Azure Active Directory koppeling met CrisisConnect

Azure Active Directory koppeling

Inleiding

Deze handleiding beschrijft hoe een koppeling gemaakt kan worden tussen de Azure Active Directory van de klant en CrisisConnect. Benodigdheden zijn een Microsoft Azure of een Microsoft 365 abonnement. De koppeling bestaat uit drie onderdelen, namelijk het koppelen van gebruikers en/of groepen, provisioning en single sign on (SSO). Voor de provisioning wordt gebruik gemaakt van een SCIM-service en voor Single Sign-On wordt SAML gebruikt. Hieronder wordt stap voor stap uitgelegd hoe de koppeling to stand gebracht kan worden.

Enterprise Application aanmaken en inrichten

Voor het leggen van de koppeling dient een Enterprise application aangemaakt te worden in de Azure Active Directory. Azure Active Directory kan geopend worden via de Azure portal (https://portal.azure.com/) of door in het Admin Center van Microsoft 365 te kiezen voor Azure Active Directory in het menu aan de zijkant.
  1. Na het inloggen en kiezen voor Azure Active Directory is het volgende scherm zichtbaar. 

  2. Kies in het menu aan de linkerzijde voor Enterprise Applications
  3. Klik op + New Application
  4. Het hieronder afgebeelde scherm wordt geopend. Klik vervolgens op + Create your own application.
  5. Geef bij de naam van de applicatie CrisisConnect in en laat de selectie op Integrate any other application you don't find in the gallery staan. Klik vervolgens op Create.
  6. Als de applicatie is aangemaakt dan verschijnt de overzichtspagina van de applicatie in beeld.
  7. Kies in het menu aan de linkerzijde voor Properties om de eigenschappen van de applicatie te kunnen aanpassen. Zet de eigenschap Visible to users op No. De gebruikers gaan namelijk alleen via de mobiele applicatie kunnen inloggen, het heeft dus geen zin op de applicatie te tonen in de browser, dit zou tot verwarring bij de gebruikers kunnen leiden.

Wanneer de Enterprise Application is aangemaakt kunnen we verder met het inrichten van de applicatie. Volg hieronder de stappen voor het koppelen van de gebruikers, het instellen van de Single Sign-On en de Provisioning van de gebruikers richting CrisisConnect.

Gebruikers koppelen

  1. Klik op de overzichtspagina op de tegel 1. Assign users and groups
  2. Kies vervolgens voor + Add user/group.
  3. Klik op None Selected onder het kopje Users en voeg een testgebruiker toe. Later als alle instellingen zijn ingevuld en de koppeling getest is kunnen er verdere individuele gebruikers of groepen aan de applicatie gekoppeld worden.

Single Sign-On (SSO)

Nu er een testgebruiker aan de applicatie gekoppeld is kunnen we inrichten dat deze gebruiker via SAML kan inloggen. 
  1. Ga in een tweede browser tabblad naar de URL https://auth.crisisconnect.io/saml/metadata. Er verschijnt een XML-pagina in beeld die de CrisisConnect SAML service beschrijft.
  2. Klik met de rechtermuisknop op de pagina en sla deze op als Xml-bestand.
  3. Ga naar de Azure portal en open de Enterprise application CrisisConnect in Azure Active Directory. Klik vervolgens op de overzichtspagina op de tegel 2. Set up single sign on.

  4. Kies voor SAML
  5. De SAML-configuratiepagina komt in beeld en kan stap voor stap ingesteld worden. Klik op Upload metadata file en selecteer het XML-document wat bij stap 2 is opgeslagen.
  6. Na import wordt het Basic SAML Configuration venster geopend. Deze kan zonder wijzigingen opgeslagen worden, waarna stap 1 van de SAML-configuratie is afgerond.
  7. Stap 2: User attributes & Claims. Deze hoeven niet aangepast te worden aangezien deze standaard goed ingesteld staan. 
  8. Stap 3: SAML Signing Certificate. Kopieer de App Federation Metadata Url naar het klembord en stuur de link naar support@connecttools.zohodesk.eu onder vermelding van Metadata URL AD koppeling en de naam van de betreffende organisatie. Wij zorgen dan dat de koppeling gelegd wordt met jullie Azure Active Directory omgeving.
  10. Stap 4: Set up CrisisConnect. Deze instellingen worden automatisch ingevuld en staan goed. Als wij onze aanpassingen hebben gemaakt sturen wij een link door waarna ingelogd kan worden met de testgebruiker om de verbinding definitief te testen.
Voordat de gebruiker kan inloggen in CrisisConnect dient deze aangemeld te zijn. Vandaar dat de provisioning van de gebruikers een verplicht onderdeel van de koppeling is.

Provisioning

  1. Klik op de overzichtspagina op de tegel 3. Provision User Accounts 
  2. Klik op de vervolgpagina op Get started
  3. In dit scherm kan de provisioning ingesteld worden. Voer de volgende acties uit:
    1. Zet de Provision Mode op Automatic
    2. Voer bij de Tenant URL de volgende url in: https://scim.crisisconnect.io/scim. Voer bij Secret Token de code in die je van CrisisConnect hebt ontvangen.
    3. Klik op Test Connection en verifieer dat verbinding is geslaagd.
    4. Klik op Save
  4. Nadat de instellingen zijn opgeslagen komen ook de Mappings en Settings beschikbaar. De Mappings staan voor de groepen standaard goed maar moeten voor de gebruikers aangepast worden. De mappings voor de gebruikers dienen als volgt ingesteld te worden:

  5. Bij de Settings is het aan te raden om een e-mailadres in te vullen, zodat bij eventuele synchronisatieproblemen een e-mail wordt gestuurd.
  6. Sla de instellingen op door op Save te klikken en sluit het venster. Je komt vervolgens op de provisioning statuspagina, hier kan de provisioning gestart worden door op de knop Start Provisioning te klikken.

Alle stappen zijn nu afgerond. Door de inrichting van Provisioning worden gebruikers (of groepen gebruikers) die aan de applicatie gekoppeld worden automatisch doorgestuurd naar CrisisConnect. Is de gebruiker eenmaal bekend in CrisisConnect dan kan de gebruiker middels de Active Directory inloggen in de applicatie. Dit kan gedaan worden door bij het inloggen te kiezen voor Bedrijfsnetwerk en vervolgens voor de organisatie.

Beheeromgeving Active Directory Instellingen

Via de Instellingen in de beheeromgeving is het mogelijk om een aantal instellingen voor de Azure Active Directory koppeling vast te leggen. Hieronder een uitleg welke instellingen dat precies zijn en waar ze voor bedoeld zijn.

Instellingen voor AD provisioning (SCIM)

  1. Notificeer gebruikersgroepen wanneer een gebruiker wordt toegevoegd
    Elke keer als een gebruiker via SCIM wordt toegevoegd wordt een mailtje gestuurd naar iedereen die via de gebruikersgroepen aan de instelling is gekoppeld. Op deze manier worden beheerders automatisch op de hoogte gebracht van toevoegingen aan de gebruikers.
  2. Notificeer gebruikersgroepen wanneer een gebruiker wordt verwijderd
    Elke keer als een gebruiker via SCIM wordt verwijderd wordt een mailtje gestuurd naar iedereen die via de gebruikersgroepen aan de instelling is gekoppeld. Op deze manier kunnen beheerders automatisch op de hoogte worden gebracht van verwijderingen uit de gebruikers.
  3. Gebruiker verwijderen wanneer deze wordt gedeactiveerd
    De SCIM-service heeft de vervelende eigenschap dat gebruikers gedeactiveerd worden in de CrisisConnect app als ze ontkoppeld worden van de enterprise application in Azure Active Directory. De gebruiker wordt pas verwijderd als de gebruiker volledig uit Azure Active Directory wordt verwijderd. Als dit niet gebeurt blijft de gebruiker op inactief staan in CrisisConnect. Je kunt deze instelling aanvinken om gebruikers te verwijderen uit CrisisConnect op het moment dat ze ontkoppeld worden van de Enterprise Application.
  4. Webhook om aan te roepen wanneer een gebruiker wordt aangemaakt
    Na het toevoegen van een gebruiker via de SCIM-service kan het wenselijk zijn dat er een actie wordt uitgevoerd. Bijvoorbeeld het versturen van een mailtje naar die gebruiker. In dit veld kan een URL geplaatst worden die aangeroepen wordt op het moment dat een gebruiker wordt aangemaakt in CrisisConnect via Azure AD. Dit kan bijvoorbeeld een URL zijn van Microsoft Azure Power Automate of Zapier. 

Tot slot

Als de koppeling eenmaal gelegd is raden wij aan om naast het provisionen van gebruikers ook een aantal specifieke AD-groepen aan te maken en deze aan de Enterprise application te koppelen. Deze groepen worden namelijk automatisch Gebruikersgroepen in CrisisConnect en deze kunnen weer gekoppeld worden aan dossiers, piketroosters etc. Door de gebruikers reeds in AD aan de specifieke AD-groepen te koppelen wordt de taak van de CrisisConnect beheerder vereenvoudigd en verder geautomatiseerd.

    • Related Articles

    • Certificaat gaat verlopen van Azure Entra ID Enterprise application

      Na verloop van tijd ga je in Microsoft Azure de melding krijgen dat het beveiligingscertificaat van de Enterprise application gaat verlopen. Hieronder de stappen die uitgevoerd kunnen worden om het certificaat te vernieuwen. Navigeer naar de ...

    • Microsoft Power Automate

      Azure Active Directory instellingen Om gebruik te kunnen maken van Microsoft Power Automate in combinatie met CrisisConnect dient gebruik gemaakt te worden van de CrisisConnect Azure Active Directory koppeling. Deze koppeling synchroniseert ...

    • Inloggen met je bedrijfsaccount

      Op het inlogscherm van de CrisisConnect beheeromgeving zie je de button 'Bedrijfsaccount - Log in met het bedrijfsaccount van jouw organisatie'. Wat houdt dit in? Bedrijfsnetwerk koppelen aan CrisisConnect Veel organisaties werken met een ...

    • Uitnodiging webinar, enquête klanttevredenheid en schrap losse inloggegevens - oktober 2020

      In deze mailing kondigen we aan dat we in december 2020 een webinar organiseren én een enquête klanttevredenheid gaan uitvoeren onder gebruikers. Daarnaast lees je over een nieuwe koppeling, waarmee het mogelijk wordt om via je bedrijfsnetwerk in te ...

    • Schrap losse inloggegevens voor CrisisConnect - augustus 2020

      In augustus 2020 hebben we een nieuwe koppeling gerealiseerd. Hierdoor is het mogelijk om via jullie eigen bedrijfsnetwerk in te loggen in de app. Dat betekent dus niet langer een extra gebruikersnaam en wachtwoord.  Je leest de informatie hier ...