Single Sign On with Azure

Het is mogelijk Microsoft Azure Activce Directory te gruiken als Identity provider voor het inloggen bij ClockWise. ClockWise is dan de Service Provider. Medewerkers in ClockWise hebben dezelfde code als in Azure; medewerkers moeten wel op beide plekken aangemaakt zijn.

  • Maak een nieuwe 'non-gallery' application
  • Voeg een SAML Signle-sign-on toe aan deze applicatie
  • Voeg een nieuwe authentication provider toe in ClockWise
  • Gebruik de metadata url uit de Single-sign-on ui Azure
  • Zet 'Encrypt requests' op 'no'
  • Download de metadata uit ClockWise en plaats in Azure (evt handmatig)
  • Maak een nieuwe claim aan voor 'uid'
  • Voeg medewerkers toe in Azure aan de nieuwe app

---

Single sign on met Azure Stap voor stap

Maak een Azure application aan

Klik op 'Azure Active Directory'

Onder 'Enterprise applications' kan je een nieuwe 'non-gallery' application aanmaken om een SSO koppeling tot stand te brengen met ClockWise.

Onder Enterprise applications

Nieuwe applicatie toevoegen

Van het type 'Non-gallery'

Vul een passende naam in voor de applicatie

Maak een SAML koppeling voor deze applicatie

Binnen deze application ga je naar 'Single sign-on' en daarna SAML om een nieuwe SAML koppeling te maken. Hierbij wordt Azure de Identity Provider (IdP) en ClockWise de Service Provider (SP).

Onder Single sign-on

Kan een SAML koppeling gemaakt worden

Kopieer de Metadata Url

Voeg een nieuwe authentication provider toe in ClockWise

Via configuratieinstellingenauthentication providers kan je een nieuwe authentication provider toevoegen.

Kies hiervoor externe SAML server en geef de koppeling een geschikte naam. Deze naam wordt zichtbaar voor gebruikers om in te loggen. Vul bij 'Use url' de metadata url in die je eerder gekopieerd hebt.

Na het klikken op Ophalen wordt de metadata informatie opgehaald

Vul bij de instellingen voor de Service Provider bij Encrypt requests 'no' als waarde in. Klik op opslaan; de waarde wordt pas doorgevoerd in de metadata na het opslaan. Hierna kan de SP Metadata URL geklikt worden op de metadata file te downloaden.

Voeg de Metadata van ClockWise toe aan Azure

In Azure is een knop 'Upload metadata file'. Gebruik hier de file die net gedownload is.

Bij het maken van de handleiding geeft het systeem de volgende foutmelding:
The blade Extension/Microsoft_AAD_IAM/Blade/SamlBlade failed to supply all the required parameters. The missing the required parameter(s) 'signOnUrl'.
Dit is een bug in het Azure portal waarbij de signOnUrl bij het uploaden required is terwijl deze in de SAML 2.0 definities optional is. Het kan zijn dat dit is opgelost in een volgende versie van Azure.

Het is ook mogelijk het Entity ID, de ACS url, SLO url en sign On Url handmatig in te voeren. De juiste urls zijn te vinden bij de Federated Metadata van de Service Provider in ClockWise. Onderstaande urls zijn voorbeelden.

Maak een nieuwe claim

Na het invoeren van de metadata moet er nog een claim toegevoegd worden.

Klik op de button 'Add new claim'

Voeg een claim toe voor uid, bijvoorbeeld voor localuserprincipalname. Dit is het veld waarmee users in ClockWise gematched worden via het veld 'loginnaam'.

Het overzicht van claims ziet er nu als volgt uit.

Voeg gebruikers toe aan de nieuwe Azure applicatie

Vervolgens moeten gebruikers in Azure nog toegang gegeven worden aan deze nieuwe App. Dit kan onder users and groups

Na het toekennen van de gebruiker is deze als volgt zichtbaar.