Vereisten:
SSO moet geconfigureerd zijn door de Company Admin van het Rainbow bedrijf.
Er moet minstens één Enterprise licentie aan het bedrijf zijn toegewezen, anders wordt het tabblad Beveiliging niet weergegeven.
Procedure:
Inloggen met een Company Admin account
Open Mijn bedrijf> Instellingen> tabblad Beveiliging:
Voeg een nieuwe verificatiemethode toe: OIDC of SAML.
Voor SAML voert u de volgende informatie van uw IDP in:
- URL aanmelden
- URL afmelden (optioneel)
- Attribuut ID gebruiker: Attribuut ID is niet afhankelijk van het bedrijf en moet altijd hetzelfde zijn
Voor ADFS: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Voor Azure AD: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Voor Shibboleth: urn:oid:0.9.2342.19200300.100.1.3
- Certificaten: dit certificaat moet in pem-formaat gedownload worden van uw IDP.
Het is het token signing certificaat.
Als voorbeeld kunt u het hier vinden op Azure AD:
Advanced Options:
Standaardwaarden zouden in de meeste gevallen moeten werken, maar moeten met voorzichtigheid worden gebruikt
- Verificatie forceren: start altijd de verificatie zelfs als er al een sessie bestaat, standaard niet aangevinkt
- Het verzoek altijd ondertekenen: verzoeken van Rainbow worden ondertekend, standaard niet aangevinkt
- Sta onversleutelde beweringen toe: Beweringen worden niet versleuteld, standaard aangevinkt
Als u voltooid bent, kunt u het bestand met metagegevens van Rainbow downloaden en het in de IDP-server importeren.
Voor OIDC:
Voer de volgende informatie van uw IDP in:
- Client-ID
- Geheim
- URL voor ontdekking
Geavanceerde opties - Informatie over gebruikersauthenticatie:
Standaardwaarden zouden in de meeste gevallen moeten werken, maar moeten met voorzichtigheid worden gebruikt
- Attribuut gebruikers-ID: de naam van het attribuut dat in het authenticatieverzoek moet worden gebruikt om de gebruiker te identificeren
- Scope-parameter: de scope-parameter om op te nemen in het authenticatieverzoek
- ACR-waarde: een door spaties gescheiden tekenreeks die de Authentication Context Class-waarden specificeert die in het authenticatieverzoek van de gebruiker moeten worden gebruikt, waarden die in de voorkeursvolgorde worden weergegeven.
Of gebruik de handmatige methode:
Externe Authenticatie Identificator
Op gebruikersbasis is het ook mogelijk om een Externe Authenticatie Identifier te configureren.
Deze identificatie wordt gebruikt om de gebruiker te verifiëren.
Het kan bijvoorbeeld nuttig zijn als de Rainbow LoginEmail verschilt van het e-mailadres van de gebruiker in Azure AD.
Aan het einde van de SSO-configuratie is het mogelijk om SSO voor alle leden van het bedrijf te activeren door het SAML- of OIDC-menu te bewerken:
Opmerking: Bedrijfsbeheerders hebben nog steeds de keuze om in te loggen met SSO of Login/Password.
Voor meer informatie over OIDC, SAML, de lijst van ondersteunde servers en hun configuratie, kunt u een kijkje nemen in de volgende artikelen:
https://support.openrainbow.com/hc/en-us/sections/360003695979-Authentification