In deze handleiding beschrijven we de stappen die nodig zijn om een koppeling tussen Swing en een door de klant beheerde Azure Active Directory te realiseren. In Swing is het mogelijk om zowel authenticatie als autorisatie door middel van Azure AD te regelen. Hierbij wordt de groepsinformatie van de gebruiker gebruikt om de toegang te bepalen. Mocht de klant dit niet wenselijk vinden, is het ook mogelijk om alleen authenticatie via Azure AD uit te voeren en de autorisatie te regelen binnen Swing.
Belangrijk om te weten is dat de gebruikers die via Azure AD willen authenticeren, bekend moeten zijn in Swing. Dit betekent dat er een gebruikersaccount met dezelfde gebruikersnaam (gelijk aan het emailadres in Azure AD) moet bestaan. Hieronder vindt u de stappen die de klant moet ondernemen om deze koppeling tot stand te brengen.
Configureer uw Azure AD tenant
In de eerste stap wordt binnen de Azure AD tenant een nieuwe app-registratie aangemaakt:
Geef de registratie een toepasselijke naam: (bijvoorbeeld de url).
En registreer de applicatie.
Er wordt een scherm getoond met een aantal id’s. De volgende id’s zijn straks nodig om Swing te configureren: het client-id en het tenant-id.
De laatste stap is het configureren van de omleidings-URI’s. Na het inloggen in Azure Active Directory moet de gebruiker worden teruggeleid naar de web applicatie. Daarbij stuurt Azure AD informatie over de ingelogde gebruiker. Azure AD is daarom niet bereid de gebruiker naar een willekeurige URL door te sturen, maar alleen naar een URL die van tevoren binnen de app-registratie is geconfigureerd. Klik daartoe in de overzichtspagina op de link “Een omleidings-URI toevoegen”.
Klik vervolgens op “Een platform toevoegen” en kies “Web”.
Vul in de URL die u van ABF heeft ontvangen en vink “Id-tokens” aan:
De URL is de basis URL van de Swing applicatie + /AADLogin/signin-oidc
Voorbeeld: https://accept-demo.swing.eu/AADLogin/signin-oidc
Klik daarna op “Configure”.
Nu is de app-registratie compleet en kan Swing geconfigureerd worden. De volgende gegevens zijn nodig.
- De login URL die de gebruikers binnen uw organisatie gebruiken om in te loggen in Azure AD, bijvoorbeeld: https://login.microsoftonline.com/ ;
- Uw domein, bijvoorbeeld: delft.abf.nl
- Het tenant-id;
- Het client-id;
In Swing Studio, op de pagina admin/studio/Settings/AuthorizationSettings, kunnen de Azure AD instellingen worden geconfigureerd door de beheerder, zie onderstaande screenshot.
Voorbeeld URL: https://acceptdemo.swing.eu/admin/studio/Settings/AuthorizationSetting
Mocht u hulp nodig hebben dan kan de accountmanager bij ABF of de swing helpdesk hier bij helpen. U kunt de bovengenoemde gegeven ook direct naar de Swing Helpdesk (helpdesk@swing.eu) sturen met het verzoek om de configuratie voor u in orde te maken.
Aanvulling : De instelling “Azure Active Directory Client Secret” is niet nodig als er geen groepsinformatie worden verstuurd vanuit Azure AD, die setting kan bij deze configuratie dus worden genegeerd.Nadat de Azure instellingen in Swing zijn gedaan kan er worden ingelogd met Azure AD authenticatie.
Er zijn 2 mogelijkheden om de autorisatie te regelen binnen Swing.
- De gebruikers aanmaken die toegang moeten hebben aanmaken in Swing Studio met dezelfde gebruikersnaam als binnen Azure AD (=emailadres).
- Alle gebruikers die bekend zijn binnen de Azure AD tenant dezelfde rechten geven door een default gebruikersgroep uit Swing te koppelen.
Een combinatie is ook mogelijk door bijvoorbeeld voor de beheerders een account aan te maken in Swing (optie 1), hiermee kan je beheer rechten instellen. Alle overige gebruiker komen dan in de gebruikersgroep “Gebruikers” terecht met minder rechten.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren