Gebruikers- en Gegevensbeheer Plus
Single Sign-On (SSO) met SAML 2.0 laat je gebruikers inloggen op deskbird met hun bestaande identiteitsprovider (IdP). Hieronder vind je snelstartopties voor Okta en Keycloak, plus een volledige federatie-instellingsgids (SP-geïnitieerde SSO).
1. SAML met Okta
Gebruik onze speciale Okta-gids om een Okta SAML-app te configureren, de vereiste attributen in kaart te brengen en SP-geïnitieerde SSO naar deskbird te testen. Het bevat screenshots, attributenverklaringen en tips voor probleemoplossing.
👉 Stapsgewijs: Configureer SAML SSO met Okta
2. SAML met Keycloak
Gebruik je liever Keycloak? Volg de Keycloak-gids om SSO naar deskbird te starten.
👉 Stapsgewijs: Configureer SAML SSO met Keycloak
3. Instellen van SAML 2.0 Federatie
SAML 2.0 (Security Assertion Markup Language) is een XML-gebaseerd protocol om authenticatie-/autorisatiegegevens veilig uit te wisselen tussen een identiteitsprovider (IdP) en een serviceprovider (SP). deskbird ondersteunt SP-geïnitieerde SSO (authenticatie moet starten vanuit deskbird).
Als je een tegel in je IAM-launcher (bijv. OneLogin, JumpCloud) wilt die gebruikers kunnen aanklikken, voeg dan een Bladwijzerapplicatie toe die de SP-geïnitieerde flow in deskbird start:https://app.deskbird.com/saml?providerName={saml-provider-ID}
De SAML-provider-ID volgt saml.{bedrijfsnaam}. Voorbeeld voor “Polaroid”: https://app.deskbird.com/saml?providerName=saml.polaroid.
Maak een aparte, verborgen Federatieapplicatie in je IdP voor de SAML-verbinding zelf (niet zichtbaar voor gebruikers).
3.1 Algemene instellingen
Configureer je IdP met de volgende deskbird Service Provider-gegevens:
| Service Provider ID (Entity ID) | https://api.deskbird.app/saml/metadata |
| ACS URL (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Voor succesvolle SAML 2.0-authenticatie, stel NameID in op het e-mailadres van de gebruiker met het formaat urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Voorbeeld van een assertiefragment
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject> Verstuur naar deskbird voor configuratie
| IdP Entity ID | |
| IdP SSO URL | |
| IdP Certificaat | Moet beginnen met -----BEGIN CERTIFICATE----- en eindigen met -----END CERTIFICATE----- (plak zonder extra tekens/nieuwe regels). |
Als je een IdP metadata-bestand hebt, kun je dat eenvoudig in plaats daarvan versturen.
3.2 Gebruikersattributen
Vereiste attributen (gebruik exacte namen):
| Attribuut | Beschrijving |
| UPN e-mailadres gebruikt voor inloggen, meldingen en boekingsinformatie | |
| first_name | Voornaam van de gebruiker (weergegeven op het platform) |
| last_name | Achternaam van de gebruiker (weergegeven op het platform) |
Aanbevolen attributen:
| Attribuut | Beschrijving |
| avatar_url | URL van profielfoto; initialen worden gebruikt als deze ontbreekt |
| external_id | IdP-gebruikers-ID voor matching |
| manager_id | IdP-ID van de leidinggevende van de gebruiker (gebruikt voor goedkeuringen) |
| locale | Voorkeurstaal van de gebruiker (standaard de bedrijfstaal als deze ontbreekt) |
| office | Primaire kantoor van de gebruiker |
| job_title | Functietitel van de gebruiker |
| department | Afdeling van de gebruiker (gebruikt voor toegangsbeheer) |
| company_entity | Juridische entiteit van de gebruiker (standaard de bedrijfsentiteit als deze ontbreekt) |
3.3 Metadata-bestand
Na het aanmaken van de SAML-applicatie in je IdP, stuur ons het metadata-bestand dat het volgende bevat:
- Certificaat
- Entity ID
- SSO URL