Dit artikel legt uit hoe je een Single Sign-ON (SSO) provider instelt in Coachview door gebruik te maken van OpenID Connect. Met Single Sign-On (SSO) kunnen gebruikers inloggen via een externe identiteitsprovider, zoals Microsoft Entra ID, Google of een andere OpenID Connect (OIDC)-provider.
Configureren
Open de volgende pagina:
{jouw gebruikers domein}.coachview.com/auth/admin/providers en log in met jouw gebruikersnaam en wachtwoord.
Klik op de knop '+ PROVIDER TOEVOEGEN' en vul onderstaande gegevens in.
Algemeen:
Vul de weergaven naam in, de tekst wordt getoond op de inlogknop.
Geef aan of de identity provider beschikbaar is in het inlogscherm.
Aangevinkt: ja wordt weergegeven.
Niet aangevinkt: is de configuratie ingesteld dan blijft deze behouden, maar is niet actief.
De URL van de OpenID Connect-provider. Bijvoorbeeld voor Microsoft Entra ID is dat https://login.microsoftonline.com/{tenant-id}/v2.0. Vervang {tenant-id} door de ontvangen tenant-id bij het registreren van de applicatie bij de identiteitsprovider. Dit adres wordt gebruikt om OIDC-metadata op te halen, Autorisatie- en token-eindpunten te bepalen en Token-handtekeningen te valideren.
De client-ID die is ontvangen bij het registreren van de applicatie bij de identiteitsaanbieder. Deze ID identificeert Coachview bij de externe aanbieder.
De minimumvereisten voor de scopes zijn 'OpenID e-mailadres'. Deze moeten worden gescheiden door een enkele spatie.
OpenID: vereist voor OpenID Connect
E-mailadres: vereist om het e-mailadres van de gebruiker op te halen, zonder e-mailadres kan Coachview de gebruiker niet matchen.
De geheime sleutel die is gekoppeld aan de Client ID. Wordt gebruikt om de identiteit van Coachview te bevestigen bij het aanvragen van tokens. Tijdens een update:
Indien leeggelaten, blijft de bestaande geheime sleutel ongewijzigd.
Wijzig deze alleen als er een nieuwe geheime sleutel is gegenereerd.
Geavanceerd:
Verbetert de beveiliging van de autorisatie codestroom. Laat deze optie ingeschakeld, tenzij de provider dit expliciet niet ondersteunt. Aanbevolen:
Voor openbare clients
Voor extra beveiliging
Wanneer deze optie is ingeschakeld, haalt Coachview na ontvangst van een token aanvullende gebruikersinformatie op via het UserInfo-eindpunt. Gebruik dit als:
Het ID-token onvoldoende claims bevat.
De provider bepaalde gegevens alleen via het UserInfo-eindpunt beschikbaar stelt
Indien ingeschakeld controleert Coachview of het e-mailadres van de externe gebruiker is geverifieerd. De aanmelding wordt geweigerd als het e-mailadres niet is geverifieerd. Dit is afhankelijk van een betrouwbare 'email_verified'-verklaring van de provider.
Klik op 'Opslaan' om de ingestelde provider aan te maken. Wil je dit niet? Klik dan op 'Annuleren.
Wijzigen
Heb je meerdere providers toegevoegd verander de volgorde van de inlogknoppen als volgt. Drag and drop de naam van de provider in de lijst. De volgorde bepaalt hoe deze op het inlogscherm verschijnen.
Om een clientgeheim bij te werken:
Open je de providerconfiguratie.
Klik op de knop 'Bewerken'.
Voer het nieuwe geheim in.
Laat je het veld leeg tijdens het bijwerken? Dan blijft het bestaande geheim ongewijzigd.
Wat wel en niet mag
Dit mag:
HTTPS-uitgever-URL's zijn vereist in de test- en productieomgeving.
Configureer altijd minimaal openid-e-mailbereiken. Coachview koppelt het externe en lokale account op basis van het e-mailadres. Elk bereik moet worden gescheiden door één spatie.
Houd clientgeheimen vertrouwelijk.
Schakel PKCE in, tenzij er een duidelijke reden is om dit niet te doen.
Controleer of de omleidings-URI exact overeenkomt (inclusief afsluitende schuine strepen).
Dit mag niet:
Clientgeheimen delen via onbeveiligde kanalen.
PKCE uitschakelen zonder de beveiligingsgevolgen te begrijpen bij gebruik van openbare clients.