Skip to main content

Single Sign On

Voor zowel het dashboard als frontend is het mogelijk SSO in te stellen. Binnen het dashboard is geen configuratie vereist. Voor de front-end variant wel. Met de volgende stappen is dit aan te maken:

Instellen in dashboard

Binnen het CMS dient Oauth login ingeschakeld te worden. Dit is feature oauth-login. Vanaf dat moment kan er binnen de instellingen van een domein worden gekozen voor SSO login.

Overige instellingen volgen in de database:

  • Vanuit cl_domain het ID van het domein ophalen
  • In het ex_provider tabel staan de providers als microsoft of google
  • In cl_domain_ex_provider plaats je koppeling tussen domein en provider
  • In cl_domain_settings is het mogelijk een filter te plaatsen (oauth_filter)

Voorbeeld van een filter waar e-mails met de volgende URL zijn toegestaan:

{
    "email": [
        "*@maersk.com",
        "*@safmarine.com",
        "*@blueberry.nl",
        "*@maglr.com",
        "*@seagoline.com",
        "*@sealand.com",
        "*@sealandmaersk.com",
        "*@damco.com",
        "*@transamar.es",
        "*@apmterminals.com",
        "*@malagasyshipping.com",
        "*@lns.maersk.com",
        "*@twill.net",
        "*@hamburgsud.com",
        "*@alianca.com.br"
    ]
}

We kunnen filteren op:

  • E-mail domein
  • Of gebruiker in specifieke groep zit

Azure AD

Gebruikt de organisatie Microsoft, en hebben we de provider correct ingesteld sturen we de gebruiker door naar Microsoft.

Standaard moet een gebruiker akkoord gaan met het delen van de informatie. Dit delen doen ze met 'Maglr', de applicatie die we eigenlijk koppelen.

Binnen AzureAD -> App registraties -> Maglr staat de app geregistreerd. 


Toepassings-id
6a93cafe-ced9-4730-9c36-2ae21c39ea07

Object-id
db5e6f6d-6318-48b5-b174-8d6b6bf11fbe

Rechten
Group.Read.All
User.Read

Gebruikt de organisatie Microsoft, en hebben we de provider correct ingesteld sturen Indien een gebruiker eenmaal met deze app is gekoppeld kan het beheer van de organisatie de tussenstap eventueel uitschakelen. Zij vertrouwen de app waardoor medewerkers niet steeds de 'consent' vraag krijgen of zij informatie met Maglr willen delen.

Vanuit het profiel vragen we met bovenstaande rechten zo min mogelijk informatie. E-mail is nodig voor verificatie domein, de groepen zijn nodig voor controle op groep.

Gebruikersinformatie

Eenmaal een keer aangemeld worden de tokens en de gebruikers opgeslagen in de database. Deze zijn te vinden in het ex_user tabel of de oath_ tabellen. Deze informatie gebruiken we enkel voor authenticatie.