Het Carerix Identity & Access Management platform biedt mogelijkheden om een Single Sign-on te realiseren op basis van verschillende identiteitsproviders. In dit artikel vind je een stappenplan voor het opzetten van een identity provider op basis van SAML 2.0 of ADFS.
Setup van je ADFS/SAML Applicatie
Voordat je in Carerix aan de slag gaat, zorg je ervoor dat er een ADFS/SAML applicatie klaar is voor gebruik.
👥Gebruikersnamen in Carerix
Om tot een succesvolle integratie van je Single Sign-on op basis van SAML of ADFS te komen is het noodzakelijk dat alle gebruikersnamen in Carerix gelijk zijn aan het emailadres waarmee de gebruikers geregistreerd staan in de SAML of ADFS applicatie die je gaat gebruiken.
🛠️Setup ADFS / SAML in Carerix
🔹1. Als Carerix beheerder, ga je naar het Identiteitsbeheer-menu, in de onderhoudssectie van het hoofdmenu aan de linkerzijde.
🔹2. Nadat je het menu hebt geopend: kies je in het hoofdscherm voor de Identiteitsproviders-tab
🔹3. Klik nu aan de bovenkant van het overzicht op 'Identity Provider toevoegen'
🔹4. In het drop-down menu selecteer je de optie ADFS/SAML
🔹5. Aan de rechterkant van het scherm opent nu een menu waarin je de configuratie van je ADFS of SAML kunt doen.
🔹6. Import/upload het metadatabestand dat je vanuit je SAML / ADFS applicatie kunt downloaden. Dit doe je door op de knop 'Bestand kiezen' te klikken en het juiste bestand op je machine te kiezen.
🔹7. Vul een 'Alias' in - Let op: deze kan achteraf niet worden gewijzigd.
🔹8. Kies of je het inloggen middels SAML of ADFS toe wilt staan. Er zal een extra knop zichtbaar worden op het Carerix inlogscherm.
🔹9. Selecteer een 'weergavenaam' - de weergavenaam zal worden gebruikt in de knop die zal worden toegevoegd aan je inlogscherm. Deze waarde kan op ieder moment nog gewijzigd worden.
🔹10. Geef bij 'valideer certificaatondertekening' aan of de ondertekening van de certificaten moet worden gevalideerd voor elke authenticatieaanvraag. Wanneer je hier voor JA kiest, moet je je realiseren dat zodra de handtekening is verlopen, inloggen op Carerix niet meer mogelijk is. Om te voorkomen dat gebruikers buitengesloten worden van Carerix, moeten het certificaat en de ondertekening en de bijbehorende metadata in Carerix vernieuwd worden voordat ze verlopen.
🔹11. Laat 'Automatisch Omleiden' in eerste instantie nog even op 'Nee' staan totdat je succesvol bent ingelogd met je SAML/ADFS setup. Wanneer het inloggen met SAML of ADFS is gelukt, kan deze instelling op 'Ja' worden gezet. In dat geval zal het Carerix loginscherm worden overgeslagen en worden gebruikers automatisch doorgestuurd naar de SAML of ADFS omgeving om te authenticeren.
🔹12. 'Authn-verzoek moet wordne ondertekend' - de waarde van deze instelling is afhankelijk van de instellingen in je SAML of ADFS applicatie.
🔹13. 'Assertion moet worden ondertekend'- de waarde van deze instelling is afhankelijk van de instellingen in je SAML of ADFS applicatie.
🔹14. 'Assertion moet worden gecodeerd' - de waarde van deze instelling is afhankelijk van de instellingen in je SAML of ADFS applicatie.
🔹15. Klik op 'Bewaar' om de setup af te ronden en op te slaan.
🔹16. In het overzicht staat nu je zojuist ingestelde identity provider. Klik er op om de setup opnieuw te openen. Merk op dat de Metadata-URL nu wordt weergegeven.
🔹17. Kopieer de metadata-url en leg deze vast in je ADFS of SAML applicatie
🔹18. Log nu uit van Carerix en probeer opnieuw in te loggen via de nieuw toegoegde knop voor inloggen met ADFS of SAML.