet in PEM-formaat zijn, zoals in de afbeelding hieronder)
Klik op Opslaan.
Voor gebruikers van Okta
In Single Sign On URL vul je de ACS als volgt in: https://app.holaspirit.com/api/public/organizations/********/social/saml/acs)
In Audience URL moet je de URL van de metagegevens invullen.
Voeg in je applicatie-instellingen, in Algemeen, SAML-instellingen, de volgende attributen toe:
Voor MS Azure kun je de documentatie raadplegen.
Sterke authenticatie met SAML
Elke Identity Provider beschikt over een basisverificatiemodus, waarmee de SAML-configuratie kan worden uitgetest, en een sterke modus, waarin deze authenticatiemodus wordt opgelegd aan de gebruikers die betrokken zijn bij het (de) geregistreerde e-maildomein(en).
Bij sterke SAML-authenticatie moeten alle gebruikers inloggen door middel van SAML-authenticatie. Bestaande gebruikersnamen en wachtwoorden of Google OAuth-identifiers werken niet om in te loggen op de geconfigureerde organisatie.
Opmerkingen:
Gebruikers kunnen inloggen bij andere organisaties zolang ze zich afmelden bij de door SAML geconfigureerde organisatie en daarna de gepaste authenticatiemethode gebruiken.
Andere gebruikers die een ander domein gebruiken, kunnen verder inloggen op het platform met behulp van e-mail en wachtwoord of Google-authenticatie.
Deze functie zorgt ervoor dat alle gebruikers met toegang tot Holaspirit gebruikmaken van geldige identifiers van de identity provider of directory service van jouw bedrijf om in te loggen bij jouw organisatie op Holaspirit.
Gevolgen van sterke authenticatie in SAML
Om veiligheidsredenen kunnen gebruikers waarop de authenticatie van toepassing is, hun e-mailadres niet wijzigen.
Als sterke authenticatie is ingeschakeld voor SAML, wordt de gebruiker doorgestuurd naar de portaalpagina van de Identity Provider wanneer hij/zij probeert in te loggen met een login en wachtwoord of wanneer hij/zij het formulier voor een wachtwoordherinnering bevestigt.
Beschikbaarstelling van gebruikersaccounts via SAML-verbinding
Dankzij provisioning leidt elke eerste verbinding van een nieuwe gebruiker tot de aanmaak van een Holaspirit-account. Zo hoeven beheerders niet langer handmatig individuele accounts aan te maken.
Wanneer nieuwe gebruikers voor het eerst Holaspirit bezoeken:
Loggen ze in met hun e-mailadressen die het bedrijfsdomein bevatten, bijvoorbeeld @holaspirit.com.
Verschijnt de loginpagina van de Identity Provider.
Worden ze doorgestuurd naar de Holaspirit-startpagina.
Als aan het abonnement onvoldoende licenties zijn gekoppeld, wordt de gebruiker als inactief lid aan de organisatie toegevoegd. Een beheerder van het platform kan naderhand de toegangsrechten van de gebruiker wijzigen.
Als je SAML-authenticatie in jouw organisatie wilt configureren, lees dan dit artikel.