Met deskbird kun je Single Sign-on (SSO) integreren via Microsoft Entra ID (voorheen Azure AD). Dit zorgt voor veilige authenticatie en makkelijk toegang binnen je organisatie.
- SSO instellen met Entra ID
- Handmatige OIDC-instelling (geen Enterprise Application nodig)
- Toestemmingen beperken via Application Assignment
1. SSO instellen met Entra ID
Om SSO te activeren moet een IT-beheerder de Microsoft Entra ID Enterprise Application installeren en de benodigde rechten toekennen.
👉 Klik hier om te installeren en toegang te verlenen:
https://login.microsoftonline.com/common/adminConsent?client_id=60e10e49-86e8-4755-ac34-2804c82237c6&redirect_uri=https://www.deskbird.com/single-sign-on-via-azure-ad
De benodigde rechten zijn:
- User.Read: Hiermee kunnen gebruikers inloggen bij deskbird en kan deskbird de profielen van ingelogde gebruikers lezen. Let op: deskbird heeft geen toegang tot profielgegevens van gebruikers die nooit zijn ingelogd.
- Group.Read.All: Hiermee kan deskbird alle gebruikersgroepen lezen. Dit wordt bijvoorbeeld gebruikt om gebruikersgroepen te importeren in de Admin portal of om groepen te synchroniseren wanneer gebruikers inloggen.
Er zijn extra standaardrechten die automatisch worden toegevoegd en geen toestemming van een beheerder vereisen.
- offline_access: Hiermee kan deskbird vernieuwingstokens gebruiken om gegevens op te halen via de Microsoft Graph API.
- email, openid en profile: Automatisch toegevoegde rechten die deskbird vergelijkbare toegang geven als User.Read, maar met minder profielinformatie.
Het type toestemming is gedelegeerd, wat betekent dat deskbird de Graph API benadert als de ingelogde gebruiker, maar met toegang beperkt tot de geselecteerde rechten.
💡 Let op: Profielfoto’s van gebruikers worden automatisch gesynchroniseerd tijdens de eerste SSO-authenticatie, als deze beschikbaar zijn.
💡 Als SSO is ingesteld als de enige inlogmethode voor je organisatie, geldt deze beperking alleen voor interne gebruikers. Externe gebruikers (zoals freelancers) kunnen nog steeds aan deskbird worden toegevoegd en kunnen inloggen met e-mail en wachtwoord, omdat zij buiten het bereik van je identity provider vallen.
2. Handmatige OIDC-instelling (geen Enterprise Application nodig)
Als je organisatie de deskbird Enterprise Application niet kan installeren vanuit de Microsoft app gallery, kun je SSO instellen door zelf een App Registration aan te maken in Entra ID en de gegevens te delen met deskbird. De integratie wordt dan geconfigureerd door het supportteam van deskbird.
Stap 1: Maak de App Registration aan
- Ga naar Azure Portal > Microsoft Entra ID > App registrations > New registration.
- Voer een naam in, bijvoorbeeld
deskbird SSO. - Onder Supported account types kies je Accounts in this organizational directory only (single tenant).
- Klik op Register.
Stap 2: Noteer de ID’s
- Kopieer op de Overview-pagina van de app de Application (client) ID en de Directory (tenant) ID.
Stap 3: Maak een Client Secret aan
- Ga naar Certificates & secrets > Client secrets > New client secret.
- Voer een beschrijving in, bijvoorbeeld
deskbird production, en kies een verloopduur. - Klik op Add en kopieer direct de Value — deze wordt daarna niet meer getoond.
Stap 4: Stel API-rechten in
- Ga naar API permissions > Add a permission > Microsoft Graph > Delegated permissions.
- Voeg de volgende rechten toe:
openid,profile,email,User.Read. - Klik op Grant admin consent for [Organization].
Stap 5: Deel de gegevens met deskbird
Neem contact op met deskbird support en geef de volgende drie gegevens door:
- Directory (tenant) ID
- Application (client) ID
- Client Secret value
Het supportteam van deskbird rondt de configuratie verder voor je af.
⚠️ Let op: De Client Secret value is gevoelig. Deel deze veilig en stuur hem niet via onbeveiligde kanalen.
3. Toestemmingen beperken via Application Assignment
Je kunt beperken welke gebruikers of groepen toegang krijgen tot deskbird via SSO.
- Open in het Entra admin center de deskbird Enterprise App.
- Stel onder Properties de optie Assignment required in op "Yes".
- Voeg specifieke gebruikers of groepen toe onder Users and groups.
⚠️ Dit beperkt alleen de toegang tot inloggen, maar regelt geen automatische gebruikersaanmaak. Voor automatische provisioning is een aparte SCIM-configuratie nodig.
⚠️ AADSTS50105-fout: Deze fout verschijnt als iemand probeert in te loggen die niet is toegewezen aan een groep met toegang. Vraag je interne IT-team om de gebruiker toe te voegen aan de juiste toegangsgroep (of hun rechten aan te passen) en probeer het daarna opnieuw.