Handleiding
Stap 1: Maak een Azure application aan
Klik op 'Azure Active Directory'
Onder 'Enterprise applications' kan je een nieuwe 'non-gallery' application aanmaken om een SSO koppeling tot stand te brengen met ClockWise.
Onder Enterprise applications...
... Nieuwe applicatie toevoegen ...
... van het type 'Non-gallery'.
Vul een passende naam in voor de applicatie
Stap 2: Maak een SAML koppeling voor deze applicatie
Binnen deze application ga je naar 'Single sign-on' en daarna SAML om een nieuwe SAML koppeling te maken. Hierbij wordt Azure de Identity Provider (IdP) en ClockWise de Service Provider (SP).
Onder Single sign-on ...
... kan een SAML koppeling gemaakt worden, en
kopieer de Metadata Url.
Stap 3: Voeg een nieuwe authentication provider toe in ClockWise
Via configuratie → instellingen → authentication providers kan je een nieuwe authentication provider toevoegen.
Kies hiervoor externe SAML server en geef de koppeling een geschikte naam. Deze naam wordt zichtbaar voor gebruikers om in te loggen. Vul bij 'Use url' de metadata url in die je eerder gekopieerd hebt.
Na het klikken op Ophalen wordt de metadata informatie opgehaald.
Vul bij de instellingen voor de Service Provider bij Encrypt requests 'no' als waarde in. Klik op opslaan; de waarde wordt pas doorgevoerd in de metadata na het opslaan. Hierna kan de SP Metadata URL geklikt worden om de metadata file te downloaden.
Stap 4: Voeg de Metadata van ClockWise toe aan Azure
In Azure is een knop 'Upload metadata file'. Gebruik hier de file die net gedownload is.
Bij het maken van de handleiding geeft het systeem de volgende foutmelding:
The blade Extension/Microsoft_AAD_IAM/Blade/SamlBlade failed to supply all the required parameters. The missing the required parameter(s) 'signOnUrl'.
Dit is een bug in het Azure portal waarbij de signOnUrl bij het uploaden required is terwijl deze in de SAML 2.0 definities optional is. Het kan zijn dat dit is opgelost in een volgende versie van Azure.
Het is ook mogelijk het Entity ID, de ACS url, SLO url en sign On Url handmatig in te voeren. De juiste urls zijn te vinden bij de Federated Metadata van de Service Provider in ClockWise. Onderstaande urls zijn voorbeelden.
Stap 5: Maak een nieuwe claim
Na het invoeren van de metadata moet er nog een claim toegevoegd worden.
Klik op de button 'Add new claim'.
Voeg een claim toe voor uid, bijvoorbeeld voor localuserprincipalname. Dit is het veld waarmee users in ClockWise gematched worden via het veld 'loginnaam'.
Het overzicht van claims ziet er nu als volgt uit.
Stap 6: Voeg gebruikers toe aan de nieuwe Azure applicatie
Vervolgens moeten gebruikers in Azure nog toegang gegeven worden aan deze nieuwe App. Dit kan onder users and groups
Na het toekennen van de gebruiker is deze als volgt zichtbaar.
Samenvatting
- Maak een nieuwe 'non-gallery' application
- Voeg een SAML Signle-sign-on toe aan deze applicatie
- Voeg een nieuwe authentication provider toe in ClockWise
- Gebruik de metadata url uit de Single-sign-on ui Azure
- Zet 'Encrypt requests' op 'no'
- Download de metadata uit ClockWise en plaats in Azure (evt handmatig)
- Maak een nieuwe claim aan voor 'uid'
- Voeg medewerkers toe in Azure aan de nieuwe app