Single Sign-On Veelgestelde vragen

Dit gedeelte bevat veelgestelde vragen over het integreren van single sign-on met Cloud.

Hoe veilig is de SSO-integratie van Cloud?

Alle gebruikersgegevens die worden doorgegeven tussen uw identiteitsleverancier en CWI worden versleuteld via het SSL-protocol (Secure Sockets Layer) en ondertekend met behulp van JSON Web Encryption. Wanneer gebruikers zijn aangemeld bij de identity provider van je bedrijf, worden de identiteitsgegevens van de gebruiker (login, gebruikersnaam en wachtwoord) nooit gedeeld met Cloud. Alleen de basisprofielgegevens van de gebruiker (naam en e-mailadres) worden met ons gedeeld om de gebruiker te verifiëren.

Welk autorisatieprotocol wordt gebruikt?

We gebruiken het autorisatieprotocol OpenID Connect.

Kunnen medewerkers zich nog steeds aanmelden met Cloud-referenties nadat SSO is ingeschakeld?

Nadat een medewerker SSO heeft gebruikt om zich aan te melden bij Cloud, kan hij of zij zich alleen nog aanmelden via single sign-on. Als een medewerker zich probeert aan te melden met zijn Cloud-referenties, wordt er een foutbericht weergegeven met de instructie om SSO te gebruiken.

Nadat ik mijn identity provider heb verwijderd en opnieuw heb toegevoegd, kunnen sommige gebruikers zich niet aanmelden. Waarom?

Als je je identity provider hebt verwijderd en opnieuw hebt toegevoegd, kunnen gebruikers die zich voor de verwijdering hebben geverifieerd zich niet aanmelden. Om deze gebruikers weer aan te laten melden, moet je nieuwe referenties voor ze aanmaken in Azure AD. Dit proces zal in toekomstige versies niet meer nodig zijn.

Kunnen contactpersonen SSO gebruiken?

Op dit moment hebben contactpersonen niet de mogelijkheid om SSO te gebruiken.

We've enabled two-factor authentication. Wat gebeurt er als we ook SSO inschakelen?

Als SSO is ingeschakeld voor een bedrijf, kunnen SSO-gebruikers geen gebruik meer maken van de twee-factor authenticatiefunctie van Cloud. Het is namelijk best practice dat je vertrouwde identiteitsleverancier de controle heeft over het authenticatieproces. Als je tweefactorauthenticatie wilt inschakelen, raden we je aan dit te doen via je identiteitsprovider.

Tweefactorauthenticatie blijft beschikbaar voor niet-SSO-gebruikers.

Wat gebeurt er als ik het account van een medewerker toevoeg aan Cloud voordat ik het toevoeg aan Azure AD?

Als je een personeelsaccount hebt toegevoegd aan Cloud maar niet aan Azure AD, kan die gebruiker zich niet aanmelden met SSO. Om een medewerker in staat te stellen zich aan te melden met SSO, voeg je een nieuwe gebruiker toe aan Azure AD met als gebruikersnaam het e-mailadres dat is gekoppeld aan het Cloud-account van die medewerker.

Wat gebeurt er als ik uitlog bij mijn identity provider terwijl ik nog steeds ben aangemeld bij Cloud?

Je blijft ingelogd in Cloud zolang je sessie actief is. Als je sessie eindigt, moet je opnieuw inloggen bij je identity provider voordat je je kunt aanmelden bij Cloud met SSO.

Een medewerker met de accountstatus Inactief kan zich nog steeds aanmelden bij Cloud. Waarom?

Na het inschakelen van single sign-on wordt accounttoegang beheerd via Azure AD. Om te voorkomen dat een gebruiker toegang krijgt tot Cloud, moet je zijn account verwijderen. Zie Gebieden toevoegenvoor meer informatie. Gebruikers toevoegen of verwijderen met Azure Active Directory.

Een medewerker wiens account is verwijderd in Azure AD is nog steeds aangemeld bij Cloud. Waarom?

Als je een gebruikersaccount in Azure AD verwijdert terwijl ze nog zijn aangemeld bij Cloud, blijven ze actief in Cloud totdat hun sessie afloopt of ze zich afmelden, waarna ze zich niet meer kunnen aanmelden bij Cloud.

Waarom kan ik accountnamen, e-mailadressen of wachtwoorden niet bewerken in Cloud?

Na het inschakelen van single sign-on worden accountnamen, e-mailadressen en wachtwoorden beheerd via Azure AD. Zie Gebieden toevoegenvoor meer informatie. Voeg profielinformatie van een gebruiker toe of werk deze bij met behulp van Azure Active Directory.

Het e-maildomein van ons bedrijf is veranderd, hoe kan ik de e-mailadressen van het personeel in bulk bijwerken?

Bedrijven met SSO ingeschakeld kunnen het e-mailveld voor medewerkers niet rechtstreeks bewerken. Als je de e-mailadressen van je medewerkers in bulk moet bijwerken, neem dan contact op met Caseware Support voor hulp. We moeten de e-mailadressen in Cloud bijwerken op hetzelfde moment dat je je Active Directory bijwerkt om ervoor te zorgen dat je personeel toegang tot Cloud behoudt.

Als de identity provider van ons bedrijf een storing heeft, hoe kunnen gebruikers zich anders aanmelden bij Cloud?

Gebruikers kunnen zich niet aanmelden bij Cloud als er een storing is bij je identity provider. We raden aan om een beheerdersaccount aan te houden dat geen gebruik maakt van je identiteitsprovider om toegang tot Cloud te garanderen in geval van nood.

Wat gebeurt er als mijn klantgeheim verloopt?

Als je clientgeheim verloopt, kunnen SSO-gebruikers niet meer inloggen op Cloud. Je moet een nieuw clientgeheim genereren en je identiteitsgegevens bijwerken in Cloud.

  1. Log in bij Cloud met je Cloud-referenties.

  2. Selecteer in het cloudmenu () Instellingen|Enkelvoudige aanmelding | Identiteitsprovider.

  3. Selecteer het pictogram XBRL ().

  4. Voer de juiste informatie in voor je identity provider in de velden Identity provider metadata endpoint, Client IDen Client secret .

We raden aan om Nooit verloopt te selecteren bij het genereren van je cliëntgeheim om onverwacht verlies van toegang voor SSO-gebruikers te voorkomen.

Hoe kan ik de toegang tot de Cloud beperken zodat medewerkers er alleen vanaf hun werkcomputers toegang toe hebben?

Als je Cloud-toegang wilt beperken tot werkcomputers, overweeg dan om vertrouwde locaties toe te voegen aan Azure AD. Hiermee kun je toegang beperken op basis van IP-adressen, zoals het kantoor- of VPN-IP.

Hoe kan ik SSO uitschakelen voor mijn bedrijf?

Als je SSO voor jouw bedrijf wilt uitschakelen, neem dan contact op met je lokale distributeur.

Nadat SSO is uitgeschakeld, kunnen gebruikers inloggen met hun vorige Cloud-referenties. Gebruikers van wie het wachtwoord is verlopen of die alleen SSO hebben gebruikt om in te loggen bij Cloud, kunnen de link Wachtwoord vergeten? gebruiken om een wachtwoord voor hun account aan te maken. Indien nodig kan de bedrijfsbeheerder ook wachtwoorden voor gebruikers opnieuw instellen.

Waarom krijg ik een foutmelding?

Als Cloud of SSO verkeerd is geconfigureerd, kunt u een van de onderstaande foutmeldingen zien wanneer u zich probeert aan te melden.

Foutbericht: Probeer het later opnieuw. De server is een onbekende fout tegengekomen. Als het probleem zich blijft voordoen, neem dan contact op met onze supportafdeling.

Dit probleem wordt meestal veroorzaakt door een verlopen clientgeheim in de SSO-provider. Een admin-gebruiker van het bedrijf moet zijn SSO-configuratie bijwerken.

  1. Het clientgeheim opnieuw genereren. Dit kan worden gedaan via je SSO-provider.

  2. Log in to Caseware Cloud.

    Let op: Als u niet kunt inloggen, neem dan contact op met uw lokale distributeur en vraag of hij SSO voor uw beheerdersaccount kan uitschakelen. Voeg de volgende informatie toe aan je verzoek:

    • De volledige URL van het bedrijf

    • Het e-mailadres van uw beheerdersaccount waar SSO moet worden uitgeschakeld

    • Schriftelijke clientmachtiging om SSO voor het beheerdersaccount uit te schakelen

    Als SSO is uitgeschakeld voor het beheerdersaccount, gebruik dan de optie Wachtwoord vergeten op de inlogpagina om een nieuw wachtwoord in te stellen en in te loggen bij Cloud.

  3. Werk de SSO-configuratie in Cloud bij met het nieuwe clientgeheim. Hierdoor wordt de inlogtoegang voor andere gebruikers hersteld.

  4. Als SSO was uitgeschakeld voor je beheerdersaccount, log dan opnieuw in met SSO om het weer in te schakelen. U kunt SSO ook uitgeschakeld laten voor uw account voor het geval dit probleem zich in de toekomst voordoet.

  5. Herinneringen/bewaking instellen voor het verlopen van het cliëntgeheim. Het bedrijf kan toekomstige lock-outs voorkomen door het klantgeheim te roteren vóór de volgende vervaldatum.

Foutbericht: "Het spijt ons ... Onverwachte fout bij verificatie met identiteitsprovider"

Bij het configureren van je identity provider heb je mogelijk een verkeerde client secret of client ID ingevoerd.

  1. Log in bij Cloud met je Cloud-referenties.

  2. Selecteer in het cloudmenu () Instellingen|Enkelvoudige aanmelding | Identiteitsprovider.

  3. Selecteer het pictogram XBRL ().

  4. Voer de juiste informatie in voor je identity provider in de velden Identity provider metadata endpoint, Client IDen Client secret .

Foutbericht: AADSTS70001 Toepassing met identificator ... werd niet gevonden in de map ..."

Bij het configureren van Azure AD heb je mogelijk een onjuiste identiteitsprovider ingevoerd.

  1. Log in bij Cloud met je Cloud-referenties.

  2. Selecteer in het menu Cloud () Instellingen | Eenmalige aanmelding | Identiteitsprovider.

  3. Selecteer het pictogram XBRL ().

  4. Voer de juiste informatie in voor je identity provider in de velden Identity provider metadata endpoint, Client IDen Client secret .

Foutbericht: AADSTS50011 De antwoord-url in het verzoek komt niet overeen met de antwoord-url's die zijn geconfigureerd voor de applicatie ..."

Mogelijk heb je een onjuiste antwoord-URL ingevoerd in Azure.

  1. Selecteer Azure Active Directory | App Registrationin het linker navigatiedeelvenster in Azure .

  2. Selecteer je app en vervolgens Instellingen | URL's beantwoorden.

  3. Selecteer de knop Contextmenu naast je antwoord-URL en selecteer vervolgens Verwijderen.

  4. Voeg je antwoord-URL opnieuw toe en selecteer Opslaan.

Foutbericht: AADSTS7000215 Ongeldig clientgeheim opgegeven. Zorg ervoor dat het geheim dat in het verzoek wordt verzonden de waarde van het cliëntgeheim is, niet de ID van het cliëntgeheim

Bij het configureren van Azure ADheb je mogelijk de Client ID ingevuld in het veld Client secret.

  1. Controleer of de waarde van het cliëntgeheim correct is. Als de waarde is gekopieerd volgens de instructies, zoek dan de clientgeheimen die zijn opgeslagen in Azure AD en controleer of deze overeenkomen met ID's. Als de gekopieerde waarde overeenkomt met een ID of als je de waarde van het cliëntgeheim niet hebt gekopieerd, verwijder dan het huidige geheim en maak een nieuwe aan. Zorg ervoor dat je de geheime waarde van de client kopieert.

  2. Log in bij Cloud met je Cloud-referenties.

  3. Selecteer in het menu Cloud () Instellingen | Eenmalige aanmelding | Identiteitsprovider.

  4. Selecteer het pictogram XBRL ().

  5. Voer de juiste informatie in voor je identity provider in de velden Identity provider metadata endpoint, Client IDen Client secret . Het veld Client ID moet overeenkomen met de Application ID en het veld Client secret moet overeenkomen met de waarde van het clientgeheim uit stap 1 (niet met de Secret ID).

Foutbericht: "Geen beschikbare licenties voor cloud-toegang. Neem contact op met uw beheerder om extra licenties te verkrijgen."

Het aantal gebruikers in je Active Directory-domein is groter dan het aantal beschikbare Cloud-licenties. Als het aantal gebruikers in uw Active Directory-domein groter is dan het aantal beschikbare licenties, kunnen sommige medewerkers zich niet aanmelden. Om het voor alle medewerkers mogelijk te maken zich aan te melden, schaft u voor elk personeelslid een licentie aan bij MyCaseware of neemt u contact op met uw lokale distributeur.

Foutbericht: "Account bestaat al. Gebruiker met e-mail ... bestaat al. Hoe wil je verder?"

Deze fout treedt op nadat een gebruiker is verwijderd uit Azure en een andere gebruiker is toegevoegd met hetzelfde e-mailadres.

Om dit probleem op te lossen, verwijdert u het Cloud-account dat is gekoppeld aan het e-mailadres dat in de foutmelding wordt weergegeven en laat u de gebruiker zich opnieuw aanmelden met SSO.

Dit proces zal in toekomstige versies niet meer nodig zijn.

Foutbericht: "Het ontvangen token mist de volgende beweringen: e-mail vereist voor systeemtoegang. Neem contact op met uw beheerder."

De Caseware Cloud SSO-integratie is ontworpen om 'gebruikersnaam' en 'e-mail' als verschillende claims te herkennen. Onze integratie vereist de 'e-mail'-claim om goed te werken. De 'e-mail'-claim wordt alleen geleverd door gastgebruikers en beheerde gebruikers die zijn geïntegreerd via Office365. Als de gebruikers van je bedrijf zijn ingesteld via Office365, volg dan de instructies van Azure om de 'e-mail' claim te beheren via het Office admin portaal.