SSO gebruiken en SAML instellen met Payhawk

Prev Next

Single Sign-On (SSO) is een authenticatiemethode waarmee gebruikers zich met dezelfde inloggegevens bij meerdere applicaties en websites veilig kunnen identificeren.

De Security Assertion Markup Language (SAML) faciliteert, beveiligde authenticatie en autorisatie van gegevensuitwisseling. SAML is de standaard waarmee Service Providers (SP) en Identity Providers (IdP) met elkaar communiceren om inloggegevens te verifiƫren.

  • Mocht je ondersteuning nodig hebben bij het instellen van SSO, neem dan contact op met je implementatiemanager.

  • Voor eventuele domeinwijzigingen - waaronder het toevoegen van nieuwe domeinen aan je account - neem je contact op met het Payhawk Support-team via support@payhawk.

Een globaal overzicht van het SAML-integratieproces

Om Payhawk via SAML te integreren met je IdP, schakel je de standaard als volgt in:

  1. Maak een SAML-applicatie aan in je IdP die met Payhawk gebruikt moet gaan worden.

  2. Wijs de SAML-applicatie toe aan je gebruikers en groepen.

  3. Neem contact op met je implementatiemanager bij Payhawk en verstrek de volgende gegevens:

    • Het XML-metadatabestand van je SAML IdP dat is gedownload tijdens het aanmaken van de SAML-applicatie.

    • Het domein dat gebruikt zal worden voor authenticatie. Dit kunnen ook meerdere domeinen zijn.

    • De attribuutmapping die wordt gebruikt voor de herkenning van het gebruikersaccount. Gewoonlijk vertegenwoordigt het attribuut de gebruikersinformatie die van het SSO-systeem naar het Payhawk-systeem wordt verzonden, zoals het e-mailadres, de naam of de rol van de gebruiker.

      Gebruikersattributen sectie met e-mailvelden voor serviceprovider en JumpCloud.

  4. Zodra Payhawk de installatie heeft voltooid, test je de authenticatie.

Hieronder geven we je de stappen voor het configureren van Okta, Azure en Google. Dit zijn de meest populaire IdP's, maar je kunt hetzelfde proces toepassen op elke andere IdP die SAML v2 ondersteunt.

Als SAML eenmaal is ingeschakeld, ondersteunt het geen authenticatie meer die is geĆÆnitieerd door een Identity Provider. Gebruikers die nog niet zijn geauthenticeerd moeten dus nog steeds het Payhawk-webportaal openen en hun e-mail in de inbox invoeren.

SAML instellen in Okta: Identity

Volg de stappen hieronder om een SAML-applicatie aan te maken in Okta Identity Engine en om SSO voor je gebruikers in te schakelen:

  1. Navigeer naar de Okta Developer-console en log in als beheerder.

    Zie voor meer informatie over de console de nieuwe beheerconsole en dashboard van Okta.

  2. Vouw in het navigatiemenu Applications (applicaties) uit en selecteer Applications.

  3. Klik op Create App Integration (app-integratie aanmaken).

  4. Selecteer in het menu Create a new app integration (nieuwe app-integratie aanmaken) SAML 2.0 als de Sign-in method (inlogmethode).

  5. Klik op Next (volgende).

    Zie voor meer informatie de sectie Prepare your Integration (integratie voorbereiden) in de handleiding 'Build a Single Sign-On (SSO) Integration' (Bouw een Single Sign-On (SSO)-integratie) op de developer-website van Okta.

    The Create a new app integration dialog in Okta Identity Engine with the SAML 2.0 option checked.

Configureer vervolgens de SAML-integratie voor je Okta-applicatie:

  1. Voer op de pagina Create SAML Integration (SAML-integratie aanmaken) onder General Settings (algemene instellingen) Payhawk in als de naam van je applicatie.

  2. Upload een logo en kies de zichtbaarheidsinstellingen voor je app (optioneel).

  3. Klik op Next (volgende).

  4. Voer bij GENERAL (algemeen) voor een Single sign-on URL https://id.payhawk.com/saml2/idpresponse in

  5. Bij Audience URI (SP Entity ID), voer je in: urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

  6. Laat Default RelayState leeg.

  7. Voeg bij ATTRIBUTE STATEMENTS (kenmerkverklaringen) een verklaring toe met de volgende informatie:

    • Voer bij Name (naam) de SAML kenmerknaam email (e-mail) in.

    • Voer bij Value (waarde) user.email in.

  8. Je kunt de standaardwaarden van de overige instellingen op de pagina laten staan of naar eigen voorkeur instellen.

  9. Klik op Next (volgende) > Finish (voltooien).

  10. Nadat je de SAML-applicatie hebt geconfigureerd, wijs je toegang toe aan medewerkers en groepen.

  11. Download de IdP-metadata als XML-bestand en stuur het naar de implementatiemanager (IM) die dit bij Payhawk zal toepassen.

SAML instellen in Microsoft Entra (Azure Active Directory)

Volg de stappen hieronder om een SAML-applicatie aan te maken in Microsoft Entra en om SSO voor je gebruikers in te schakelen:

  1. Open entra.microsoft.com

  2. Ga naar Enterprise Applications (enterprise-applicaties).

  3. Klik op New application (nieuwe applicatie) > Create your own application (maak je eigen applicatie aan).

  4. Wat is de naam van je app? Voer Payhawk in

  5. Selecteer: 'Integrate any other application you don't find in the gallery (Non-gallery)' (integreer elke andere applicatie die je niet in de galerij vindt (niet-galerij))

  6. Klik op de applicatiepagina op 'Getting Started' (aan de slag) > 'Single sign-on' > 'SAML'

  7. Voer in het deelvenster 'Basic SAML Configuration' (basis SAML-configuratie) de volgende informatie in om de Payhawk-applicatie te configureren:

    • Voer bij Identifier (Entity ID) (entiteitscode) urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p in

    • Voer bij Reply URL (antwoord-URL) https://id.payhawk.com/saml2/idpresponse in

    • Voer bij toewijzing e-mailattribuuthet e-mailadres [het e-mailadres waarop je de gebruiker uitnodigt voor Payhawk] in.

    • Laat alle optionele velden leeg.

  8. Gebruik als Unique User Identifier (UPN) user.userprincipalname of user.email. Deze waarden moeten overeenkomen met het e-mailadres dat je hebt gebruikt toen je de gebruiker uitnodigde voor Payhawk, omdat gebruikers altijd inloggen met hun UPN.

  9. Download het Federation Metadata XML-betand en stuur het naar de implementatiemanager (IM) die dit bij Payhawk zal toepassen.

SAML instellen in Google Workspace (GSuite)

Volg deze stappen om een SAML-applicatie in Google Workspace aan te maken en SSO voor je gebruikers in te schakelen:

  1. Open Google Workspaces als beheerder.

  2. Ga naar apps > web- en mobiele apps.

  3. Maak een nieuwe SAML-applicatie aan.

  4. Selecteer Payhawk als applicatienaam.

  5. Download het metadata-bestand.

  6. Vul de velden als volgt in:

    • Bij ACS URL voer je in: https://id.payhawk.com/saml2/idpresponse

    • Bij Entity ID (entiteitscode) voer je in urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

    • Bij Name ID format (indeling naamcode), voer je in EMAIL (e-mail).

    • Bij Name ID (naamcode) voer je in Basic Information (basisinformatie) > Primary email (primaire e-mail).

  7. Klik op Continue (doorgaan).

  8. Bij Attribute mapping (attribuuttoewijzing) voeg je toe Primary email (primaire e-mail) > email (e-mail).

  9. Klik op Finish (voltooien).

  10. Selecteer in Web and mobile apps (web- en mobiele apps) je nieuwe Payhawk-applicatie en schakel deze in voor alle relevante gebruikers.

  11. Download de IdP-metadata als XML-bestand en stuur het naar de implementatiemanager (IM) die dit bij Payhawk zal toepassen.

SAML instellen in JumpCloud

Payhawk ondersteunt JumpCloud als identity provider (IdP) voor SSO via SAML. Hieronder vind je een gedetailleerde handleiding voor het instellen van JumpCloud SAML SSO. Neem de aandachtspunten door voor inloggen en de overstap vanaf andere IdPā€™s.

Zo maak je een SAMLā€‘applicatie in JumpCloud en schakel je SSO in voor je gebruikers:

  1. Open de JumpCloud Admin Console en maak een nieuwe SAML-applicatie met de naam Payhawk.

  2. Configureer de volgende belangrijke parameters:

    • IdP Entity ID en SP Entity ID: Gebruik de SP Entity ID die door Payhawk is verstrekt (bijvoorbeeld urn:amazon:cognito:sp:<region>-<identifier>).

    • ACS-URL: Voer de Assertion Consumer Service (ACS)-URL in die je van Payhawk hebt gekregen.

    • SAML Subject NameID: Stel dit in op email.

    • SAML Subject NameID Format: Kies emailAddress.

    • Declare Redirect Endpoint: Schakel deze instelling in of controleer deze.

    • IdP-URL: Geef de JumpCloud IdP SSO-URL op.

    • Attribute Mapping: Koppel Service Provided Attribute Name = email aan JumpCloud

  3. Download de metadata van de IdP als een XML-bestand:

    • Exporteer het XML-bestand met de metadata voor deze SAML-applicatie.

  4. Deel de details van de configuratie met Payhawk:

    • Verstrek de metadata-XML van de IdP, je authenticatiedomein(en) en de details van de toewijzing van de attributen aan Payhawk Support.

  5. Testverificatie:

    • Test of beide partijen de configuratie hebben voltooid door je zakelijke e-mailadres in te voeren op de inlogpagina van Payhawk om de SSO-omleiding te verifiĆ«ren.

Migratie van Google naar JumpCloud

Als je overschakelt van Google SSO naar JumpCloud, hoef je geen migratie in Payhawk uit te voeren zolang het eā€‘mailkenmerk dat door JumpCloud wordt verstrekt, overeenkomt met het eerder gebruikte zakelijke e-mailadres in Google SSO.

  • Belangrijk aandachtspunt: Payhawk identificeert gebruikers op basis van hun e-mailadres. Zorg ervoor dat het eā€‘mailkenmerk in JumpCloud overeenkomt met het e-mailadres dat in Payhawk geregistreerd is, om dubbele accounts of verlies van toegang tot kaarten, declaraties of rechten te voorkomen.

  • Als het e-mailadres verschilt, wordt er een nieuw Payhawk-gebruikersaccount aangemaakt en worden eerder gegenereerde gegevens niet overgezet.

SAML instellen in OneLogin

Volg deze stappen om in Onelogin een SAML-applicatie aan te maken en SSO voor je gebruikers in te schakelen:

  1. Log als beheerder in op je OneLogin-tenant.

  2. Navigeer naar Applications (applicaties) > Add App (app toevoegen) en zoek naar Payhawk.

  3. Laat de instellingen op het beginscherm staan.

  4. Zorg ervoor dat Payhawk is ingesteld als domein onder Configuration (configuratie).

  5. Zorg ervoor dat de kenmerktoewijzing onder parameters is ingesteld op email to email (e-mail naar e-mail) en dat Included in SAML (inbegrepen in SAML) is aangevinkt.

  6. Sla de applicatie op en schakel deze in voor alle relevante gebruikers.

  7. Download de IdP-metadata als XML-bestand in de rechterbovenhoek (More Actions (meer handelingen) > SAML Metadata) en stuur het naar de implementatiemanager (IM) die dit bij Payhawk zal toepassen.

Mogelijkheden na configuratie

Zodra SSO juist is geconfigureerd, moeten gebruikers op de inlogpagina van Payhawk hun zakelijke eā€‘mailadres invoeren. Ze komen vervolgens op de voor de organisatie geconfigureerde Identity Provider (IdP) terecht voor verificatie. Na die stap(pen) te hebben doorlopen, worden ze teruggeleid naar Payhawk en krijgen ze toegang. Zo beleven ze een probleemloze en veilige single sign-on-ervaring.

Tips voor probleemoplossing

  • Koppelen via e-mailkenmerk: Controleer altijd of het e-mailkenmerk van de gebruiker dat de Identity Provider (IdP) aanlevert, overeenkomt met het e-mailadres dat aan zijn of haar Payhawk-account gekoppeld is. Zo voorkom je problemen met inloggen.

  • Testen van de verificatie: Test het single sign-on-proces regelmatig nadat configuratie-updates zijn geĆÆmplementeerd om te controleren of de verificatie via de geconfigureerde Identity Provider goed blijft werken en gebruikers nog altijd zonder onderbreking toegang hebben tot Payhawk.

Handige bronnen