Swing-software - Azure AD

Gewijzigd op Wo, 6 Nov om 4:45 PM

Inleiding

In deze handleiding worden de stappen beschreven die nodig zijn om een koppeling tussen Swing en een door de klant beheerde Azure Active Directory (Azure AD) te realiseren. Swing biedt de mogelijkheid om zowel de authenticatie als de autorisatie via Azure AD in te stellen, waarbij de groepsinformatie van de gebruiker wordt gebruikt om de toegang te bepalen. Indien de klant dit niet wenst, kan ervoor gekozen worden om alleen de authenticatie via Azure AD te laten verlopen en de autorisatie binnen Swing zelf te configureren. 

Gebruikers die zich via Azure AD willen authenticeren, moeten ook bekend zijn binnen Swing. Dit houdt in dat er een gebruikersaccount met dezelfde gebruikersnaam (overeenkomend met het e-mailadres in Azure AD) in Swing moet bestaan. Hieronder volgen de stappen die de klant moet ondernemen om deze koppeling tot stand te brengen.


Configureer de Azure AD tenant

In de eerste stap wordt binnen de Azure AD tenant een nieuwe app-registratie aangemaakt:

Nieuwe registratie aanmaken


Geef de applicatie een logische naam: (bijvoorbeeld de url).

Geef de naam op


Registreer de applicatie. 


Er wordt vervolgens een scherm getoond met een aantal id’s. De volgende id’s zijn straks nodig om Swing te configureren:     het client-id en het tenant-id

Locatie client ID en tenant ID

De volgende stap is het configureren van de omleidings-URL’s. Nadat de gebruiker is ingelogd in Azure AD, moet deze worden teruggeleid naar de webapplicatie. Azure AD stuurt daarbij informatie mee over de ingelogde gebruiker. Om veiligheidsredenen zal Azure AD de gebruiker alleen doorsturen naar een URL die vooraf binnen de app-registratie is geconfigureerd. Klik hiervoor op de overzichtspagina op de link “Een omleidings-URL toevoegen”.


Omleiding URL toevoegen


Klik vervolgens op “Een platform toevoegen” en kies “Web”.


Klik op "add a platform"


Vul de URL in die u van ABF heeft ontvangen en vink “Id-tokens” aan:

De URL is de basis URL van de Swing applicatie + /AADLogin/signin-oidc


Voorbeeld: https://accept-demo.swing.eu/AADLogin/signin-oidc


Voorbeeld redirect URI


Klik daarna op “Configure”.


De laatste stap is om toestemming te verlenen aan de organisatie om het gebruikersprofiel te lezen. Ga hiervoor naar "API permissions" en verleen namens uw organisatie toestemming voor de vereiste API-machtigingen. Zie de onderstaande screenshot voor een visuele toelichting.


API permissions


Nu is de app-registratie compleet en kan Swing geconfigureerd worden. De volgende gegevens zijn nodig:

  • De login URL die gebruikers binnen uw organisatie gebruiken om in te loggen in Azure AD, bijvoorbeeld: https://login.microsoftonline.com/
  • Uw domein, bijvoorbeeld: delft.abf.nl

Tenantgegevens

  • Het tenant-id
  • Het client-id


In Swing Studio kunnen de Azure AD instellingen door de beheerder worden geconfigureerd op de pagina admin/studio/Settings/AuthorizationSettings.


Voorbeeld URL: https://acceptdemo.swing.eu/admin/studio/Settings/AuthorizationSettings


Azure AD instellingen in Studio


Mocht u hulp nodig hebben dan kan de accountmanager bij ABF of de swing helpdesk hier bij helpen. U kunt de bovengenoemde gegevens ook direct naar de Swing Helpdesk ([email protected]) sturen met het verzoek om de configuratie voor u in orde te maken.


Aanvulling : De instelling “Azure Active Directory Client Secret” is niet nodig als er geen groepsinformatie worden verstuurd vanuit Azure AD, die setting kan bij deze configuratie dus worden genegeerd.


Nadat de Azure-instellingen in Swing zijn doorgevoerd, kan er worden ingelogd met Azure AD-authenticatie. Binnen Swing zijn er vervolgens twee opties om de autorisatie te regelen.

  1. De gebruikers die toegang moeten hebben aanmaken in Swing Studio met dezelfde gebruikersnaam als binnen Azure AD (=emailadres). 
  2. Alle gebruikers die bekend zijn binnen de Azure AD tenant dezelfde rechten geven door een default gebruikersgroep uit Swing hieraan te koppelen.

Azure AD default user group


Een combinatie is ook mogelijk. Zo kan er bijvoorbeeld voor beheerders een account in Swing worden aangemaakt (optie 1), waarmee specifieke beheerrechten kunnen worden toegekend. Overige gebruikers komen dan in de gebruikersgroep “Gebruikers” terecht, met beperkte rechten.

Was dit artikel nuttig?

Dat is fantastisch!

Hartelijk dank voor uw beoordeling

Sorry dat we u niet konden helpen

Hartelijk dank voor uw beoordeling

Laat ons weten hoe we dit artikel kunnen verbeteren!

Selecteer tenminste een van de redenen
CAPTCHA-verificatie is vereist.

Feedback verzonden

We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren