Versie: 1.0 Datum: 13 oktober 2017 support@zivver.com www.zivver.com
Inhoudsopgave Inhoudsopgave... 2 1. Inleiding... 3 2. Wat heb je nodig?... 3 3. SSO instellen in Okta... 3 4. SSO instellen in ZIVVER... 5 5. Authentication Context... 6 6. Inloggen in de webapp met SSO... 6 7. Inloggen in Outlook met SSO... 6 2
1. Inleiding ZIVVER ondersteunt Single Sign-On (SSO) via Okta, zodat gebruikers met de inloggegevens van hun werkplek in ZIVVER kunnen inloggen. Deze handleiding legt uit hoe je als beheerder SSO activeert. SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. Hierbij is Okta de Identity Provider (IdP) en ZIVVER de Service Provider (SP). 2. Wat heb je nodig? Om SSO in ZIVVER te kunnen activeren, heb je de volgende zaken nodig: 1. Je bent beheerder in ZIVVER. 2. Je hebt toegang tot Beheer/Admin in Okta. (https://[organisatie]-admin.okta.com/admin/dashboard) 3. SSO instellen in Okta De eerste stap is om SSO in Okta in te stellen. 1. Log in op Okta. 2. Ga naar het Admin dashboard. 3. Ga naar Applications. 4. Voeg een nieuwe applicatie toe via Add Application. 5. Maak een nieuwe applicatie aan via Create New App. 6. Stel Platform in op Web. 7. Stel Sign on method in op SAML 2.0. 8. Klik op Create. 9. Geef als App name op ZIVVER. 10. Download onderstaand logo. 11. Upload dit logo. Klik op Upload Logo. 12. Klik op Next. 13. Schakel Use this for Recipient URL and Destination URL uit. 14. Vul de volgende gegevens in: Instelling Single sign on URL Recipient URL Destination URL Audience URI (SP Entity ID) Default RelayState Name ID format Application username Waarde https://app.zivver.com/api/sso/saml/consumer/ https://app.zivver.com/saml/zivver https://app.zivver.com/api/sso/saml/consumer/ https://app.zivver.com/saml/zivver Leeg EmailAddress Email 15. Klik op Show Advanced Settings. 3
16. Vul de volgende gegevens in: Instelling Response Assertion Signature Signature Algorithm Digest Algorithm Assertion Encryption Enable Single Logout Authentication context class Honor Force Authentication SAML Issuer ID Waarde Signed Signed RSA-SHA256 SHA256 Unencrypted Leeg PasswordProtectedTransport Yes http://www.okta.com/${org.externalkey} 17. Ga naar de sectie Attribute Statements (optional). 18. Vul de volgende gegevens in: Name Value https://zivver.com/saml/attributes/zivveraccountkey user.id urn:oid:2.5.4.42 user.displayname urn:oid:2.5.4.20 user.mobilephone urn:oid:2.5.4.3 user.firstname 19. Klik op Next. 20. Stel Are you a customer or partner? in op I m an Okta customer adding an internal app. 21. Vul eventueel de optionele vragen in. 22. Klik op Finish. 23. Download de Identity Provider metadata. Deze gebruik je in het volgende hoofdstuk om SSO in ZIVVER in te stellen. 24. Ga naar Assignments. 25. Wijs de ZIVVER-applicatie toe aan personen/groepen. 26. Okta is nu correct ingesteld voor SSO in ZIVVER. 4
4. SSO instellen in ZIVVER De laatste stap is om SSO in ZIVVER in te stellen. Dit doe je in de webapp van ZIVVER: https://app.zivver.com. Log hier in als beheerder. 1. Klik linksonder op de knop. Je komt dan in de organisatie-instellingen [1]. 2. Ga naar de pagina Single sign-on [2]. 3. Klik op het schuifje bij Zet Single Sign-On met SAML aan [3]. 4. Open de Identity Provider metadata die je uit Okta hebt gedownload. 5. Plak de inhoud van Identity Provider metadata in het tekstvak op de pagina [4]. 6. Klik op Opslaan. 7. SSO is nu ingesteld en klaar voor gebruik. Let op: als je SSO inschakelt, zal ZIVVER vanaf dat moment altijd proberen via SAML in te loggen. Het is daarom verstandig om SSO tijdelijk weer uit te schakelen tot je aan de IdP-kant alles goed ingesteld hebt. Gebruikers die al ingelogd zijn, blijven wel gewoon ingelogd als je SSO inschakelt. 5
5. Authentication Context Een ZIVVER-account is standaard beveiligd met een extra inlogcode (MFA). Ook bij het inloggen via SSO is een MFA vereist. Okta geeft de Authentication Context mee aan ZIVVER. Afhankelijk van de Authentication Context vraagt ZIVVER bij het inloggen wel of niet om een MFA. Bij de volgende Authentication Context vraagt ZIVVER bij het inloggen niet om een MFA: urn:oasis:names:tc:saml:2.0:ac:classes:kerberos urn:federation:authentication:windows Bij de volgende Authentication Context vraagt ZIVVER bij het inloggen wel om een MFA: urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport urn:oasis:names:tc:saml:2.0:ac:classes:passwordtekst 6. Inloggen in de webapp met SSO In de webapp log je op de volgende manier in met SSO: 1. Ga naar https://app.zivver.com. 2. Vul je e-mailadres in. 3. Wat is je rol in ZIVVER? a. Gebruiker: je wordt direct omgeleid naar het inlogscherm van je organisatie. b. Beheerder: je hebt de keuze om in te loggen met je ZIVVERwachtwoord, of je werkplekinloggegevens. 4. Log in met de werkplekinloggegevens van je organisatie. 5. Afhankelijk van de meegegeven Authentication Context word je wel of niet gevraagd om een MFA. 6. Je komt nu in je online veilige postvak waar je veilige berichten kunt versturen. 7. Inloggen in Outlook met SSO In de ZIVVER Office plug-in in Outlook log je op de volgende manier in met SSO: 1. Ga naar het ZIVVER-menu en klik op Accounts beheren. 2. Klik op de link Voeg een account toe. 3. Selecteer het mailadres waarmee je wilt inloggen. 4. Klik op Ja, ik wil nu inloggen. 5. Je wordt nu omgeleid naar het inlogscherm van je organisatie. 6. Log in met de werkplekinloggegevens van je organisatie. 7. Afhankelijk van de meegegeven Authentication Context word je wel of niet gevraagd om een MFA. 6
8. Je bent nu ingelogd in Outlook en kunt veilig mailen met behulp van de ZIVVER-werkbalk. 7