Allereerst, om Azure SSO te implementeren, zorg ervoor dat de gebruiker die dit gaat uitvoeren toegang heeft tot het SSO-menu binnen Spotler MailPro via de Gebruikersrollen en -rechten.
De procedure om Azure SSO, via de OpenID-methode, te implementeren in een Spotler MailPro-licentie bestaat uit drie stappen.
- Maak een applicatie en rolspecifieke groepen aan in Active Directory en wijs gebruikers toe aan de rolspecifieke groepen, Azure-beheerder
- Voer de gegevens van de applicatie en de groepen in binnen de Spotler MailPro applicatie, via Admin -> Azure SSO, Spotler MailPro support
- Geef de applicatie de benodigde rechten, Azure-beheerder
Applicatie aanmaken
Open in Azure Active Directory de pagina App-registraties en klik op + Nieuwe registratie.
Vul op de pagina Een applicatie registreren het formulier als volgt in:
- Naam: een beschrijvende naam voor de applicatie, bijvoorbeeld "Spotler MailPro, licentie-identificatie", waarbij de licentie-identificatie het eerste deel van de URL van de licentie is
- Ondersteunde accounttypen: de standaardoptie, "Accounts alleen in deze organisatiedirectory", is in vrijwel alle gevallen correct
- Redirect-URI: maak een redirect-URI aan voor een webplatform in het formaat: https://[licentie].webpower.eu/admin/azure/
Klik vervolgens op Registreren. Je wordt doorgestuurd naar de overzichtspagina van de nieuwe Azure-applicatie.
Kopieer de Application, client, ID en de Directory, tenant, ID uit het gedeelte Essentials naar een bestand of e-mail met gegevens voor Spotler MailPro support.
Klik in het menu op Authenticatie.
Vul onder URL voor afmelden frontkanaal de logout-URI in volgens het formaat: https://[licentie].webpower.eu/admin/azure/logout/
Selecteer onder Stromen voor impliciete toekenning en hybride stromen het selectievakje voor ID-tokens, gebruikt voor impliciete en hybride stromen.
Klik daarna op Opslaan.
Klik in het menu op Certificaten en geheimen, ga naar het tabblad Client secrets en klik op + Nieuw client secret.
Belangrijk
Voor Azure Single Sign-On, SSO, wordt authenticatie op basis van een clientcertificaat niet ondersteund.
Binnen Spotler MailPro wordt uitsluitend authenticatie via een client secret ondersteund.
Dit betekent dat bij het configureren van Azure SSO altijd een client secret moet worden aangemaakt en gebruikt. Een configuratie op basis van een certificaat zal niet werken.
Geef een omschrijving op, selecteer de geldigheidsperiode van het client secret en klik op Toevoegen.
Kopieer de waarde van het client secret en de vervaldatum naar het bestand of de e-mail met gegevens voor Spotler MailPro support. De waarde kan later niet meer worden opgehaald.
Let op: zodra het client secret is verlopen, zullen verzoeken van de Spotler MailPro-licentie naar het Microsoft-platform mislukken en kunnen gebruikers niet meer inloggen in de licentie.
Beveiligingsgroepen aanmaken en koppelen aan een Spotler MailPro-rol
Open in Azure Active Directory de pagina Groepen en klik op + Nieuwe groep.
Selecteer Beveiligingsgroep als type, geef een beschrijvende naam op en klik op Aanmaken.
Ga nu in Spotler MailPro naar Admin -> Azure SSO.
Gebruik de Object ID van de Azure-groepen en koppel deze aan de groepsnamen in Spotler MailPro.
De gebruiker zou nu moeten kunnen inloggen.
Benodigde rechten voor een correcte login
Het kan voorkomen dat er na de configuratie een Microsoft-venster verschijnt waarin om beheerdersgoedkeuring wordt gevraagd. In dat geval moeten de rechten worden aangepast om het inloggen mogelijk te maken.
De volgende rechten moeten zijn ingesteld:
| Recht | Type | Reden |
|---|---|---|
| https://graph.microsoft.com/Directory.Read.All | Gedelegeerd, werk of schoolaccount | Het lezen van de groepen van de gebruiker die inlogt op een MailPro-licentie |
| https://graph.microsoft.com/User.Read | Gedelegeerd, werk of schoolaccount | Het lezen van het profiel van de gebruiker die inlogt op een MailPro-licentie |
| https://graph.microsoft.com/GroupMember.Read.All | Applicatie | Het lezen van de leden van de gekoppelde groepen om gebruikers aan te maken of bij te werken in de MailPro-licentie |
Zo zou dit eruit moeten zien in Azure: