Single Sign-On (SSO) in samenwerking met Microsoft Azure AD
Met Pluvo kun je gemakkelijk Single Sign-On (SSO) instellen voor jouw academie. In dit artikel leggen we uit hoe je de gegevens kunt opvragen in Microsoft Azure AD
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben voor Microsoft Azure AD en een Company abonnement bij Pluvo.
Klik op Azure Active Directory
Ga naar de juiste tenant
Ga naar de App registrations.
Het is ook mogelijk om een enterprise application aan te maken, Kies daar voor “Register an application to integrate with Azure AD (App you’re developing)” De velden zijn hetzelfde als stap 4. Vervolg daarna stap 5.
Klik op ' New registration' en maak een nieuwe App aan met de
volgende gegevens.
Naam van App [Kies een duidelijk naam]
Account types: Single tenant
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een
duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later
nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameter vanuit Pluvo naar Microsoft Azure AD
(Deze parameter vind je bij het Beheer > instellingen onder 'SSO & LTI'.
Bijvoorbeeld:
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.co/oidc/callback/
In dit scherm kun je de volgende velden invullen:
Nu kan je deze app registreren. Na het registeren kom je op de App overzichtspagina.
Hier vind je de [1] Application client ID en [2] Directory (tenant) ID.
Let op: Zorg ervoor dat je een kopie maakt van de client ID en de Directory (tenant) ID, aangezien je deze later nodig hebt bij de Pluvo SSO-instellingen.
We gaan nu naar het menu 'Certificates en Secrets' in de zojuist aangemaakte app.
Maak een nieuwe Client Secret aan en geef deze een beschrijving.
Stel in dat de 'Secret' nooit verloopt.
Kopieer daarna de value van het zojuist aangemaakte [3] Secret.
Let op: deze secret heb je later nodig hebt bij de Pluvo SSO-instellingen.
Navigeer naar 'API Permissions' en maak een nieuwe permissie aan door te klikken op 'Toevoegen' [Add a permission].
Selecteer 'Microsoft Graph' en vervolgens 'Delegated permissions'. Vink vervolgens 'email' en 'openid' aan in de lijst en voeg ze toe door op de knop
'Permissie toevoegen' te klikken.
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden
vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
Client ID
Directory (tenant ID)
Secret
OAuth Client id = ..... [Deze heb je hierboven verkregen]
OAuth Client secret = ....... [Deze heb je hierboven verkregen]
De volgende velden zijn altijd identiek voor Microsoft Azure. Vul echter de tenant-ID in die je in de bovenstaande stappen hebt verkregen op de daarvoor bestemde plaats.
Authorization endpoint: https://login.microsoftonline.com/[Tenant ID]/oauth2/v2.0/authorize
Token endpoint: https://login.microsoftonline.com/[Tenant ID]/oauth2/v2.0/token
User endpoint: https://graph.microsoft.com/oidc/userinfo
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: https://login.microsoftonline.com/[Tenant ID]/discovery/v2.0/keys
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief".
Daarna kunnen je gebruikers probleemloos inloggen via SSO!
Let op: Check bij het testen van de koppeling als ADMIN dat je e-mail adres ingevuld staat bij je profiel. Als dit niet het geval is kan je niet inloggen. Pluvo heeft namelijk een e-mailadres nodig om te kunnen werken.
<https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/MsGraphUsers>
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben voor Microsoft Azure AD en een Company abonnement bij Pluvo.
Instellingen in je Azure AD portal
Klik op Azure Active Directory
Ga naar de juiste tenant
Ga naar de App registrations.
Het is ook mogelijk om een enterprise application aan te maken, Kies daar voor “Register an application to integrate with Azure AD (App you’re developing)” De velden zijn hetzelfde als stap 4. Vervolg daarna stap 5.
Klik op ' New registration' en maak een nieuwe App aan met de
volgende gegevens.
Naam van App [Kies een duidelijk naam]
Account types: Single tenant
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een
duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later
nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameter vanuit Pluvo naar Microsoft Azure AD
(Deze parameter vind je bij het Beheer > instellingen onder 'SSO & LTI'.
Bijvoorbeeld:
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.co/oidc/callback/
In dit scherm kun je de volgende velden invullen:
Nu kan je deze app registreren. Na het registeren kom je op de App overzichtspagina.
Hier vind je de [1] Application client ID en [2] Directory (tenant) ID.
Let op: Zorg ervoor dat je een kopie maakt van de client ID en de Directory (tenant) ID, aangezien je deze later nodig hebt bij de Pluvo SSO-instellingen.
Certificates en secrets
We gaan nu naar het menu 'Certificates en Secrets' in de zojuist aangemaakte app.
Maak een nieuwe Client Secret aan en geef deze een beschrijving.
Stel in dat de 'Secret' nooit verloopt.
Kopieer daarna de value van het zojuist aangemaakte [3] Secret.
Let op: deze secret heb je later nodig hebt bij de Pluvo SSO-instellingen.
API permissions
Navigeer naar 'API Permissions' en maak een nieuwe permissie aan door te klikken op 'Toevoegen' [Add a permission].
Selecteer 'Microsoft Graph' en vervolgens 'Delegated permissions'. Vink vervolgens 'email' en 'openid' aan in de lijst en voeg ze toe door op de knop
'Permissie toevoegen' te klikken.
Klaar!
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden
vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
Client ID
Directory (tenant ID)
Secret
Pluvo SSO instellingen
OAuth Client id = ..... [Deze heb je hierboven verkregen]
OAuth Client secret = ....... [Deze heb je hierboven verkregen]
De volgende velden zijn altijd identiek voor Microsoft Azure. Vul echter de tenant-ID in die je in de bovenstaande stappen hebt verkregen op de daarvoor bestemde plaats.
Authorization endpoint: https://login.microsoftonline.com/[Tenant ID]/oauth2/v2.0/authorize
Token endpoint: https://login.microsoftonline.com/[Tenant ID]/oauth2/v2.0/token
User endpoint: https://graph.microsoft.com/oidc/userinfo
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: https://login.microsoftonline.com/[Tenant ID]/discovery/v2.0/keys
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief".
Daarna kunnen je gebruikers probleemloos inloggen via SSO!
SSO koppeling testen
Let op: Check bij het testen van de koppeling als ADMIN dat je e-mail adres ingevuld staat bij je profiel. Als dit niet het geval is kan je niet inloggen. Pluvo heeft namelijk een e-mailadres nodig om te kunnen werken.
<https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/MsGraphUsers>
Bijgewerkt op: 29/02/2024
Dankuwel!