Let op: dit artikel is onderdeel van Implementatie SSO - Workspace & Implementatie SSO - Mobile app.

Binnen de IdP moet er een applicatie worden aangemaakt. Binnen Microsoft Azure is het een Enterprise application. Je maakt een nieuwe Enterprise applicatie met bijv. als naam: "Springcast PRO - Workspace". Schakels vervolgens Single sign-on in via SAML2. Daarna kunnen de volgende velden ingevuld worden: 

1. Onder "Basis SAML Configuration":
   1. Identifier (Entity ID): de waarde bij SSO settings als "SP Entity ID" staat. Bijvoorbeeld: https://work.springcast.app/saml2/<id>/metadata. Zie ook PRO Workspaces & Mobile app
   2. Reply URL (Assertion Consumer Service URL): de waarde bij SSO settings als "SP Reply URL (ACS)". Bijvoorbeeld: https://work.springcast.app/saml2/callback
2. Onder "Attributes & Claims":
   1. Required claim:
      1. Unique User Identifier (Name ID):
         1. Source: Attribute
         2. Source attribute: user.userprincipalname
   2. Additional claims:
      1. Add new claim:
         1. Name: email
         2. Source: Attribute
         3. Source attribute: user.userprincipalname
         4. Namespace: leeg
      2. Add new claim:
         1. Name: first_name
         2. Source: Attribute
         3. Source attribute: user.givenname
         4. Namespace: leeg
      3. Add new claim:
         1. Name: last_name
         2. Source: Attribute
         3. Source attribute: user.surname
         4. Namespace: leeg
      4. Add new claim:
         1. Name: name
         2. Source: Attribute
         3. Source attribute: user.displayname
         4. Namespace: leeg
      5. Add a group claim:
         1. Which groups associated with the user should be returned in the claim: Security groups
         2. Source attribute: Group ID
         3. Customize the name of the group claim
            1. Name (required): groups
         4. Optioneel: je kunt filteren op groepen. 

Dit ziet er dan als volgt uit:

Je kunt binnen de nieuwe applicatie nog aanvullende instellingen doen, zoals assignment required instellen. Dit laten we aan jullie over. 

Instellen SSO 

Binnen PRO Workspaces kun je SSO inschakelen onder "People & access". Hierna kun je de SSO instellingen beheren. Hier staan ook de "SP Entity ID" en "SP Reply URL (ACS)" die je nodig hebt om de Enterprise applicatie aan te maken. 

Settings

De volgende velden moeten ingevuld worden:

1. Metadata: de waarde die in de Enterprise applicatie bij "Microsoft Entra Identifier" staat.
2. ACS: de waarde die in de Enterprise applicatie bij "Login URL" staat.
3. Entity ID: de waarde die in de Enterprise applicatie bij "Microsoft Entra Identifier" staat.
4. Certificate: download het base64 certificaat en open deze met een teksteditor. 

Role mapping

Via de role mapping kun je gebruikers automatisch koppelen aan de rollen in de workspace. Vul hierbij de Group ID's in van de rol in de IdP. Gebruik niet de namen; Microsoft stuurt ons namelijk enkel de Group ID's. 

Zie ook Groepen.