Naar de hoofdinhoud
Google als Identity Provider

Single SIgn On | SSO | IDP | Google | IAM | Identity & Access Management

Meer dan een jaar geleden bijgewerkt

Met haar Identity & Access Management (IAM) platform biedt Carerix de mogelijkheid voor het opzetten van Single Sign On. Het platform heeft mogelijkheden met verschillende identity providers (IDP) voor gebruikers authenticatie. In dit artikel zetten we stap voor stap uiteen hoe dit werkt met Google.

Instellen van een OpenID Connect Applicatie in OKTA en een Identity Provider in Carerix

Carerix en Google moeten parallel aan elkaar worden geconfigureerd. Zorg ervoor dat je beheerdersrechten hebt voor zowel Carerix als Google.


➕ 1. Maak een nieuwe Identity Provider aan in Carerix

  1. Login in Carerix en open in de onderhoudssectie van het linkermenu het Identiteitsbeheermenu.

  2. Open de Identity Provider tab

  3. Klik op de optie 'Idenitty Provider toevoegen' boven aan de pagina. Selecteer 'Google'.

  4. Vul de 'Alias' in met een waarde naar keuze. Na het opslaan van de Identity Provider is het niet meer mogelijk om de alias te wijzigen.

  5. Zie dat met het invullen van de alias ook de omleiding-URL wordt aangemaakt. Kopieer deze meteen, we hebben hem later nodig in Google.

  6. Zet de optie Actief op JA

  7. Zet de optie Automatisch Omleiden op NEE

  8. Kies een weergavenaam. Advies: Google SSO. Dit kun je later eventueel nog aanpassen.

  9. Gsuite domein: vul hier je Gsuitedomeinnaam in.

  10. Dan tot slot: sluit de Idenity Provider setup niet af. Laat hem gewoon open staan en ga verder in een nieuwe tab met het opzetten van je Google applicatie.

➕ 2. Maak een nieuwe applicatie aan in Google

Login op de Google Development Console. Hier gaan we de Google API's gereedmaken om met Carerix te werken.

Klik op de dropdown dicht in de buurt van het Google API's of Google Cloud logo:

Select project from Google Apis dashboard

Klik vervolgens in het nieuw geopende dialoogvensen rechtsboven op 'New Project'

Create new project on Google Apis

In het vervolgens nieuw geopende scherm kies je een passende projectnaam, selecteer je de juiste organisatie en klikt vervolgens op 'Create'

Choose name and organization

Je wordt nu doorgestuurd naar een pagina zoals op het volgende screenshot is afgebeeld. Scroll verder naar beneden naar de 'Getting Started' sectie en klik op 'Explore and Enable APIs'

Project dashboard Google Api

Op de volgende pagina klik je op 'Credentials' in het menu aan de linkerzijde:

Click on Credentials

De Google Developers Console herrinnert je er aan dat je het toestemmingsscherm (of 'consent screen' nog moet configureren. Dit is verplicht voor onze integratie en het bepaalt feitelijk wat gebruikers te zien krijgen wanneer ze vanuit Carerix door worden gestuurd naar Google om in te loggen. Klik op de knop 'Configure Consent Screen':

Configure consent screen

Omdat Identity Providers enkel werken voor geactiveerde (en juist ingestelde!) gebruikers in Carerix selecteer je in het volgende scherm 'internal'. Indien je om wat voor reden dan ook wil dat elk willekeurig Google account gebruik moet kunnen maken van je Google SSO voor Carerix dan selecteer je hier 'External'.

OAuth consent screen

Op de volgende pagina staat een hele lijst aan instellingen. Stel ze als volgt in:

  • App name: Willekeurige naam die je wenst te geven aan de Google Applicatie. Aangezien je deze applicatie opzet voor SSO met Carerix adviseren we om hier te kiezen voor Carerix, CarerixSSO of iets soortgelijks.

  • User support email: selecteer hier het juiste adres.

  • App logo: is optioneel. Upload je logo hier, het zal worden getoond in het Google Toestemmingsscherm.

  • Application homepage: vul hier je Carerix applicatienaam in --> https://customer.carerix.net (vervang customer door je eigen appnaam)

  • Application Privacy Policy link: https://carerix.com/carerix-5-privacy-statement/

  • Authorized domain: klik hier op 'Add Domain' en voeg carerix.net en carerix.com toe.

  • Developer contact information: het emailadres van degene verantwoordelijk voor de configuratie van de google applicatie.

Wanneer alles is ingevuld klik je op opslaan. Je hebt nu succesvol een Google applicatie opgezet die kan worden gebruikt als Identity Provider.

🔐 3. Maak een ClientID en een Clientsecret aan voor je Google Applicatie

Om Carerix te kunnen laten praten met Google zullen we het specifieke ID van de applicatie en een geavanceerd wachtwoord - ook wel 'key' of 'secret' genoemd - moeten genereren. Klik hiervoor op het 'Credentials' menu aan de linkerkant:

Click on Credentials

Klik op 'Create Credentials':

Create credentials

Vervolgens kies je 'OAuth client ID':

Create OAuth client ID

Dan selecteer je 'Web Application' als type applicatie. Voeg een naam toe voor die applicatie (optioneel). Onder Authorized redirect URIs voeg je de omleidings URL toe die je in stap 1 van dit artikel in Carerix gekopieerd hebt. Klik tot slot op 'Create':

Je hebt nu succesvol een ClientID en een ClientSecret gegenereerd. Beiden zullen in Carerix moeten worden ingevoerd in de Identity Provider.

🏁 4. Laatste wijzigingen aan Identity Provider instellingen in Carerix

Ga nu terug naar Carerix en de Identity Provider Setup zoals behandeld in stap 1 van dit artikel. Als het goed is staat die nog open. Kopieer de clientID en clientSecret in de corresponderende velden in Carerix.

Fill in the Client ID and Client Secret

Explanation of the Identity Provider fields for Google in Carerix:

  • Alias - dit is een verplicht veld dat niet kan worden gewijzigd nadat de Identity Provider voor de eerste keer is opgeslagen. Het wordt gebruikt in de omleidings URL. Het op een later tijdstip wijzigen van de alias betekent dat de omleidings URL wijzigt en dus ook de Google configuratie. Welke alias je kiest staat je vrij. Wij adviseren zoiets als 'google' of 'googlessO'.

  • Actief - geeft aan of deze identiteitsprovider beschikbaar is voor gebruik of niet

  • Automatisch omleiden - geeft aan of gebruikers automatisch worden doorgestuurd naar Google inloggen wanneer ze klant.carerix.net bezoeken. Let op: wij adviseren om deze instelling uit te laten staan gedurende de initiële setup van SSO totdat er succesvol is getest met het inloggen. Deze instellingen kan altijd worden gewijzigd.

  • Weergavenaam - het button label voor deze IDP zoals gebruikt zal worden op de Carerix login pagina.

  • Gsuite domain - je GSuite domeinnaam.

  • ClientID - gebruik de clientID zoals gegenereerd in je Google applicatie (zie stap 3)

  • ClientSecret - gebruik het geavanceerde wachtwoord zoals je die in stap 3 gegenereerd hebt voor je Google Applicatie. Let op: wanneer je kopieert/plakt dat je niet per ongeluk een extra spatie mee kopieert. Wanneer dit wel gebeurt resulteert dat in een ongeldig wachtwoord en zal de SSO op basis van deze IDP niet werken.

  • Omleidings URL - wordt automatisch gegenereerd wanneer het alias veld wordt ingevuld. De omleidings URL moet worden gekopieerd en verwerkt in de Google applicatie (zie stap 2).


📛 5. Pas de gebruikersnamen aan in Carerix

Tot slot is het noodzakelijk dat alle gebruikers in Carerix die je wilt laten inloggen met gebruik van hun Google / GSuite account een aangepaste gebruikersnaam krijgen in Carerix. Om Google de gebruikers te laten herkennen stel je de gebruikersnamen in gelijk aan hun gebruikersnaam (=emailadres) in Google.

Was dit een antwoord op uw vraag?