Single sign-on: Veelgestelde vragen

Hieronder vindt u de veelgestelde vragen over de integratie van single sign-on met Cloud.

Hoe veilig is de Cloud SSO-integratie?

Alle gebruikergegevens die worden overgebracht tussen uw identiteitsprovider en CWI worden versleuteld met het Secure Sockets Layer (SSL) protocol en getekend met JSON Web Encryption. Als gebruikers zijn ingelogd in de identiteitsprovider van uw organisatie worden de identiteitsreferenties van de gebruiker (zoals hun logingegevens, gebruikersnaam en wachtwoord) niet gedeeld met Cloud. Het enige wat wordt gedeeld is de algemene informatie van het gebruikersprofiel (hun naam en e-mailadres) wat wordt gebruikt om de gebruiker te valideren.

Als de SSO is ingeschakeld, kunnen gebruikers dan nog met hun gebruikersnaam en wachtwoord inloggen?

Zodra een medewerker de SSO voor de eerste keer heeft gebruikt om bij Cloud in te loggen kunnen zij vanaf dan alleen nog inloggen via single sign-on. Als medewerkers daarna nog proberen in te loggen met hun gebruikersnaam en wachtwoord komt er een foutmelding op die aangeeft dat de SSO moet worden gebruikt.

Ik heb mijn identiteitsprovider verwijderd en opnieuw toegevoegd maar sommige gebruikers kunnen nu niet inloggen. Hoe komt dit?

Als de identiteitsprovider opnieuw wordt toegevoegd kunnen gebruikers die voor het verwijderen gevalideerd waren inderdaad niet meer inloggen. U moet dan nieuwe referenties voor deze gebruikers aanmaken in Azure AD. Vanaf de volgende versies is dit proces niet meer nodig.

Kunnen contactpersonen ook gebruik maken van SSO?

Contactpersonen kunnen nog geen gebruik maken van de SSO.

Wij hebben de twee-factor-authenticatie ingeschakeld. Wat gebeurt daarmee als we SSO inschakelen?

Als SSO is ingeschakeld voor uw Cloudomgeving kunnen SSO-gebruikers de twee-factor-authenticatie van Cloud niet meer gebruiken. Uw identiteitsprovider biedt een meer beveiligde verbinding en neemt zo het validatieproces over. Als u toch gebruik wilt blijven maken van de twee-factor-authenticatie raden wij aan dit te doen via uw identiteitsprovider.

De twee-factor-authenticatie kan nog altijd gebruikt worden door gebruikers die geen SSO-integratie hebben ingesteld.

Wat gebeurt er als een medewerker wel een account in Cloud heeft maar nog niet in Azure AD?

Als een medewerker is toegevoegd in Cloud voordat deze een account heeft in Azure AD dan kan deze gebruiker nog niet inloggen met SSO. Voeg een nieuwe gebruiker toe aan Azure AD met hetzelfde e-mailadres dat de medewerker gebruikt voor Cloud.

Wat gebeurt er als ik uitlog bij mijn identiteitsprovider en ik ben nog ingelogd bij Cloud?

U blijft ingelogd bij Cloud zolang uw sessie actief blijft. Als de sessie verloopt moet u opnieuw inloggen bij uw identiteitsprovider voordat u weer met SSO bij Cloud kunt inloggen.

Er staat een medewerker op Inactief maar kan nog steeds inloggen in Cloud. Hoe komt dit?

Als de single sign-on is ingeschakeld worden de inlogmogelijkheden beheerd via Azure AD. Als u een gebruiker geen toegang meer wilt verlenen tot Cloud moet u hun account verwijderen. Voor meer informatie, zie Gebruikers toevoegen of verwijderen met Azure Active Directory.

Het account van een medewerker is verwijderd uit Azure AD, maar de gebruiker is nog steeds ingelogd in Cloud. Hoe komt dit?

Als de account uit Azure AD verwijderd wordt terwijl de gebruiker nog ingelogd is in Cloud dan blijft diegene ingelogd tot hun sessie verloopt of tot ze uitloggen. Daarna kunnen ze niet meer inloggen bij Cloud.

Waarom kan ik sommige velden, zoals de naam, het e-mailadres of het wachtwoord van een account, niet meer wijzigen in Cloud? 

Als de single sign-on is ingeschakeld worden namen, e-mailadressen en wachtwoorden beheerd via Azure AD. Voor meer informatie, zie De profielgegevens van een gebruiker toevoegen of bijwerken met behulp van Azure Active Directory.

Als onze identiteitsprovider down is, hoe kunnen gebruikers dan bij Cloud inloggen?

Als de identiteitsprovider down is kunnen gebruikers niet inloggen bij Cloud. Wij raden aan om altijd een (back-up) beheerdersaccount te gebruiken die geen gebruik maakt van de identiteitsprovider zodat u altijd toegang blijft houden tot Cloud.

Wat gebeurt er als mijn cliëntgeheim verloopt?

Als het cliëntgeheim verloopt kunnen SSO-gebruikers niet meer inloggen bij Cloud. U moet dan een nieuw cliëntgeheim aanmaken en de gegevens van de identiteitsprovider in Cloud bijwerken.

  1. Log in bij Cloud met uw gebruikersnaam en wachtwoord.

  2. Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.

  3. Klik op de knop Bewerken ().

  4. Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.

We raden daarom aan om de optie Verloopt nooit te kiezen zodat er niet onverwacht een aantal SSO-gebruikers geen toegang meer heeft.

Hoe kan ik de toegang tot Cloud beperken zodat gebruikers alleen toegang hebben vanaf hun werkcomputers?

Als u Cloud wilt beperken tot alleen toegang via werkcomputers kunt u vertrouwde locaties aan Azure AD toevoegen. Hiermee kunt u toegang beperken op basis van IP-adressen, zoals die van het kantoor of de VPN IP.

Hoe kan ik de SSO uitschakelen?

Als u SSO weer wilt uitschakelen voor uw Cloudomgeving, neem dan contact op met onze supportafdeling.

Zodra de SSO is uitgeschakeld kunnen gebruikers weer inloggen met hun gebruikersnaam en wachtwoord. Als gebruikers hun wachtwoord vergeten zijn, of als zij alleen nog gebruik hebben gemaakt van SSO, kunnen zij via de optie Wachtwoord vergeten? een nieuw wachtwoord aanmaken. Indien nodig kan de beheerder ook de wachtwoorden resetten voor de gebruikers.

Waarom krijg ik een foutmelding?

Als er iets mis is gegaan bij het instellen van Cloud of Azure AD dan kan het zijn dat u een van de volgende foutmeldingen krijgt bij het aanmelden.

Het spijt ons... Er is een onverwachte fout opgetreden bij de authenticatie met de identiteitsprovider.

Het is mogelijk dat u bij het instellen van de identiteitsprovider een verkeerd cliëntgeheim of klant-ID heeft opgegeven.

  1. Log in bij Cloud met uw gebruikersnaam en wachtwoord.

  2. Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.

  3. Klik op de knop Bewerken ().

  4. Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.

AADSTS70001: Applicatie met ID ... is niet gevonden in de directory ...

Het is mogelijk dat bij het instellen van Azure AD u een verkeerde identiteitsprovider heeft ingevoerd.

  1. Log in bij Cloud met uw gebruikersnaam en wachtwoord.

  2. Ga vanuit het Cloudmenu () naar Instellingen | Single Sign-On | Identiteitsprovider.

  3. Klik op de knop Bewerken ().

  4. Voer de juiste informatie in voor de identiteitsprovider in de velden Metadata-eindpunt identiteitsprovider, Klant-ID en Cliëntgeheim.

AADSTS50011: De gebruikte antwoord-URL komt niet overeen met de antwoord-URL die is ingesteld voor de applicatie ...

Het is mogelijk dat u een verkeerde antwoord-URL in Azure heeft opgegeven.

  1. In het linker navigatiepaneel klikt u op Azure Active Directory | App-registraties.

  2. Selecteer de juiste applicatie en klik op Instellingen | Antwoord-URL's.

  3. Klik op de knop Contextmenu naast de antwoord-URL en klik op Verwijderen.

  4. Voeg de antwoord-URL opnieuw toe en klik op Opslaan.

Er zijn geen Cloudlicenties beschikbaar. Neem contact op met uw beheerder om extra licenties te verkrijgen.

U heeft niet genoeg beschikbare Cloud licenties voor alle gebruikers in uw Active Directory-domein. Als het aantal gebruikers in uw Active Directory-domein hoger is dan het aantal beschikbare licenties kunnen sommige medewerkers niet inloggen. Om al uw medewerkers te laten inloggen kunt u extra licenties aankopen vanuit MyCaseware of neem contact op met Caseware NL.

Account bestaat al. Er is al een gebruiker met het e-mailadres ... Hoe wilt u verder gaan?

Deze foutmelding komt op als een gebruiker verwijderd is van Azure en er is een andere gebruiker met hetzelfde e-mailadres toegevoegd.

Om dit probleem te omzeilen kunt u het Cloudaccount gekoppeld aan het e-mailadres uit de melding verwijderen. De gebruiker kan dan opnieuw proberen in te loggen via SSO.

Vanaf de volgende versies is dit proces niet meer nodig.

De ontvangen token mist de volgende claims: email is nodig voor toegang tot het systeem. Neem contact op met uw beheerder.

De integratie tussen Caseware Cloud en SSO is zo opgesteld dat de 'username' en 'email' claims herkend worden. Voor onze integratie is de 'email'-claim nodig om goed te kunnen werken. Deze 'email'-claim wordt alleen opgegeven door gastgebruikers en beheerde gebruikers via Office365. Als uw gebruikers ingesteld zijn via Office365 volg dan de Azure instructies om de 'email'-claim in te stellen via het Office beheerdersportaal.