Single Sign-On (SSO) inrichten en gebruiken

Met Single Sign-On (SSO) kun je inloggen op de Boxwise Management Portal met je bestaande bedrijfsaccount, zoals je Google- of Microsoft-account. Dit maakt het inlogproces eenvoudiger en veiliger, omdat je geen apart wachtwoord voor Boxwise hoeft te onthouden. Je beheerder hoeft hierdoor ook geen losse accounts meer voor je aan te maken in Boxwise.

Single Sign-On (SSO) configureren

Als beheerder moet je eerst een koppeling maken tussen je eigen Identity Provider (IdP) en Boxwise. Volg hiervoor de onderstaande stappen.

Inrichting Identity Provider in Boxwise

1. Registreer Boxwise in je Identity Provider: Voordat je in Boxwise iets kunt instellen, moet je Boxwise als een nieuwe applicatie registreren binnen je eigen Identity Provider (zoals Microsoft Entra ID of Google Workspace). Tijdens dit proces ontvang je unieke gegevens die je in de volgende stap nodig hebt.
2. Open de SSO-instellingen in Boxwise: Ga in de Boxwise Management Portal naar Instellingen en klik vervolgens op Single Sign-on.
3. Vul de configuratiegegevens in: Voer de gegevens in die je van je Identity Provider hebt ontvangen.
   • Issuer: De unieke URL van de autorisatie-server van je Identity Provider.
   • Client ID: De unieke ID waarmee je Identity Provider Boxwise herkent.
   • Client Secret: Het 'wachtwoord' dat bij de Client ID hoort voor een veilige verbinding.
   • Scopes: Geef hier de scopes op die Boxwise nodig heeft. Voer minimaal openid profile email in (gescheiden door een spatie).
     • openid: Deze verplichte scope dient als het fundament van het protocol. De scope valideert dat de aanvraag een verzoek tot identiteitsverificatie is, wat cruciaal is voor de opbouw van een vertrouwensrelatie tussen de applicatie en de IdP.
     • profile: De 'profile'-scope verleent de applicatie toegang tot basisprofiel gegevens van de gebruiker. Dit kan variëren van de volledige naam en contactgegevens tot andere relevante bedrijfsinformatie die het gebruikersbeheer binnen de applicatie vergemakkelijkt.
     • email: De email scope vraagt de applicatie het e-mailadres en de verificatiestatus ervan op. Deze heeft Boxwise nodig om de gebruiker te herkennen in de Management Portal.

4. Stel de inlogmethode in: Bepaal bij Allowed authentication methods wie er kan inloggen. Je kunt kiezen voor alleen SSO, alleen de standaard inlogmethode, of beide. Let op: we raden aan om deze instelling op ALL te zetten tijdens het testen.
5. Sla de configuratie op: Nadat je alle velden hebt ingevuld, sla je de configuratie op. De "SSO Login" knop wordt nu zichtbaar op het inlogscherm.

De Redirect URL kan niet worden aangepast. Dit wordt automatisch door Boxwise gevuld en bevat de URL voor de inlogpagina van de management portal. Dit is de URL waar de Identity Provider naar navigeert na een succesvolle login.

De instelling Allow automatic session refresh for Single Sign-on users geeft aan of boxwise de sessie automatisch moet verlengen. Bij de meeste IdPs gebeurt dit met behulp van de offline_access scope. Indien deze optie uit gezet wordt zal de gebruiker zich geregeld moeten authenticeren middels SSO.

E-mailadressen vullen bij gebruikers

Als er al gebruikers zijn ingericht in Boxwise, dan is het van belang dat de e-mailadressen van de gebruikers gevuld worden. Wanneer je dit niet doet, dan zal er een nieuwe gebruiker gecreëerd als een gebruiker probeert in te loggen via SSO.

De gebruikers kunnen gevuld worden in de kolom Email op de pagina Stamgegevens > Gebruikers. 

Inloggen met Single Sign-On

Als de SSO-koppeling is geactiveerd, kun je als gebruiker inloggen met je bedrijfsaccount.

Scenario 1: Gebruiker bestaat al in Boxwise

Wanneer je al een gebruiker in Boxwise bent en jouw e-mailadres is gevuld, dan zijn dit de stappen om toegang te krijgen tot de functionaliteiten van de management portal.

1. Druk op "Inloggen met SSO" op de inlogpagina: Ga naar het inlogscherm van de Management Portal en klik op de knop Inloggen met SSO.

2. Log in bij je provider: Je wordt doorgestuurd naar de inlogpagina van je eigen organisatie (bijvoorbeeld Google of Microsoft). Log hier in met je bekende gebruikersnaam en wachtwoord.

Scenario 2: Gebruiker bestaat nog niet in Boxwise

Wanneer je nog geen gebruiker in Boxwise bent OF jouw e-mailadres is gevuld, dan zijn dit de stappen om toegang te krijgen tot de functionaliteiten van de management portal.

1. Druk op "Inloggen met SSO" op de inlogpagina: Ga naar het inlogscherm van de Management Portal en klik op de knop Inloggen met SSO.
2. Log in bij je provider: Je wordt doorgestuurd naar de inlogpagina van je eigen organisatie (bijvoorbeeld Google of Microsoft). Log hier in met je bekende gebruikersnaam en wachtwoord.
3. Neem contact op met je beheerder: Na een succesvolle login word je teruggestuurd naar Boxwise en zie je de melding: “Contact your boxwise administrator”. Dit is een normale stap. Er is nu automatisch een gebruikersaccount voor je aangemaakt, maar deze heeft nog geen rechten.
4. Wacht op toewijzing van rechten: Je Boxwise-beheerder moet je nieuwe account nu handmatig toevoegen aan de juiste zone om je toegang te verlenen.

5. Log opnieuw in: Zodra de beheerder je rechten heeft gegeven, kun je opnieuw inloggen via de SSO Login knop om Boxwise te gebruiken.

Belangrijke aandachtspunten

• Eigen verantwoordelijkheid: Je organisatie is zelf verantwoordelijk voor de correcte configuratie, het beheer en de veiligheid van de SSO-koppeling. Boxwise biedt geen ondersteuning bij het inrichten van je Identity Provider.
• Twee-factorauthenticatie (2FA): Boxwise kan niet afdwingen of controleren of 2FA wordt gebruikt. Dit moet je volledig binnen je eigen Identity Provider instellen.
• Beperkingen: Boxwise ondersteunt één Identity Provider per installatie. Het gebruik van meerdere domeinen binnen één installatie wordt niet ondersteund.
• Protocol: De koppeling werkt uitsluitend met Identity Providers die het OpenID Connect (OIDC) protocol via de Authorization Code Flow ondersteunen.