Single Sign-on (SSO) met SAML 2.0 laat je gebruikers inloggen bij deskbird met hun bestaande identity provider (IdP). Hieronder vind je snelle startopties voor Okta en Keycloak, plus een volledige handleiding voor federatie-instellingen (SP-geïnitieerde SSO).
- SAML met Okta
- SAML met Keycloak
- Instellen van SAML 2.0 Federatie
- Vernieuwen van SAML-certificaat
- Wanneer SAML gebruiken en wanneer OAuth / OIDC
1. SAML met Okta
Gebruik onze speciale Okta-handleiding om een Okta SAML-app te configureren, de vereiste attributen te koppelen en SP-geïnitieerde SSO naar deskbird te testen. De handleiding bevat screenshots, attributen en tips voor probleemoplossing.
👉 Stap voor stap: SAML SSO instellen met Okta
2. SAML met Keycloak
Gebruik je liever Keycloak? Volg dan de Keycloak-handleiding om SSO naar deskbird te starten.
👉 Stap voor stap: SAML SSO instellen met Keycloak
3. Instellen van SAML 2.0 Federatie
SAML 2.0 (Security Assertion Markup Language) is een op XML gebaseerd protocol om veilig authenticatie- en autorisatiegegevens uit te wisselen tussen een identity provider (IdP) en een service provider (SP). deskbird ondersteunt SP-geïnitieerde SSO (de authenticatie start dus vanuit deskbird).
Wil je een tegel in je IAM-launcher (zoals OneLogin, JumpCloud) waarop gebruikers kunnen klikken? Voeg dan een Bookmark-applicatie toe die de SP-geïnitieerde flow in deskbird start:https://app.deskbird.com/saml?providerName={saml-provider-ID}
De SAML-provider-ID volgt saml.{bedrijfsnaam}. Voorbeeld voor "Polaroid": https://app.deskbird.com/saml?providerName=saml.polaroid.
Maak daarnaast een aparte, verborgen Federatie-applicatie aan in je IdP voor de SAML-koppeling zelf (niet zichtbaar voor gebruikers).
3.1 Algemene instellingen
Configureer je IdP met de volgende Service Provider-gegevens van deskbird:
| Service Provider ID (Entity ID) | https://api.deskbird.app/saml/metadata |
| ACS URL (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Voor een succesvolle SAML 2.0-authenticatie stel je NameID in op het e-mailadres van de gebruiker met het formaat urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Voorbeeld van een assertion-fragment
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject> Stuur naar deskbird voor configuratie
| IdP Entity ID | |
| IdP SSO URL | |
| IdP Certificate | Moet beginnen met -----BEGIN CERTIFICATE----- en eindigen met -----END CERTIFICATE----- (plak zonder extra tekens of nieuwe regels). |
Heb je een metadata-bestand van je IdP? Dan kun je dat ook gewoon opsturen.
3.2 Gebruikersattributen
Vereiste attributen (gebruik exact deze namen):
| Attribuut | Beschrijving |
| UPN e-mailadres gebruikt voor inloggen, notificaties en boekingsinformatie | |
| first_name | Voornaam van de gebruiker (zichtbaar in het platform) |
| last_name | Achternaam van de gebruiker (zichtbaar in het platform) |
Aanbevolen attributen:
| Attribuut | Beschrijving |
| avatar_url | URL van profielfoto; initialen worden gebruikt als deze ontbreekt |
| external_id | IdP-gebruikers-ID voor matching |
| manager_id | IdP-ID van de leidinggevende van de gebruiker (voor goedkeuringen) |
| locale | Voorkeurstaal van de gebruiker (standaard bedrijfstaal als niet opgegeven) |
| office | Hoofdkantoor van de gebruiker |
| job_title | Functietitel van de gebruiker |
| department | Afdeling van de gebruiker (gebruikt voor toegangsbeheer) |
| company_entity | Juridische entiteit van de gebruiker (standaard bedrijf als niet opgegeven) |
3.3 Metadata-bestand
Na het aanmaken van de SAML-applicatie in je IdP, stuur ons het metadata-bestand met daarin:
- Certificaat
- Entity ID
- SSO URL
4. Vernieuwen van SAML-certificaat
SAML-certificaten hebben een vervaldatum (meestal 1–3 jaar na aanmaak). Wanneer een certificaat bijna verloopt, krijg je hiervan een melding van je identity provider. Het is belangrijk om het certificaat op tijd te vernieuwen om inlogproblemen te voorkomen.
Begin minimaal 2–3 weken voor de vervaldatum met het vernieuwingsproces, zodat er genoeg tijd is voor afstemming.
Stapsgewijs vernieuwingsproces (Microsoft Entra ID):
- Ga in het Microsoft Entra ID-portaal naar je deskbird Enterprise Application.
- Navigeer naar Single sign-on > SAML-certificaten.
- Klik op het Bewerken (potlood)-icoon.
- Klik op Nieuw certificaat.
- Stel de vervaldatum in (standaard is 3 jaar).
- Klik op Opslaan. Het nieuwe certificaat verschijnt met de status Inactief.
- Download het nieuwe certificaat (Base64-formaat).
- Stuur het certificaat naar deskbird support via een supportticket. Vermeld je bedrijfsnaam en dat het om een SAML-certificaatvernieuwing gaat.
- deskbird support vervangt het certificaat aan onze kant en laat weten wanneer het klaar is.
- Zodra deskbird bevestigt, ga je terug naar Entra ID en activeer je het nieuwe certificaat (zet op Actief).
Downtime
Er is meestal geen downtime tijdens het wisselen van certificaat, zolang je de activatie goed afstemt met deskbird support. Het oude certificaat blijft werken tot je overschakelt naar het nieuwe.
5. Wanneer SAML gebruiken en wanneer OAuth / OIDC
Twijfel je tussen SAML en OAuth (Microsoft SSO)? Houd dan het volgende in gedachten:
| Functie | SAML 2.0 | OAuth / Microsoft SSO / Google SSO |
|---|---|---|
| Certificaatbeheer | Vereist periodieke vernieuwing | Geen certificaatbeheer nodig |
| Gebruikerservaring | Gebruikers klikken op "Inloggen met bedrijfsaccount (SSO)" op het inlogscherm | Gebruikers klikken op "Inloggen met Microsoft" op het inlogscherm |
| IdP-flexibiliteit | Werkt met elke SAML 2.0 IdP (Okta, Keycloak, ADFS, enz.) | Alleen Microsoft en Google |
| Vereiste abonnement | User and Data Management Plus | Beschikbaar in alle abonnementen |