Single Sign On (SSO)
Opmerking: het opzetten van SSO vereist technische expertise en beheerders rechten bij ForceFlow als bij de (identity) provider.
ForceFlow ondersteunt SSO via oAuth2 en geeft gebruikers toegang tot ForceFlow via een provider die je zelf kiest.
Momenteel ondersteunt ForceFlow de volgende providers:
- Okta
- Microsoft Entra ID
De voordelen van SSO:
- Je hoeft maar in 1 omgeving aan te melden. Deze kan je bijvoorbeeld extra beschermen met 2 staps authenticatie.
- ForceFlow kan gepubliceerd worden op een dashboard en start automatisch op zodra je hierop klikt.
- Beheer van gebruikers wordt vereenvoudigd.
Je kunt binnen ForceFlow afdwingen dat gebruikers met SSO moeten aanmelden, hierdoor kunnen ze niet meer rechtstreeks aanmelden bij ForceFlow. Daarnaast kunnen ze ook geen wachtwoord vergeten functionaliteit gebruiken, geen wachtwoord wijzigen en geen twee staps authenticatie aanzetten.
De tijd dat je aangemeld blijft wordt beperkt tot 12 uur (in plaats van de standaard 30 dagen), zodat de beheerder het account bij de (identity) provider binnen een dag kan blokkeren zonder dat in ForceFlow te hoeven doen.
Voor SSO is wel vereist dat er een gebruikersaccount aanwezig is binnen ForceFlow met hetzelfde e-mail adres als binnen de (identity) provider.
Voordat je SSO gaat activeren binnen ForceFlow maak je eerst de ForceFlow applicatie aan binnen je (identity) provider:
Opzetten SSO binnen ForceFlow
Om van start te gaan met SSO binnen ForceFlow moet je een aantal instellingen van je (identity) provider overnemen.
Ga naar de bedrijfsinstellingen -> Gebruikers ( https://app.forceflow.nl/company/users)
Klik hier op de knop
Vervolgens kun je onderstaande scherm invullen (er is al voorbeeld data ingevuld):
- Ingeschakeld: met deze checkbox kun je SSO in en uit schakelen.
- Provider: selecteer hier je identity provider.
- Domein: vul in het domein of tenantId van jouw organisatie bij de provider.
- Client Id en Client Secret: dit zijn de client credentials van de applicatie bij de provider (gebruik bij EntraId de value van client secret).
- SSO afdwingen: zet dit aan om gebruikers alleen met SSO te laten aanmelden. Alleen een beheerder kan met zijn ForceFlow account aanmelden.
Gebruikers toegang geven
Je moet eerst de gebruiker in zowel je (identity) provider als ForceFlow aanmaken met hetzelfde e-mail adres.
Vervolgens kan de gebruiker op 2 manieren aanmelden:
- Via het dashboard van de provider als een initiate login URI is ingesteld en de applicatie is gepubliceerd (zie daarvoor het instellen van een provider)
Via https://app.forceflow.nl/sso waar de gebruiker zijn e-mail adres (eenmalig) moet invullen. Hij wordt dan automatisch naar de provider geleid, die de gebruiker een inlogscherm geeft of indien al aangemeld automatisch ForceFlow aanmeldt.
Je kunt gebruikers uitnodigen door op deze knop te klikken in gebruikersbeheer bij de betreffende gebruiker.
Wanneer je je afmeldt binnen ForceFlow dan zal je alleen afgemeld worden van ForceFlow, niet van de SSO provider.
Gebruikers deactiveren
Je kunt op 2 manieren een gebruiker waarbij afgedwongen is dat hij/zij SSO gebruikt deactiveren:
- Rechtstreeks in ForceFlow, de gebruiker wordt direct afgemeld.
- Binnen de (identity) provider. De gebruiker kan dan nog maximaal 12 uur de beschikking hebben over ForceFlow (het token expired na 12 uur).
Uiteraard kun je beiden uitvoeren.
Let op: Wanneer je de gebruiker alleen deactiveert binnen de (identity) provider dan zal het abonnement niet verlaagd worden, je moet daarvoor de gebruiker ook in ForceFlow deactiveren.