Overslaan naar inhoud
Nederlands
Contact
  • Er zijn geen suggesties want het zoekveld is leeg.

SSO instellen met Microsoft Entra ID

Met Single Sign-On (SSO) loggen jouw collega's in op KYP met hun bestaande Microsoft-account. In dit artikel lees je hoe je SSO instelt aan jouw kant.

Voordat je begint

Je hebt beheerdersrechten nodig in Microsoft Entra ID (voorheen Azure AD). Daarnaast ontvang je van ons een redirect-URI. Die heb je nodig in stap 1. Heb je deze nog niet? Neem dan eerst contact met ons op.

Stap 1. App-registratie aanmaken in Azure

  1. Log in op de Azure Portal.
  2. Open Microsoft Entra ID.
  3. Klik in de zijbalk onder Manage op App registrations.

    sso1
  4. Maak een nieuwe registratie aan voor KYP SSO:
    • Beperk gebruikers tot Accounts in this organizational directory only
    • Kies Web als platform
    • Vul bij Redirect URI de URI in die je van ons hebt ontvangen

sso2

 

Stap 2. Metadata Document Endpoint kopiëren

  1. Open na het registreren Endpoints.
  2. Kopieer het OpenID Connect Metadata Document en bewaar dit.
  3. Sluit het Endpoints-overzicht.

sso3

 

 

 

 

 

 

 

 

 

 

Stap 3. Application (Client) ID kopiëren

  1. Kopieer de Application (client) ID uit de registratie en bewaar deze.

    sso4

Stap 4. Client Secret aanmaken

  1. Ga in de app-registratie naar ManageCertificates & secrets.
  2. Selecteer New client secret.
  3. Vul een duidelijke beschrijving in en kies de aanbevolen vervaltermijn.
  4. Klik op Add en kopieer de secret value die verschijnt.

    sso5-1
  5. Bewaar de secret value.

    sso6


Stap 5. API-permissies instellen

  1. Ga naar ManageAPI permissions.
  2. Klik op Add a permissionMicrosoft GraphDelegated permissions.
  3. Voeg de volgende permissies toe: openid, profile, email, offline_access en GroupMember.Read.All. Deze zijn allemaal nodig voor het synchroniseren van groepen.
  4. Klik op Add permissions.
  5. Klik daarna op Grant admin consent voor de permissie User.Read, zodat de applicatie geautoriseerd is om API's aan te roepen voor "sign-in and read user profile".

 

Stap 6. Token-configuratie aanpassen

  1. Ga binnen de geregistreerde applicatie naar ManageToken configuration.
  2. Klik op Add groups claim.
  3. Selecteer Security groups in het menu Select group types to include in Access, ID, and SAML tokens.
  4. Selecteer bij Customize token properties by type alleen Group ID voor ID/Access/SAML.
  5. Vink Emit groups as role claims niet aan.

 

Stap 7. Gegevens veilig delen met KYP

  1. Ga naar OneTimeSecret om deze gegevens veilig met ons te delen: https://eu.onetimesecret.com

  2. Label en deel de informatie uit de vorige stappen. Zet de vervaltermijn op 7 dagen. Stel je een passphrase in, deel die dan ook met ons.
  3. Voeg aanvullende informatie toe die voor ons nuttig is, zoals de e-maildomeinen die naar deze identity provider geleid moeten worden en de naam van je organisatie.
  4. Klik op Create Link en stuur deze link per e-mail naar ons toe. Zodra de link één keer is geopend, is de informatie niet meer toegankelijk. Zo weten we zeker dat geen derde partij heeft meegekeken.