Introductie

Zivver ondersteunt Single Sign-On (SSO) via OneLogin, zodat gebruikers met hun werkcredentials kunnen inloggen op Zivver. In deze handleiding wordt uitgelegd hoe je SSO instelt als beheerder. SSO werkt op basis van Security Assertion Markup Language (SAML) v2.0. OneLogin fungeert als Identity Provider (IdP), en Zivver als Service Provider (SP).

Om SSO in Zivver te activeren, heb je het volgende nodig:

1. Je bent Zivver-beheerder.
2. Je hebt toegang tot het OneLogin-beheerdersdashboard.
   Voorbeeld URL: https://www.onelogin.com/

SSO instellen in OneLogin

De eerste stap is Zivver in te stellen als een custom application connector in OneLogin.

1. Log in bij OneLogin.

2. Ga naar Apps > Add Apps.

3. Zoek op SAML Test Connector (Advanced) en selecteer het eerste resultaat.

4. Ga naar het Info-tabblad.

5. Vul Zivver in bij Display Name.

6. Ga naar het Configuration-tabblad.

7. Vul de volgende informatie in:

   Instelling	Waarde
   Audience (EntityID)	https://app.zivver.com/SAML/Zivver
   Recipient	https://app.zivver.com/SAML/Zivver
   ACS (Consumer) URL Validator*	^https:\\/\\/app\\.zivver\\.com\\/api\\/sso\\/saml\\/consumer\\/$
   ACS (Consumer) URL	https://app.zivver.com/api/sso/saml/consumer/
   Login URL	https://app.zivver.com/api/sso/saml/consumer/
   SAML not valid before	3
   SAML not valid after	3
   SAML initiator	OneLogin
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   SAML encryption method	TRIPLEDES-CBC
   SAML sessionNotOnOrAfter	1440

8. Ga naar het Parameters-tabblad.

9. Selecteer Configured by admin.

10. Voeg de volgende parameters toe:

    NameID (voorheen Email)	Email
    https://zivver.com/SAML/Attributes/ZivverAccountKey	user.id

11. Ga naar het SSO-tabblad.

12. Selecteer Standard Strength Certificate (2048-bit) bij X.509 Certificate.

13. Selecteer *SHA-256 for SAML Signature Algorithm.

14. Kopieer de Issuer URL. Je hebt deze URL nodig in het volgende hoofdstuk.

15. Klik op Save.
    De app is nu aangemaakt, maar nog niet toegankelijk voor je gebruikers. Je kunt ze individueel toewijzen via Users > All Users of als onderdeel van rollen (Users > Roles) en groepen (Users > Groups). OneLogin is nu correct ingesteld voor Zivver.

SSO instellen in Zivver

De laatste stap is het instellen van SSO in Zivver via de Zivver WebApp:

1. Log in bij de Zivver WebApp.
2. Klik Organisatie-instellingen.
3. Vouw Gebruikersbeheer uit.
4. Klik op Single Sign-on.
5. Selecteer Automatisch Aanbevolen.
6. Plak de Issuer URL die je hebt gekopieerd bij SSO setup in OneLogin in het veld onder URL.
7. Klik op Opslaan.
8. Klik op Single sign-on inschakelen rechtsboven op de pagina.
   OneLogin SSO in Zivver is nu ingesteld en klaar voor gebruik.

Waarschuwing

Zodra je SSO inschakelt, probeert Zivver gebruikers via SAML in te loggen. Het is daarom aanbevolen om SSO in Zivver uitgeschakeld te laten totdat alles correct is geconfigureerd in OneLogin. Gebruikers die al zijn ingelogd blijven ingelogd nadat SSO is ingeschakeld.

Zivver 2FA-uitsluiting (optioneel)

Een Zivver-account is standaard beschermd met een extra aanmeldmethode (2FA). 2FA is ook vereist bij het inloggen via SSO. Het is mogelijk om de 2FA van Zivver uit te schakelen wanneer gebruikers via OneLogin SSO inloggen. Helaas kan OneLogin in de SAML-respons niet aangeven of de gebruiker al een extra aanmeldmethode heeft voltooid. OneLogin geeft altijd de volgende SAML-respons terug: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport. Dit betekent dat de SAML-respons geen informatie bevat die Zivver kan gebruiken om te bepalen of de gebruiker veilig is ingelogd met 2FA. Lees de waarschuwing hieronder zorgvuldig.

Waarschuwing

Zivver zal nooit om 2FA vragen als je dit authenticatiecontext uitsluit van 2FA in de SSO-instellingen. Dit vormt een veiligheidsrisico wanneer gebruikers inloggen bij OneLogin zonder 2FA terwijl er een 2FA-uitsluiting is geconfigureerd in Zivver. Het is daarom belangrijk dat gebruikers verplicht zijn in te loggen bij OneLogin met 2FA wanneer je bovenstaande authenticatiecontext uitsluit in Zivver.

Volg onderstaande stappen om de 2FA-uitsluiting voor OneLogin in Zivver in te stellen:

1. Log in bij de Zivver WebApp.
2. Klik Organisatie-instellingen.
3. Vouw Gebruikersbeheer uit.
4. Klik op Single Sign-on.
5. Scroll naar de Zivver 2FA uitzonderingen-kaart.
6. Vul in het veld Authenticatiecontexten die uitgezonderd worden deze waarde in:
   • urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
7. Klik op Opslaan.
   Je hebt nu succesvol een 2FA-uitsluiting voor OneLogin ingesteld. Wanneer gebruikers nu via SSO inloggen, zal Zivver niet om 2FA vragen.

Inloggen in de WebApp via SSO

1. Ga naar de Zivver WebApp.
2. Vul je e-mailadres in.
3. Afhankelijk van je rol in Zivver:
   • Als gebruiker: je wordt direct doorgestuurd naar het inlogscherm van je organisatie.
   • Als beheerder: je kiest tussen inloggen met je Zivver-wachtwoord of je werkplekinloggegevens.
4. Log in met de werkplekinloggegevens van je organisatie.
   Afhankelijk van een 2FA-uitsluiting kan je gevraagd worden een extra aanmeldmethode in te voeren. Als er een 2FA-uitsluiting actief is, wordt deze stap overgeslagen.
5. Voer je extra aanmeldmethode in.
   Je bent nu ingelogd in de Zivver WebApp.

Inloggen in Outlook via SSO

In de Zivver Office Plugin voor Outlook kan je via SSO inloggen met de volgende stappen:

1. Klik op het Zivver tabblad.
2. Klik Accounts beheren.
3. Klik op de link add_circle Voeg een account toe.
4. Vul het e-mailadres in dat je wilt gebruiken om in te loggen.
5. Klik op Volgende.
   Je wordt doorgestuurd naar het inlogscherm van je organisatie.
6. Log in met de werkplekinloggegevens van je organisatie.
   Afhankelijk van een 2FA-uitsluiting kan je gevraagd worden een extra aanmeldmethode in te voeren. Als er een 2FA-uitsluiting actief is, wordt deze stap overgeslagen.
7. Voer je extra aanmeldmethode in.
   Je bent nu ingelogd in Outlook.