Single Sign On (SSO)

Datum: 2020-07-13
Versie: 0.2

Met deze module is het voor uw klanten mogelijk om zich centraal binnen hun eigen bedrijf aan te melden op het netwerk en daarna zonder in te loggen gebruik te maken van Ecmanage.

De module voor Single Sign On in Ecmanage kan samen werken met de industriestandaard SAML. Deze technologie wordt bijvoorbeeld gebruikt binnen het product Microsoft ADFS.

Modellen van Single Sign On

Er zijn twee modellen mogelijk voor Single Sign On:

  • Service Provider (SP) Initiated Login.

    Een gebruiker gaat naar de klant omgeving in Ecmanage. Daar zit een SSO login knop, de gebruiker kiest deze en wordt doorgestuurd naar de ADFS omgeving van de Klant, daar moet de gebruiker 1 maal inloggen en daarna herkent deze omgeving de gebruiker zonder inloggen. De ADFS omgeving stuurt de gebruiker dan via een redirect weer terug naar Ecmanage met een zogenaamd SAML token voor automatisch inloggen. In Ecmanage dient de gebruiker een profiel te hebben en indien dit zo is dan wordt de gebruiker direct ingelogd.

  • Identity Provider (IDP) Initiated Login.

    In dit geval kiest de gebruiker meestal in een eigen intranet omgeving een link naar de klant omgeving in Ecmanage. In deze link wordt direct een SAML token verwerkt waardoor de gebruiker direct wordt ingelogd in Ecmanage mits deze gebruiker een profiel heeft in Ecmanage.

Inrichten van Single Sign On

Het activeren van Sigle Sign On wordt door de servicedesk bij Ecmanage gedaan. Voor deze inrichting zijn de volgende gegevens van belang, deze kunnen uit het zogenaamde federation_metadata.xml bestand gehaald worden:

  1. Entity Id.

    Dit is een uniek kenmerk zoals in de klant inrichting van ADFS is aangemaakt.

    federation_metadata.xml <EntityDescriptor> attribuut entityID

  2. Single Sign On URL

    Dit is de pagina op het intranet waar een gebruiker zich eenmalig moet identificeren.

    federation_metadata.xml <SingleSignOnService> attribuut Location

Hoe wordt SSO oplossing van de klant gekoppeld aan Ecmanage (IDP Initiated Login)

Vanuit het intranet van de klant zal een aanroep gedaan worden naar in de inlogpagina van Ecmanage met als parameter de waarde:

https://leverancier.ecmanage.nl/klant/login.aspx?loginwith=saml

Zowel de Ecmanage URL als de klant URL van het inkoop systeem dient aangevuld te worden.

Identificatie van gebruikers door middel van NameId

In de koppeling tussen SSO oplossing en Ecmanage wordt een SAML bericht uitgewisseld. In dit bericht verwacht Ecmanage een NameId veld waarin een gebruiker wordt geidentificeerd. Aan de Ecmanage kant wordt in elk gebruikerprofiel een extra veld actief gemaakt waar de SAML NameId opgeslagen kan worden. Vaak bevat dit veld het emailadres van een gebruiker maar dit kan ook een ander gegeven zijn, een netwerk gebruikernaam of een anoniem uniek nummer.

Onderhoud gebruikers door middel van SAML attributen

Tijdens het inloggen van een gebruiker kan de klant er voor kiezen om extra gegevens mee te sturen tijdens het inlog proces. Deze gegevens worden opgeslagen in SAML attributen.

Er is een mogelijkheid om een inrichting te maken in ecmanage waarbij de volgende gegevens op deze wijze aangemaakt of gewijzigd kunnen worden:

Veld

Verplicht

Mutatie

Toelichting

gender

J

J

Geslacht: F, M

personid

J

N

Dit is een uniek kenmerk voor een gebruiker

title

N

J

Optionele aanhef

firstname

J

J

middlename

N

J

lastname

J

J

email

N

J

isolanguage

N

J

Drie letterig iso code voor land.

department

N

J

Afdeling code uit de definitie van ecmanage inrichting (indien mutatie dan verhuizen, indien niet bestaand dan foutmelding)

employmenttype

J

J

Dienstverband uit de definitie van ecmanage inrichting (optioneel indien er maar 1 in ecmanage aanwezig is)

functions

N

J

Een of meerdere functies, ; gescheiden uit de def. van ecmanage

roles

N

J

Een of meerdere rollen, ; gescheiden uit de def. van ecmanage

Voor het gebruiken van deze mogelijkheid kunt u contact opnemen met onze support afdeling. In overleg met uw klant kunnen we een impact maken voor de mogelijkheden.

Aanvullende mogelijkheden Single Sign On

Na het activeren van Single Sign On wordt een extra knop getoond in het inlogscherm van Ecmanage. De standaard tekst van deze knop is “SAML Login”. U kunt een klant specifieke tekst aanleveren bij de servicedesk van Ecmanage, daar kan deze actief gemaakt worden.

Indien de single sign on omgeving van de klant een SSL Certificaat vereist dan kan dit in de configuratie aangemaakt worden.

Azure SSO

Als de tenant id bekend is dan is de metadata op te vragen via:

https://login.microsoftonline.com/<tenantid>/federationmetadata/2007-06/federationmetadata.xml