Hoe werkt de Single Sign-On (SSO) koppeling van Microsoft Azure van BinnenBeter?
In plaats van direct te koppelen met de omgeving van de gemeente, hebben we ervoor gekozen om een aparte tenant specifiek voor BinnenBeter aan te maken. Dit houdt in dat BinnenBeter zijn eigen aparte identiteitsomgeving heeft, gescheiden van de gemeentelijke omgeving. Om gebruikers van de gemeente toegang te geven tot BinnenBeter middels SSO, worden ze als gastgebruiker toegevoegd aan de tenant van BinnenBeter. Hierbij worden geen persoonlijke gegevens aan de tenant toegevoegd, aangezien de gebruiker alleen als gast wordt toegevoegd. Er is gekozen voor deze aanpak omdat deze de flexibiliteit biedt om ook aannemers uit te nodigen voor het gebruiken van SSO.
Beheer van gebruikers
Het beheer van gebruikers blijft binnen BinnenBeter, waardoor de gemeente kan bepalen welke gebruikers toegang hebben. Een gebruiker moet eerst in BinnenBeter zijn toegevoegd, waar wordt bepaald welke gebruikersrol en welke toestemmingen deze gebruiker heeft.
Vanuit hier kan de gemeente ook de SSO opties beheren: ze kunnen een gebruiker vanuit de applicatie direct uitnodigen voor SSO en afdwingen dat een gebruiker enkel met SSO kan inloggen.
Wanneer een gebruiker enkel met SSO kan inloggen en als gebruikers verwijderd wordt vanuit de eigen Azure omgeving, dan heeft deze ook geen toegang meer tot BinnenBeter, ondanks dat het gebruikersaccount in BinnenBeter nog kan bestaan.
Daarnaast kan een gebruiker ook uit BinnenBeter verwijderd worden. Dan kan deze gebruiker ook niet meer met SSO inloggen, ook niet als deze nog als gastgebruiker in de Microsoft Azure tenant van BinnenBeter geregistreerd staat.
Toepassing van gemeentelijke access policies
Binnen de SSO-koppeling blijven de access policies van de gemeente van kracht voor de gebruikers. Dit betekent dat de rechten en beperkingen die de gemeente heeft ingesteld voor hun gebruikers, ook gelden wanneer ze toegang krijgen tot BinnenBeter.
Naast de bestaande access policies van de gemeente kunnen we extra beveiligingsmaatregelen instellen op de tenant van BinnenBeter. Hierdoor kunnen we specifieke vereisten of restricties toevoegen die alleen gelden voor toegang tot BinnenBeter, zonder de rest van de gemeentelijke omgeving te beïnvloeden.
Authenticatie met Microsoft-account
De genodigde gebruiker ontvangt een uitnodigingsmail van BinnenBeter met een link naar de inlogpagina. Daar loggen ze in met hun eigen Microsoft-account, waardoor de authenticatie via Azure AD verloopt.
Na het selecteren van hun Microsoft-account, worden gebruikers gevraagd om hun identiteit te verifiëren. Dit kan worden gedaan via verschillende methoden, waaronder het gebruik van de Microsoft Authenticator-app. Gebruikers openen de app, verifiëren hun identiteit met een verificatiecode of biometrische gegevens en geven toestemming voor de inlogpoging.
Zodra de identiteit van de gebruiker is geverifieerd, genereert Azure AD een uniek token voor die sessie. Dit token wordt gebruikt om de gebruiker naadloos in te loggen op BinnenBeter, waarbij het SSO-mechanisme ervoor zorgt dat de gebruiker niet opnieuw hoeft in te loggen bij andere gekoppelde applicaties binnen het BinnenBeter-ecosysteem.
Lees ook de gebruikershandleiding de procedure van het aanmelden van Single Sign-On (SSO)
