SSO koppeling Microsoft 365

SSO Microsoft 365

Wij bieden de mogelijkheid om in te loggen op onze applicaties via Single Sign-On (SSO). In dit artikel leggen wij de stappen uit voor een koppeling met Microsoft 365.

Stap 1: Tenant ID

Wij ontvangen graag jullie Tenant ID.

🔹 Wat is een Tenant ID?

Het Microsoft 365 Tenant ID is een wereldwijd unieke identificatiecode (GUID). Dit is niet hetzelfde als jullie organisatienaam of domein. Dit ID wordt onder andere gebruikt bij het configureren van OneDrive-beleid.

🔹 Waar vinden jullie het Tenant ID?

Log in op het Entra Admin Center.
Ga naar Directory Properties in het dashboard.
Het Tenant ID staat in het veld Tenant ID op de overzichtspagina.

Stap 2: Redirect URL

Zodra wij jullie Tenant ID hebben ontvangen, zullen wij de eerste configuratiestappen uitvoeren.

Daarna ontvangen jullie van ons een Redirect URL die nodig is voor de verdere koppeling.

Stap 3: Instellen van een OIDC-applicatie

Let op:

"Tegenwoordig kan Azure Active Directory ook worden aangeduid als Microsoft Entra."

"Voer het stappenplan uit tot en met stap 12."

"Gebruik bij Redirect URI de door ons verstrekte Redirect URL."

Microsoft Entra als OpenID Connect-provider

Microsoft Entra is een van de OpenID Connect-identiteitsproviders die u kunt gebruiken om bezoekers te laten authenticeren op uw Power Pages-site. Naast Microsoft Entra ID, multitenant Microsoft Entra ID en Azure AD B2C kunt u ook andere providers gebruiken die voldoen aan de OpenID Connect-specificatie.

Wijzigingen in de authenticatie-instellingen van uw site kunnen enkele minuten duren voordat ze zichtbaar worden. Om de wijzigingen onmiddellijk te zien, kunt u de site opnieuw starten in het beheercentrum.

Microsoft Entra instellen in Power Pages

Stel Microsoft Entra in als identiteitsprovider voor uw site.

In uw Power Pages-site selecteert u Beveiliging > Identiteitsproviders. Als er geen identiteitsproviders verschijnen, zorg er dan voor dat Externe aanmelding is ingesteld op Aan in de algemene verificatie-instellingen van uw site.
Selecteer + Nieuwe provider.
Onder Aanmeldingsprovider selecteren, kies Anders.
Onder Protocol, selecteer OpenID Connect.
Voer een naam in voor de provider, bijvoorbeeld Microsoft Entra ID. De providernaam is de tekst op de knop die gebruikers zien wanneer ze hun identiteitsprovider selecteren op de aanmeldpagina.
Selecteer Volgende.
Onder Antwoord-URL, selecteer Kopiëren. Sluit uw Power Pages-browsertabblad niet. U keert hier binnenkort naar terug.

Een app-registratie maken in Azure

Maak een app-registratie in het Azure-portaal met de antwoord-URL van uw site als de omleidings-URI.

Meld u aan bij het Azure-portaal.
Zoek naar en selecteer Azure Active Directory.
Onder Beheren, selecteer App-registraties.
Selecteer Nieuwe registratie.
Voer een naam in.
Selecteer een van de Ondersteunde accounttypen die het beste past bij de vereisten van uw organisatie.
Onder Omleidings-URI, selecteer Web als platform en voer de antwoord-URL van uw site in.

Als u de standaard-URL van uw site gebruikt, plak dan de gekopieerde antwoord-URL.
Als u een aangepaste domeinnaam gebruikt, voer dan de aangepaste URL in. Zorg ervoor dat u dezelfde aangepaste URL gebruikt voor de omleidings-URL in de instellingen voor de identiteitsprovider op uw site.

Selecteer Registreren.
Kopieer de Toepassing (client) ID.
Rechts van Clientreferenties, selecteer Een certificaat of geheim toevoegen.
Selecteer + Nieuw clientgeheim.
Voer een optionele beschrijving in, kies een vervaldatum en selecteer Toevoegen.

Site-instellingen invoeren in Power Pages

Ga terug naar de Power Pages-configuratiepagina voor identiteitsproviders die u eerder opende en voer de volgende waarden in. Wijzig optioneel de aanvullende instellingen indien nodig. Selecteer Bevestigen wanneer u klaar bent.

Autoriteit: Voer de autoriteits-URL in het volgende formaat in:
https://login.microsoftonline.com/<Directory (tenant) ID>/,
waarbij <Directory (tenant) ID> de directory (tenant) ID is van de applicatie die u hebt gemaakt.

Bijvoorbeeld: als de directory (tenant) ID in het Azure-portaal aaaabbbb-0000-cccc-1111-dddd2222eeee is, dan is de autoriteits-URL:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

Client-ID: Plak de applicatie- of client-ID van de applicatie die u hebt gemaakt.
Omleidings-URL:

Als uw site een aangepaste domeinnaam gebruikt, voer dan de aangepaste URL in.
Anders laat u de standaardwaarde staan. Zorg ervoor dat de waarde exact overeenkomt met de omleidings-URI van de applicatie die u hebt gemaakt.

Metadata-adres: Plak de OpenID Connect-metadata document-URL die u hebt gekopieerd.
Scope: Voer openid email in.

De waarde openid is verplicht.
De waarde email is optioneel en zorgt ervoor dat het e-mailadres van de gebruiker automatisch wordt ingevuld en weergegeven op de profielpagina na aanmelding.
Lees meer over andere claims die u kunt toevoegen.

Responstype: Selecteer code id_token.
Clientgeheim: Plak het clientgeheim van de applicatie die u hebt gemaakt.

Deze instelling is vereist als het responstype code is.

Responsemodus: Selecteer form_post.
Externe afmelding:

Deze instelling bepaalt of uw site gecentraliseerde afmelding (federated sign-out) gebruikt.
Met gecentraliseerde afmelding worden gebruikers automatisch ook afgemeld bij alle andere applicaties en sites die dezelfde identiteitsprovider gebruiken.
Zet deze optie aan om gebruikers door te verwijzen naar de ervaring van federatieve afmelding wanneer ze zich afmelden.
Zet deze optie uit om gebruikers alleen van uw website af te melden.

Post-logout omleidings-URL:

Voer de URL in waar de identiteitsprovider gebruikers naartoe moet omleiden nadat ze zich hebben afgemeld.
Dit moet correct worden ingesteld in de configuratie van de identiteitsprovider.

RP-geïnitieerde afmelding:

Deze instelling bepaalt of de betrouwbare partij (relying party)—de OpenID Connect-clientapplicatie—gebruikers kan afmelden.
Om deze instelling te gebruiken, zet u Externe afmelding aan.

Aanvullende instellingen in Power Pages

De aanvullende instellingen geven u meer controle over hoe gebruikers zich verifiëren met uw Microsoft Entra-identiteitsprovider. Deze waarden zijn optioneel.

Uitgeverfilter:

Voer een op jokertekens gebaseerd filter in dat overeenkomt met alle uitgevers in alle tenants.
Bijvoorbeeld: https://sts.windows.net/*/.

Validatie van publiek:

Zet deze optie aan om het publiek te valideren tijdens tokenvalidatie.

Geldige publiekswaarden:

Voer een komma-gescheiden lijst van publieks-URL's in.

Validatie van uitgevers:

Zet deze optie aan om de uitgever te valideren tijdens tokenvalidatie.

Geldige uitgevers:

Voer een komma-gescheiden lijst van uitgevers-URL's in.

Registratieclaims-mapping en Aanmeldingsclaims-mapping:

Bij gebruikersverificatie is een claim informatie die een gebruikersidentiteit beschrijft, zoals een e-mailadres of geboortedatum.
Wanneer een gebruiker zich aanmeldt bij een applicatie of website, wordt een token gegenereerd.
Dit token bevat informatie over de identiteit van de gebruiker, inclusief eventuele bijbehorende claims.
Claims-mapping is een manier om de informatie in een token aan te passen. Hiermee kunt u:

De beschikbare informatie in een applicatie of site aanpassen.
Toegang tot functies of gegevens controleren.

Registratieclaims-mapping wijzigt de claims die worden uitgegeven wanneer een gebruiker zich registreert bij een applicatie of site.
Aanmeldingsclaims-mapping wijzigt de claims die worden uitgegeven wanneer een gebruiker zich aanmeldt.
Lees meer over claims-mapping policies.

Nonce-leeftijd:

Voer de levensduur van de nonce-waarde in, in minuten.
De standaardwaarde is 10 minuten.

Tokenlevensduur gebruiken:

Deze instelling bepaalt of de authenticatiesessie (zoals cookies) dezelfde levensduur moet hebben als het authenticatietoken.
Als u deze instelling inschakelt, overschrijft deze de waarde Application Cookie Expire Timespan in de instelling Authentication/ApplicationCookie/ExpireTimeSpan van uw site.

Contact-mapping met e-mail:

Deze instelling bepaalt of contacten worden gekoppeld aan een bijbehorend e-mailadres wanneer ze zich aanmelden.
Aan:

Koppelt een uniek contactrecord aan een overeenkomend e-mailadres.
Wijs automatisch de externe identiteitsprovider toe aan het contact nadat de gebruiker zich succesvol heeft aangemeld.

Uit:

Geen automatische koppeling van contacten met een e-mailadres

Stel aanvullende claims in

Schakel optionele claims in Microsoft Entra ID in.

Zet Scope in om de aanvullende claims in te sluiten; bijvoorbeeld: openid email profile.
Stel de Registratieclaims-mapping aanvullende site-instelling in; bijvoorbeeld: firstname=given_name, lastname=family_name.
Stel de Aanmeldingsclaims-mapping aanvullende site-instelling in; bijvoorbeeld: firstname=given_name, lastname=family_name.

In deze voorbeelden worden de voornaam, achternaam en e-mailadressen die met de aanvullende claims worden verstrekt, de standaardwaarden op de profielpagina van de website.

Sta multitenant Microsoft Entra-authenticatie toe

Om Microsoft Entra-gebruikers toe te staan zich vanuit elke tenant in Azure aan te melden, en niet alleen vanuit een specifieke tenant, wijzig de Microsoft Entra-applicatieregistratie naar multitenant.

U moet ook de Uitgeverfilter instellen in de aanvullende instellingen van uw provider.

Stap 4: Beheerders-toestemming (Admin Consent)

Standaard krijgen gebruikers bij de eerste keer inloggen met Single Sign-On (SSO) de volgende melding:

Als beheerder kun je instellen dat deze toestemming in één keer voor de hele organisatie wordt verleend.

Dit doe je als volgt:

Ga naar het Azure-portaal.
Navigeer naar de nieuw aangemaakte app-registratie.
Ga naar API-machtigingen (API Permissions).
Klik op Admin consent verlenen (Grant admin consent).

Stap 5: Laatste controle en testen

Wij zullen het Client ID en Client Secret aan onze kant verwerken.

Zodra dit is gebeurd, kan de authenticatie worden getest.

Related Articles
Inloggen en 2FA
GRIP Facility heeft met haar portal een nieuwe, veilige wijze van inloggen gerealiseerd. Dit is zowel een enkele plek om in te loggen, zonder dat je dus meerdere wachtwoorden voor de verschillende modules moet opslaan. Ook een stuk veiligheid ...
Waarom worden er geen vloerkosten doorberekend?
Dit kan te maken hebben met dat de vloersoorten in de ruimtestaat niet overeenkomen met de vloersoorten bij 'CALCULATIEDETAILS', hierdoor zijn de prestatienormen voor het vloeronderhoud niet hetzelfde en maakt het systeem niet deze koppeling. Indien ...

SSO koppeling Microsoft 365

SSO koppeling Microsoft 365

Wij bieden de mogelijkheid om in te loggen op onze applicaties via Single Sign-On (SSO). In dit artikel leggen wij de stappen uit voor een koppeling met Microsoft 365.

Wij ontvangen graag jullie Tenant ID.

🔹 Wat is een Tenant ID?

Het Microsoft 365 Tenant ID is een wereldwijd unieke identificatiecode (GUID). Dit is niet hetzelfde als jullie organisatienaam of domein. Dit ID wordt onder andere gebruikt bij het configureren van OneDrive-beleid.

🔹 Waar vinden jullie het Tenant ID?

Zodra wij jullie Tenant ID hebben ontvangen, zullen wij de eerste configuratiestappen uitvoeren.

Daarna ontvangen jullie van ons een Redirect URL die nodig is voor de verdere koppeling.

Let op:

"Tegenwoordig kan Azure Active Directory ook worden aangeduid als Microsoft Entra."

"Voer het stappenplan uit tot en met stap 12."

"Gebruik bij Redirect URI de door ons verstrekte Redirect URL."

Wijzigingen in de authenticatie-instellingen van uw site kunnen enkele minuten duren voordat ze zichtbaar worden. Om de wijzigingen onmiddellijk te zien, kunt u de site opnieuw starten in het beheercentrum.

Stel Microsoft Entra in als identiteitsprovider voor uw site.

In uw Power Pages-site selecteert u Beveiliging > Identiteitsproviders. Als er geen identiteitsproviders verschijnen, zorg er dan voor dat Externe aanmelding is ingesteld op Aan in de algemene verificatie-instellingen van uw site.

Selecteer + Nieuwe provider.

Onder Aanmeldingsprovider selecteren, kies Anders.

Onder Protocol, selecteer OpenID Connect.

Voer een naam in voor de provider, bijvoorbeeld Microsoft Entra ID. De providernaam is de tekst op de knop die gebruikers zien wanneer ze hun identiteitsprovider selecteren op de aanmeldpagina.

Selecteer Volgende.

Onder Antwoord-URL, selecteer Kopiëren. Sluit uw Power Pages-browsertabblad niet. U keert hier binnenkort naar terug.

Een app-registratie maken in Azure

Stel aanvullende claims in

Schakel optionele claims in Microsoft Entra ID in.

Zet Scope in om de aanvullende claims in te sluiten; bijvoorbeeld: openid email profile.

Stel de Registratieclaims-mapping aanvullende site-instelling in; bijvoorbeeld: firstname=given_name, lastname=family_name.

Stel de Aanmeldingsclaims-mapping aanvullende site-instelling in; bijvoorbeeld: firstname=given_name, lastname=family_name.

In deze voorbeelden worden de voornaam, achternaam en e-mailadressen die met de aanvullende claims worden verstrekt, de standaardwaarden op de profielpagina van de website.

Sta multitenant Microsoft Entra-authenticatie toe

Om Microsoft Entra-gebruikers toe te staan zich vanuit elke tenant in Azure aan te melden, en niet alleen vanuit een specifieke tenant, wijzig de Microsoft Entra-applicatieregistratie naar multitenant.

U moet ook de Uitgeverfilter instellen in de aanvullende instellingen van uw provider.

Stap 4: Beheerders-toestemming (Admin Consent)

Standaard krijgen gebruikers bij de eerste keer inloggen met Single Sign-On (SSO) de volgende melding:

Als beheerder kun je instellen dat deze toestemming in één keer voor de hele organisatie wordt verleend.

Dit doe je als volgt:

Ga naar het Azure-portaal.

Navigeer naar de nieuw aangemaakte app-registratie.

Ga naar API-machtigingen (API Permissions).

Klik op Admin consent verlenen (Grant admin consent).

Stap 5: Laatste controle en testen

Wij zullen het Client ID en Client Secret aan onze kant verwerken.

Zodra dit is gebeurd, kan de authenticatie worden getest.

Related Articles

Inloggen en 2FA

Waarom worden er geen vloerkosten doorberekend?