Inleiding
In deze handleiding worden de stappen beschreven die nodig zijn om een koppeling tussen Swing en een door de klant beheerde Azure Active Directory (Azure AD) te realiseren. Swing biedt de mogelijkheid om zowel de authenticatie als de autorisatie via Azure AD in te stellen, waarbij de groepsinformatie van de gebruiker wordt gebruikt om de toegang te bepalen. Indien de klant dit niet wenst, kan ervoor gekozen worden om alleen de authenticatie via Azure AD te laten verlopen en de autorisatie binnen Swing zelf te configureren.
Gebruikers die zich via Azure AD willen authenticeren, moeten ook bekend zijn binnen Swing. Dit houdt in dat er een gebruikersaccount met dezelfde gebruikersnaam (overeenkomend met het e-mailadres in Azure AD) in Swing moet bestaan. Hieronder volgen de stappen die de klant moet ondernemen om deze koppeling tot stand te brengen.
Configureer de Azure AD tenant
In de eerste stap wordt binnen de Azure AD tenant een nieuwe app-registratie aangemaakt:
Geef de applicatie een logische naam: (bijvoorbeeld de url).
Registreer de applicatie.
Er wordt vervolgens een scherm getoond met een aantal id’s. De volgende id’s zijn straks nodig om Swing te configureren: het client-id en het tenant-id
De volgende stap is het configureren van de omleidings-URL’s. Nadat de gebruiker is ingelogd in Azure AD, moet deze worden teruggeleid naar de webapplicatie. Azure AD stuurt daarbij informatie mee over de ingelogde gebruiker. Om veiligheidsredenen zal Azure AD de gebruiker alleen doorsturen naar een URL die vooraf binnen de app-registratie is geconfigureerd. Klik hiervoor op de overzichtspagina op de link “Een omleidings-URL toevoegen”.
Klik vervolgens op “Een platform toevoegen” en kies “Web”.
Vul de URL in die u van ABF heeft ontvangen en vink “Id-tokens” aan:
De URL is de basis URL van de Swing applicatie + /AADLogin/signin-oidc
Voorbeeld: https://accept-demo.swing.eu/AADLogin/signin-oidc
Klik daarna op “Configure”.
De laatste stap is om toestemming te verlenen aan de organisatie om het gebruikersprofiel te lezen. Ga hiervoor naar "API permissions" en verleen namens uw organisatie toestemming voor de vereiste API-machtigingen. Zie de onderstaande screenshot voor een visuele toelichting.
Nu is de app-registratie compleet en kan Swing geconfigureerd worden. De volgende gegevens zijn nodig:
- De login URL die gebruikers binnen uw organisatie gebruiken om in te loggen in Azure AD, bijvoorbeeld: https://login.microsoftonline.com/
- Uw domein, bijvoorbeeld: delft.abf.nl
- Het tenant-id
- Het client-id
In Swing Studio kunnen de Azure AD instellingen door de beheerder worden geconfigureerd op de pagina admin/studio/Settings/AuthorizationSettings.
Voorbeeld URL: https://acceptdemo.swing.eu/admin/studio/Settings/AuthorizationSettings
Mocht u hulp nodig hebben dan kan de accountmanager bij ABF of de swing helpdesk hier bij helpen. U kunt de bovengenoemde gegevens ook direct naar de Swing Helpdesk ([email protected]) sturen met het verzoek om de configuratie voor u in orde te maken.
Aanvulling : De instelling “Azure Active Directory Client Secret” is niet nodig als er geen groepsinformatie worden verstuurd vanuit Azure AD, die setting kan bij deze configuratie dus worden genegeerd.
Nadat de Azure-instellingen in Swing zijn doorgevoerd, kan er worden ingelogd met Azure AD-authenticatie. Binnen Swing zijn er vervolgens twee opties om de autorisatie te regelen.
- De gebruikers die toegang moeten hebben aanmaken in Swing Studio met dezelfde gebruikersnaam als binnen Azure AD (=emailadres).
- Alle gebruikers die bekend zijn binnen de Azure AD tenant dezelfde rechten geven door een default gebruikersgroep uit Swing hieraan te koppelen.
Een combinatie is ook mogelijk. Zo kan er bijvoorbeeld voor beheerders een account in Swing worden aangemaakt (optie 1), waarmee specifieke beheerrechten kunnen worden toegekend. Overige gebruikers komen dan in de gebruikersgroep “Gebruikers” terecht, met beperkte rechten.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren