Met deze module is het voor uw klanten mogelijk om zich centraal binnen hun eigen bedrijf aan te melden op het netwerk en daarna zonder in te loggen gebruik te maken van Ecmanage.
De module voor Single Sign On in Ecmanage kan samen werken met de industriestandaard SAML. Deze technologie wordt bijvoorbeeld gebruikt binnen het product Microsoft Entra en Okta.
Er zijn twee modellen mogelijk voor Single Sign On:
Service Provider (SP) Initiated Login.
Een gebruiker gaat naar de klant omgeving in Ecmanage. Daar staat een SSO login knop, de gebruiker kiest deze en wordt doorgestuurd naar de ADFS omgeving van de Klant, daar moet de gebruiker 1 maal inloggen en daarna herkent deze omgeving de gebruiker zonder inloggen. De ADFS omgeving stuurt de gebruiker dan via een redirect weer terug naar Ecmanage met een zogenaamd SAML token voor automatisch inloggen. In Ecmanage dient de gebruiker een profiel te hebben en indien dit zo is dan wordt de gebruiker direct ingelogd.
Identity Provider (IDP) Initiated Login.
In dit geval kiest de gebruiker meestal in een eigen intranet omgeving een link naar de klant omgeving in Ecmanage. In deze link wordt direct een SAML token verwerkt waardoor de gebruiker direct wordt ingelogd in Ecmanage mits deze gebruiker een profiel heeft in Ecmanage.
Het activeren van Sigle Sign On wordt door de servicedesk bij Ecmanage gedaan. Voor deze inrichting zijn de volgende gegevens van belang, deze kunnen uit het zogenaamde federation_metadata.xml bestand gehaald worden:
Entity Id.
Dit is een uniek kenmerk zoals in de klant inrichting van ADFS is aangemaakt.
federation_metadata.xml <EntityDescriptor> attribuut entityID
Single Sign On URL
Dit is de pagina op het intranet waar een gebruiker zich eenmalig moet identificeren.
federation_metadata.xml <SingleSignOnService> attribuut Location
In de koppeling tussen SSO oplossing en Ecmanage wordt een SAML bericht uitgewisseld. In dit bericht verwacht Ecmanage een NameID veld waarin een gebruiker wordt geïdentificeerd. Aan de Ecmanage kant wordt in elk gebruikersprofiel een extra veld actief gemaakt waar de SAML NameID opgeslagen kan worden. Vaak bevat dit veld het emailadres van een gebruiker maar dit kan ook een ander gegeven zijn, een netwerk gebruikersnaam of een anoniem uniek nummer.
Tijdens het inloggen van een gebruiker kan de klant er voor kiezen om extra gegevens mee te sturen tijdens het inlog proces. Deze gegevens worden opgeslagen in SAML attributen.
Er is een mogelijkheid om een inrichting te maken in Ecmanage waarbij de volgende gegevens op deze wijze aangemaakt of gewijzigd kunnen worden:
Veld | Verplicht | Mutatie | Toelichting |
|---|---|---|---|
gender | J | J | Geslacht: F, M |
personid | J | N | Dit is een uniek kenmerk voor een gebruiker |
title | N | J | Optionele aanhef |
firstname | J | J | |
middlename | N | J | |
lastname | J | J | |
N | J | ||
isolanguage | N | J | Drie letterig iso code voor land. |
department | N | J | Afdeling code uit de definitie van ecmanage inrichting |
employmenttype | J | J | Dienstverband uit de definitie van ecmanage inrichting |
functions | N | J | Een of meerdere functies, ; gescheiden uit de def. van ecmanage |
roles | N | J | Een of meerdere rollen, ; gescheiden uit de def. van ecmanage |
Voor het gebruiken van deze mogelijkheid kunt u contact opnemen met onze support afdeling. In overleg met uw klant kunnen we een impact maken voor de mogelijkheden.
Na het activeren van Single Sign On wordt een extra knop getoond in het inlogscherm van Ecmanage. De standaard tekst van deze knop is “SAML Login”. Tijdens de configuratie kan hier een klantspecifieke tekst voor worden ingericht.
Indien de single sign on omgeving van de klant een SSL Certificaat vereist dan kan dit in de configuratie aangemaakt worden.
Als de tenant id bekend is dan is de metadata op te vragen via: