Single Sign-On (SSO) in samenwerking met Google Workspace
Met Pluvo kun je gemakkelijk Single Sign-On (SSO) instellen voor jouw academie. In dit artikel leggen we uit hoe je de gegevens kunt opvragen in Google workspace.
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben in Google Workspace en een Company abonnement in Pluvo.
Laten we beginnen door een OAuth-client-ID aan te maken:
Ga naar <https://console.cloud.google.com/apis/credentials> en kies bij '**+ gegevens'** maken voor Client-ID OAuth.
Vervolgens kies je voor Webapplicatie:
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameters vanuit Pluvo naar Google Workspace.
(Deze parameters vind je bij het Beheer > instellingen onder 'SSO & LTI'.
Bijvoorbeeld:
Geautoriseerde JavaScript-bronnen: https:// jouwsubdomein. pluvo.co/
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.co/oidc/callback/
In dit scherm kun je de volgende velden invullen:
Nadat je dit hebt opgeslagen, verschijnt er een pop-up met je client-ID en geheime sleutel (secret).
Let op: Zorg ervoor dat je een kopie maakt, aangezien je de client ID en client secret gegevens later nodig hebt bij de Pluvo SSO-instellingen.
De volgende stap is om een toestemming scherm aan te maken in Google
workspace, zodat gebruikers akkoord kunnen gaan met de SSO-login.
Ga naar [https://console.cloud.google.com/apis/credentials/consent]() en vul de volgende gegevens in:
Type : Intern
Appnaam : [Geef een duidelijk naam]
App-logo : [Kies een afbeelding]
E-mail: [Persoon die verantwoordelijk is voor het ondersteunen van gebruikers]
Bereik Google API: email, profile, openID,[https://www.googleapis.com/auth/admin.directory.group.readonly](https://www.googleapis.com/auth/admin.directory.group.member.readonly)
Voeg alleen de https://www.googleapis.com/auth/admin.directory.readonly scope toe als je groepsinformatie mee wilt krijgen
Gemachtigde domeinen: pluvo.co
Links: [Deze kun je leeg laten]
Daarna kan het opgeslagen worden en ben je klaar met de aanpassingen in je Google cloud platform.
Als je de scope https://www.googleapis.com/auth/admin.directory.group.readonly bij de vorige stap hebt ingevuld dan moeten we ook toegang regelen in de Google Admin van je workspace
Ga naar <https://admin.google.com/ac/owl/list?tab=apps> en configureer een nieuw app. Je geeft de OAuth Client ID op, vervolgens zie je daar je App terug
komen. Kies voor deze app en kies 'selecteren'. Vervolgens geef je toegang tot alle services.
Klaar! Nu kunnen je gebruikers inloggen en worden ze automatisch toegevoegd aan een groep waar ze ook in zitten in Workspace. Op deze manier kun je de gebruikers direct de relevante leerlijnen aanbieden.
Let op: Voer stap 3 pas uit nadat je stap 2 hebt voltooid. We halen namelijk direct na stap 3 alle groepen op uit je Workspace, en daarvoor hebben we de juiste permissies nodig.
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
OAuth Client id = ..... [Deze heb je hierboven verkregen bij de OAth client ID]
OAuth Client secret = ....... [Deze heb je hierboven verkregen bij de OAth client ID]
De volgende velden zijn altijd hetzelfde voor google workspace:
Authorization endpoint: <https://accounts.google.com/o/oauth2/v2/auth>
Token endpoint: <https://oauth2.googleapis.com/token>
User endpoint:<https://openidconnect.googleapis.com/v1/userinfo>
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: <https://www.googleapis.com/oauth2/v3/certs>
Als je wilt dat groepsinformatie wordt meegestuurd en gebruikers automatisch aan dezelfde groepen worden toegevoegd in Pluvo als in Workspace, vul dan de
volgende link in bij de scope, achter "openid email" (dit is dezelfde scope als bij het OAuth-toestemmingsscherm: <https://www.googleapis.com/auth/admin.directory.group.readonly>
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief".
Daarna kunnen je gebruikers probleemloos inloggen via SSO!
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben in Google Workspace en een Company abonnement in Pluvo.
Stap 1: Instellingen in Google cloud platform
Laten we beginnen door een OAuth-client-ID aan te maken:
OAuth 2.0 client
Ga naar <https://console.cloud.google.com/apis/credentials> en kies bij '**+ gegevens'** maken voor Client-ID OAuth.
Vervolgens kies je voor Webapplicatie:
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameters vanuit Pluvo naar Google Workspace.
(Deze parameters vind je bij het Beheer > instellingen onder 'SSO & LTI'.
Bijvoorbeeld:
Geautoriseerde JavaScript-bronnen: https:// jouwsubdomein. pluvo.co/
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.co/oidc/callback/
In dit scherm kun je de volgende velden invullen:
Nadat je dit hebt opgeslagen, verschijnt er een pop-up met je client-ID en geheime sleutel (secret).
Let op: Zorg ervoor dat je een kopie maakt, aangezien je de client ID en client secret gegevens later nodig hebt bij de Pluvo SSO-instellingen.
OAuth-toestemmingsscherm
De volgende stap is om een toestemming scherm aan te maken in Google
workspace, zodat gebruikers akkoord kunnen gaan met de SSO-login.
Ga naar [https://console.cloud.google.com/apis/credentials/consent]() en vul de volgende gegevens in:
Type : Intern
Appnaam : [Geef een duidelijk naam]
App-logo : [Kies een afbeelding]
E-mail: [Persoon die verantwoordelijk is voor het ondersteunen van gebruikers]
Bereik Google API: email, profile, openID,[https://www.googleapis.com/auth/admin.directory.group.readonly](https://www.googleapis.com/auth/admin.directory.group.member.readonly)
Voeg alleen de https://www.googleapis.com/auth/admin.directory.readonly scope toe als je groepsinformatie mee wilt krijgen
Gemachtigde domeinen: pluvo.co
Links: [Deze kun je leeg laten]
Daarna kan het opgeslagen worden en ben je klaar met de aanpassingen in je Google cloud platform.
Stap 2: Instellingen bij Google workspace als je ook groepsinformatie wilt doorgeven aan Pluvo
Als je de scope https://www.googleapis.com/auth/admin.directory.group.readonly bij de vorige stap hebt ingevuld dan moeten we ook toegang regelen in de Google Admin van je workspace
App-toegangscontrole instellen
Ga naar <https://admin.google.com/ac/owl/list?tab=apps> en configureer een nieuw app. Je geeft de OAuth Client ID op, vervolgens zie je daar je App terug
komen. Kies voor deze app en kies 'selecteren'. Vervolgens geef je toegang tot alle services.
Klaar! Nu kunnen je gebruikers inloggen en worden ze automatisch toegevoegd aan een groep waar ze ook in zitten in Workspace. Op deze manier kun je de gebruikers direct de relevante leerlijnen aanbieden.
Let op: Voer stap 3 pas uit nadat je stap 2 hebt voltooid. We halen namelijk direct na stap 3 alle groepen op uit je Workspace, en daarvoor hebben we de juiste permissies nodig.
Stap 3: Pluvo SSO instellingen
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
OAuth Client id = ..... [Deze heb je hierboven verkregen bij de OAth client ID]
OAuth Client secret = ....... [Deze heb je hierboven verkregen bij de OAth client ID]
De volgende velden zijn altijd hetzelfde voor google workspace:
Authorization endpoint: <https://accounts.google.com/o/oauth2/v2/auth>
Token endpoint: <https://oauth2.googleapis.com/token>
User endpoint:<https://openidconnect.googleapis.com/v1/userinfo>
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: <https://www.googleapis.com/oauth2/v3/certs>
Als je wilt dat groepsinformatie wordt meegestuurd en gebruikers automatisch aan dezelfde groepen worden toegevoegd in Pluvo als in Workspace, vul dan de
volgende link in bij de scope, achter "openid email" (dit is dezelfde scope als bij het OAuth-toestemmingsscherm: <https://www.googleapis.com/auth/admin.directory.group.readonly>
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief".
Daarna kunnen je gebruikers probleemloos inloggen via SSO!
Bijgewerkt op: 29/12/2023
Dankuwel!