|
Klassieke bestandstypen zijn vanaf januari 2021 niet meer beschikbaar voor gebruik. U kunt uw klassieke bestanden omzetten of een PDF downloaden. Meer informatie

Workiva-ondersteuningscentrum

SAML single sign-on configureren

SAML single sign-on configureren

  • Laatst bijgewerkt op
Gerelateerd aan sso

Beveiligingsbeheerders van de organisatie kunnen de onderstaande stappen volgen om SAML single sign-on instellingen voor de organisatie te configureren. SAML-gebaseerde single sign-on (SSO) geeft leden toegang tot Workiva via een identiteitsprovider (IdP). Voordat u de instellingen configureert, moet u eerst Wat is SAML single sign-on?hebben bekeken.

Opmerking: Organisatiebeveiligingsbeheerders moeten aan een werkruimte worden toegevoegd om toegang te krijgen tot Organisatiebeheer.

 

Stap 1: Ga naar de SAML SSO-instellingen

  1. Ga naar Organisatiebeheer.
  2. Klik op Beveiliging in het menu aan de linkerkant.
  3. Klik op het tabblad Single Sign-On.

Als je al een SSO-configuratie hebt, ziet de pagina er als volgt uit:

 

 

Stap 2: Maak uw SAML SSO-configuratie aan en selecteer uw identiteitsprovider.

  1. Klik op SSO-configuratie maken.
  2. Voer een configuratienaam in en selecteer de identiteitsprovider (IdP) uit de vervolgkeuzelijst.
  3. Klik op Configuratie maken om verder te gaan.

Create SAML SSO configuration.png

 

Stap 3: Stuur de Workiva-metadata naar de beheerder van uw identiteitsprovider.

  1. Onder het gedeelte Workiva metadata ziet u de Identifier (Entity ID) en Reply URL.
  2. Klik op Geavanceerde opties om de Aanmeld-URL en Afmeld-URLte bekijken.
    Deze URL's zijn uniek voor elke organisatie en kunnen niet worden gewijzigd. Ze bevatten app.wdesk.com, eu.wdesk.com, of apac.wdesk.com.
    Workiva metadata.jpg
  3. Stuur deze Workiva-metadata-URL's naar de beheerder van uw identiteitsprovider.
    U kunt ook klikken op Workiva metadata XML downloaden om het Workiva metadata XML-bestand te downloaden en naar de beheerder van uw identiteitsprovider te sturen.

  4. U kunt uw Klokafwijkingstoeslagaanpassen. Clock Skew Allowance is het maximaal toegestane tijdsverschil tussen uw SAML-identiteitsprovider en Workiva. De standaardwaarde is 300 seconden (5 minuten).

    Tip: Een grotere waarde vergroot de "acceptatiemarge" voor tijdsverschillen. Hoewel dit de betrouwbaarheid verbetert door het aantal afgewezen verzoeken te verminderen, brengt het ook risico's met zich mee op het gebied van beveiliging en prestaties. Een kleinere waarde vergroot daarentegen de kans op authenticatiefouten als gevolg van time-outs.
  5. Als u Microsoft Azure als uw identiteitsprovider gebruikt, kan uw identiteitsproviderbeheerder Stap 2 onder het tabblad Azure in SAML SSO configureren met uw identiteitsproviderraadplegen.
  6. Als u Okta als identiteitsprovider gebruikt, kan de beheerder van uw identiteitsprovider Stap 3 onder het Okta-tabblad in SAML SSO configureren met uw identiteitsproviderraadplegen.
  7. Als u een andere identiteitsprovider gebruikt dan Microsoft Azure of Okta, neem dan contact op met de klantenservice van uw identiteitsprovider als u hulp nodig hebt.

 

Stap 4: Voer de metadata van uw identiteitsprovider in Workiva in.

Vereiste: U moet de benodigde metagegevens van de identiteitsprovider verkrijgen van de beheerder van uw identiteitsprovider voordat u verder kunt gaan.

  • Als u Microsoft Azure als uw identiteitsprovider gebruikt, kan de beheerder van uw identiteitsprovider Stap 4 onder het tabblad Azure in SAML SSO configureren met uw identiteitsproviderraadplegen.
  • Als u Okta als uw identiteitsprovider gebruikt, kan de beheerder van uw identiteitsprovider Stap 2 onder het Okta-tabblad in SAML SSO configureren met uw identiteitsproviderraadplegen.
  • Als u een andere identiteitsprovider dan Microsoft Azure of Okta gebruikt, neem dan contact op met de klantenservice van uw identiteitsprovider voor de benodigde informatie.

Voer onder het gedeelte metagegevens van de identiteitsprovider (bijvoorbeeld Microsoft Azure-metagegevens) de metagegevens van de identiteitsprovider in.

  1. Selecteer eerst in het dropdownmenu Voorkeursmethode voor invoer hoe u de metagegevens van de identiteitsprovider wilt invoeren. U kunt een Federatie-metadata-URLinvoeren, een Metadata-XML-bestanduploaden of de metadata handmatig invoeren .

  2. Selecteer in het dialoogvenster voor bestandsselectie het bestand dat de metagegevens van de identiteitsprovider bevat en klik vervolgens op Importeren.

    U kunt de waarden ook handmatig invoeren:

 

Stap 5: Gebruikersmapping instellen

Klik in het gedeelte Gebruikerstoewijzing op het vervolgkeuzemenu en selecteer een van de volgende opties:

  • Koppel gebruikers aan hun Workiva-gebruikersnaam (aanbevolen)
  • Gebruikers handmatig in kaart brengen

Opmerking: Als u de metagegevens van de identiteitsprovider handmatig hebt ingevoerd, moet u de Geavanceerde opties voor dit gedeelte inschakelen.

Gebruikers koppelen aan hun Workiva-gebruikersnaam

Als je in het dropdownmenu Map users to their Workiva username hebt geselecteerd, verwacht Workiva dat het binnenkomende Primary NameID-attribuut overeenkomt met de Workiva-gebruikersnaam, ongeacht hoofdlettergevoeligheid, wanneer de gebruiker inlogt. Dit maakt het bijvoorbeeld mogelijk dat User.Name.Example overeenkomt met user.name.example.

U kunt vervolgens op het vervolgkeuzemenu Mapping instellen klikken en Alle SSO-ID's instellen op Workiva-gebruikersnaam selecteren om de tabel te vullen.

Klik op Configuratie maken om verder te gaan.

 

Gebruikers handmatig in kaart brengen

Als je in het dropdownmenu Gebruikers handmatig toewijzen hebt geselecteerd, controleer dan eerst de geavanceerde opties. Onder NameIdentifier locationhebben de meeste configuraties de optie NameIdentifier is in Subject statement geselecteerd. Dit betekent dat Workiva zal controleren of het element NameIdentifier in de Subject-verklaring aanwezig is.

U kunt echter de optie NameIdentifier is in a different element attribute selecteren en NameIdentifier element attributeinvoeren, zodat de applicatie naar het attribuut in het SAML-antwoord zoekt.

Opmerking: De meeste beveiligingsbeheerders van organisaties zullen de locatie van de NameIdentifier niet wijzigen van de standaardwaarde. Neem voor het
aanbrengen van wijzigingen contact op met Workiva Support voor hulp.

Gebruikers in kaart brengen via bestandsimport

Klik op Mapping instellenen selecteer SSO-ID's importeren via bestand om gebruikers te koppelen aan de SSO-ID's in een .csv-mappingbestand (zie Vereisten voor SAML ID .csv-mappingbestand).

  • Er zijn geen headers nodig in het mappingbestand.
  • Alle rijen worden verwerkt en ongeldige rijen worden overgeslagen.
  • Als er dubbele gebruikersnamen zijn, wordt alleen de eerste rij met die gebruikersnaam gebruikt.
  • Als een opgegeven gebruikersnaam al een bestaande koppeling heeft, wordt deze koppeling bijgewerkt naar de gegevens in het koppelingsbestand.
  • Als rijen worden overgeslagen, worden de fouten vastgelegd in het SAML single sign-on activiteitenlogboek.

Kaartgebruikers individueel

Als u SSO-ID's voor individuele gebruikers wilt instellen of bewerken, zoek dan naar de gebruiker en/of gebruik het filter SSO ID-status om de gebruiker gemakkelijker te vinden. Dubbelklik vervolgens in de tabel op het veld SSO ID naast de gebruiker en voer de juiste SSO ID in.

manual sso id.png

 

Nadat je de gebruikersmapping hebt ingesteld, klik je op Configuratie maken om verder te gaan.

 

Vereisten voor het SAML ID .csv-mappingbestand

Een geldige rij in het SAML ID .csv-mappingbestand heeft de volgende indeling:

samlId,gebruikersnaam

Een rij kan ongeldig zijn als:

  • Er staan ​​minder dan twee items in de rij.
  • De SAML-ID en/of gebruikersnaam wordt niet verstrekt.
  • De opgegeven gebruikersnaam bestaat niet.
  • De gebruiker met de opgegeven gebruikersnaam is geen lid van de organisatie.
  • De primaire organisatie van de gebruiker met de opgegeven gebruikersnaam is niet dezelfde als de organisatie die momenteel wordt gewijzigd.
  • De opgegeven SAML-ID is al in gebruik door een andere gebruiker.

Een voorbeeld van een geldig mappingbestand ziet er als volgt uit:

voorbeeldSamlId, voorbeeldGebruikersnaam voorbeeldSamlId2, voorbeeldGebruikersnaam2 voorbeeldSamlId3, voorbeeldGebruikersnaam3

 

Stap 6: Activeer uw SAML SSO-configuratie

Nadat je je SAML SSO-configuratie hebt aangemaakt, moet je deze expliciet activeren om de configuratie van kracht te laten worden.

Klik op Activeren in de configuratie. Uw configuratie wordt dan weergegeven als Actief.

AzureID Activation x2 callout.png

 

Stap 7: SAML SSO-authenticatieopties bijwerken

Workiva raadt ten zeerste aan om gebruikers te verplichten in te loggen via SSO. Dit is een goede werkwijze om het inlogproces te vereenvoudigen en een betere algehele gebruikerservaring te bieden. Nadat u uw SAML SSO-configuratie hebt aangemaakt en geactiveerd:

  1. Onder het tabblad Single sign-on biedt het gedeelte Force SSO and exceptions twee authenticatieopties:

    • Gebruikers dwingen om in te loggen met SSO (Aanbevolen): Niet-beheerders worden gedwongen om SSO te gebruiken, terwijl beveiligingsbeheerders van de organisatie kunnen blijven inloggen met hun gebruikersnaam en wachtwoord. Deze optie werkt het beste als uw bedrijf SSO wil afdwingen, maar de beveiligingsbeheerders van de organisatie wel toegang tot het platform willen blijven geven als er problemen met SSO optreden.

      Opmerking: Zorg ervoor dat u uitgebreide tests uitvoert en dat u volledig vertrouwd bent met uw SAML SSO-configuratie voordat u deze optie inschakelt.
    • Dwing beveiligingsbeheerders van de organisatie om in te loggen met SSO: Beveiligingsbeheerders van de organisatie worden gedwongen om SSO te gebruiken. Deze optie werkt het beste als het beveiligingsbeleid van het bedrijf gebruikers niet wil vrijstellen van de SSO-vereiste. Om deze optie in te schakelen, moet u ook Gebruikers dwingen zich aan te melden via SSOaanvinken.
  2. Nadat je je opties hebt geselecteerd, klik je op Opslaan.

Indien gewenst kunt u specifieke gebruikers toestaan ​​zich aan te melden zonder SAML SSO door ze toe te voegen aan deSSO -uitzonderingslijst.

Opmerking: Voordat u SAML SSO forceert, moet u ervoor zorgen dat u de benodigde gebruikers toevoegt aan de lijst met SSO-uitzonderingen om te voorkomen dat gebruikers de toegang tot hun accounts wordt ontzegd.

 

Configureer SAML SSO met uw identiteitsprovider.

De beheerder van uw identiteitsprovider kan de onderstaande stappen raadplegen voor het configureren van SAML SSO met veelgebruikte identiteitsproviders.

Ondersteunde functies

  • SP-geïnitieerde SSO
  • IdP-geïnitieerde SSO
  • IdP-geïnitieerde SLO (Single Logout)
  • SSO-uitzonderingslijst
  • Optionele assertie-versleuteling

 

Stap 1: Voeg de integratie toe

  1. Meld u aan bij het Okta-beheerportaal en selecteer onder Toepassingende optie Bladeren in appcatalogus.
  2. Zoek in de App Integration Catalognaar Workiva en selecteer deze. Klik vervolgens op Integratie toevoegen.
  3. Stel de algemene instellingen in volgens uw IT-beleid en -procedures. Klik vervolgens op Volgende.

 

Stap 2: Voer de Okta-metadata in Workiva in.

Laat in het SAML 2.0-gedeelte het veld Default Relay State leeg. Download het XML-bestand met de metadata om te uploaden naar Workiva, zoals beschreven in Stap 4 in Workiva: Voer de metadata van uw identiteitsprovider in Workiva in.
Een manier om het XML-bestand te downloaden is door de metadata-URL te kopiëren, deze in een browser te plakken en de pagina vervolgens als XML-bestand op te slaan.

 

Stap 3: Voer de Workiva-metadata in Okta in.

Gebruik de Workiva-URL's die u vindt in Stap 3 in Workiva: Stuur de Workiva-metadata naar de beheerder van uw identiteitsprovider:

  • Kopieer en plak de Workiva ACS URL in het Okta ACS URLveld.
  • Kopieer en plak de Workiva Audience URL in het Okta Audience URLveld.

 

Stap 4: Bewerk de attributen en claims

In de attributen en claims van Okta wordt aanbevolen om de Workiva-gebruikersnaam (hoofdlettergevoeligheid wordt genegeerd) te koppelen aan het Primary NameID-attribuut, zodat Workiva het attribuut automatisch koppelt aan de Workiva-gebruikersnaam wanneer de gebruiker voor het eerst inlogt met SSO. Deze toewijzing is echter afhankelijk van uw specifieke IT-beleid.

Als deze attributen niet overeenkomen, moet u het attribuut handmatig koppelen aan de bijbehorende gebruikersnaam, zoals beschreven in Stap 5 in Workiva: Gebruikerskoppeling instellen voordat de gebruiker zich kan aanmelden met SSO.

 

SP-geïnitieerd SSO-proces

Het aanmeldproces wordt gestart vanaf de SP-URL app.wdesk.com, eu.wdesk.com of apac.wdesk.com van uw thuisorganisatie.

  1. Ga vanuit je browser naar de Workiva-inlogpagina.
  2. Voer uw Workiva-gebruikersnaam in.
  3. Klik op Aanmelden met Single Sign-On.
  4. Je wordt doorgestuurd naar de inlogpagina van je organisatie.
  5. Voer uw inloggegevens in en voltooi eventuele aanvullende controles volgens het beleid van uw organisatie.
  6. Je wordt doorgestuurd naar Workiva en ingelogd op de interface.

Stap 1: Maak de applicatie aan

  1. Meld u aan bij de Azure-beheerportal en ga naar Microsoft Enterprise ID > Zakelijke toepassingen.
  2. Klik op Nieuwe applicatie.
  3. Zoek naar Workiva en selecteer het.
    Houd er rekening mee dat als u SCIM wilt implementeren, u een aangepaste applicatie moet ontwikkelen.
  4. Geef de applicatie een naam en klik vervolgens op Aanmaken.
  5. Nadat de applicatie is aangemaakt, ga je naar Single sign-on > SAML.

 

Stap 2: Voer de Workiva-metadata in Microsoft Azure in.

  1. Bewerk de Basis SAML-configuratie.
  2. Gebruik de Workiva-URL's die u vindt in Stap 3 in Workiva: Stuur de Workiva-metadata naar de beheerder van uw identiteitsprovider:
    1. Kopieer en plak de Workiva Identifier (Entity ID) in het veld Azure Identifier (Entity ID).
    2. Kopieer en plak de Workiva Reply URL in het veld Azure Reply URL (Assertion Consumer Service URL).
    3. (Optioneel) Kopieer en plak de Workiva aanmeldings-URL in het veld Azure aanmeldings-URL.
    4. Laat het veld Relaisstatus leeg.
    5. (Optioneel) Kopieer en plak de Workiva Logout URL in het veld Azure Logout URL.

 

Stap 3: Bewerk de attributen en claims

Nadat de configuratie is opgeslagen, kunt u de Attributen & Claimsbewerken. Het is aan te raden de Workiva-gebruikersnaam (hoofdlettergevoeligheid speelt geen rol) te laten overeenkomen met het Primary NameID-attribuut, zodat Workiva het attribuut automatisch koppelt aan de Workiva-gebruikersnaam wanneer de gebruiker voor de eerste keer inlogt met SSO. Deze toewijzing is echter afhankelijk van uw specifieke IT-beleid.

  • Als deze kenmerken niet overeenkomen, moet u het kenmerk handmatig koppelen aan de bijbehorende gebruikersnaam, zoals beschreven in stap 5 in Workiva: Gebruikerskoppeling instellen, voordat de gebruiker zich kan aanmelden met SSO.
  • Workiva kijkt alleen naar de vereiste claim Unieke gebruikersidentificatie (NameID) voor de gebruikers en eventuele aanvullende claims worden genegeerd.

 

Stap 4: Voer de Microsoft Azure-metagegevens in Workiva in.

Als u de Microsoft Azure-metagegevens in Workiva invoert via een federatiemetagegevens-URL, kunt u deze URL vinden in de Azure SAML SSO-configuratie.

Als u de Microsoft Azure-metadata in Workiva invoert via een XML-metadatabestand, klikt u in het gedeelte SAML-certificaten op Downloaden naast Federatiemetadata-XML. Upload vervolgens het XML-bestand met de metadata naar Workiva.

Opmerking: Als u Microsoft Azure als identiteitsprovider gebruikt, zorg er dan voor dat het veld Workiva Aanmeldings-URL (onder de Geavanceerde opties) leeg blijft, anders treden er aanmeldfouten op.

Als je een Uitlog-URL wilt (onder de geavanceerde opties), maar die waarde niet in je geüploade XML-metadatabestand staat, moet je die waarde handmatig invoegen.

 

 

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 10 van 34
Beveiligingsbeheerders van de organisatie kunnen de onderstaande stappen volgen om SAML single sign-on instellingen v...