Introductie

Waarom?
Bij het gebruik van Single sign-on-software (afgekort SSO) hoef jij als gebruiker niet telkens verschillende wachtwoorden voor verschillende applicaties te onthouden. Je hoeft nu nog maar één keer in te loggen op jouw werkstation, waarna je automatisch toegang krijgt tot Coachview. Je hoeft hierdoor niet iedere keer opnieuw in te loggen, en het inlogscherm wordt niet langer getoond.

Er zijn 2 methodes om SSO te integreren.
Methode 1 (voorkeur):
Via 'IdpInitiated Single Sign-on' vanuit jullie eigen 'Identity Provider'. Vanuit daar wordt een door ons signed SAML request naar de Idp gestuurd via http-post. Als jij aan jullie kant (de Idp) bent ingelogd en geautoriseerd dan stuurt de Idp een signed SAML response terug met daarin een (eventueel encrypted) assertion met minimaal de “Name Id” claim gevuld. Coachview controleert de handtekening en of in de “name id” claim het unieke (externe)Id staat dat bij ons bij de persoon bekend is. Daarna word je automatisch in coachview ingelogd.
Methode 2:
Je logt in via Single Sign-on via de inlogpagina van Coachview. Dit wordt ook wel serviceprovider-initiated Single Sign-on genoemd.
De eerste keer dat je als gebruiker gaat inloggen is de link (knop 2) op de inlogpagina nog niet bekend en wordt dus niet getoond. Neem met onze supportafdeling contact op voor de naam van deze link.

  1. Inloggen na het ingeven van jouw gebruikersnaam en wachtwoord van Coachview.
  2. Inloggen via Single sign-on. Je gebruikt jouw gebruikersnaam en wachtwoord van jouw werkstation, en niet die van Coachview. Er wordt een nieuw inlogscherm getoond (voorbeeld). 

Wat is er nodig?
  1. Idp (identity provider) met SAML 2.0 (via http-post) en kan een “trust” configureren. (bijvoorbeeld Microsoft Active Directory Federation Services (ADFS))
  2. Unieke identifier: Deze moet worden gevuld met de unieke identifier, die wij ook in Coachview gebruiken voor unieke identificatie van de personen (ExternId bij persoon). Let op: Als er een CRM (bedrijven en personen) import is, moet deze dezelfde identifier gebruiker als voor Single sign-on.
  3. ICT deskundigheid en netwerk/systeembeheerder aan jullie kant die jullie Idp kan configureren.

Belangrijke termen.
  1. Identity Provider: Dit moet jij ingericht hebben, dit is een vertrouwde partij die een digitale identiteit creëert en verstrekt aan een individu.
  2. Service Provider: Dit is Coachview, het systeem waar de jij toegang tot wil krijgen.
  3. SAML 2.0: Security Assertion Markup Language, de standaard die gebruikt wordt om de berichten tussen de Idp en de SP beveiligd te versturen.  

Wat hebben we van jou nodig?
Twee mogelijkheden:
  1. De metadata URL van jullie Idp Bijvoorbeeld voor Microsoft ADFS: https://(vul hier jou gedeelte in)/federationmetadata/2007-06/federationmetadata.xml.
  2. Of de instellingen entityID, Idp service URL en het (base64) certificaat (waarmee de response wordt ge-signed). 

Let op: als jouw certificaat verloopt en deze wordt vervangen, dan moet dit nieuwe certificaat tijdig aangeleverd worden bij de Coachview helpdesk. Het nieuwe certificaat wordt namelijk niet automatisch bij ons vervangen.
Eén claim type “Name ID”. Deze moet worden gevuld met de unieke identifier (ExternId bij persoon), die in Coachview gebruikt wordt voor unieke identificatie van de personen.
Het te gebruiken secure hash-algoritm sha-1 voor het verifiëren van de handtekening.

Stappenplan.
Wie?
Aanleveren benodigde gegevens. zie “Wat hebben wij van klant nodig”
Jij.
Activeren SAML2 authentication provider en settings inregelen Coachview.
Coachview.
Inrichten Idp.

Metadata van Coachview (serviceprovider) staat op:
  1. Live omgeving: https://secure.coachview.net/innobase/sso/saml2/ 
  2. Trainingsomgeving https://training.coachview.net/innobase/sso/saml2/

Deze kan gebruikt worden om jouw Idp (automatisch) te configureren met bijvoorbeeld voor Microsoft Active Directory Federation Services (ADFS).
Jij.
Claim Type instellen.

Deze moet worden gevuld met de unieke identifier (ExternId bij persoon), die in Coachview gebruikt wordt voor unieke identificatie van de personen.
Jij.
Het te gebruiken secure hash-algoritm sha-1 voor het verifiëren van de handtekening.
Jij.
Inrichten Coachview. Dit kan:
  1. handmatig (claim type ‘Name ID’ moet als ExternID staan in Coachview.) of
  2. via import ‘Bedrijven en Personen’ (claim type ‘Name ID’ moet als ExternID staan in Coachview.) of
  3. metadata (URL) (zie hierboven bij 'Wat hebben wij van jou nodig?).
Coachview.
Aanmaken van 1 test persoon om SSO te controleren.
Jij en Coachview.
Indien er import ‘Bedrijven en Personen’ wordt gebruikt – controleren op ExternID.

Let op: wanneer in deze import een fout in zit is deze moeilijk te corrigeren
Coachview.
Import ‘Bedrijven en Personen’.
Eind controle.
Jij en Coachview.