Introductie
Dialog ondersteunt Single Sign-on (SSO) op basis van OAuth 2.0 en OpenID connect 1.0. Om dit voor jullie organisatie in te kunnen stellen, moeten jullie zelf een aantal acties ondernemen. Daarnaast hebben wij bepaalde informatie nodig om de SSO vanuit onze kant goed in te kunnen stellen.
In dit document vind je alle informatie die nodig is om gebruik te kunnen maken van de SSO. We delen daarnaast een aantal veel gestelde vragen rondom de SSO en de bijbehorende antwoorden. Mochten jullie nog andere vragen hebben, stel die dan gerust door een e-mail te sturen naar support@dialog.nl.
Acties
Voer de volgende acties uit in jullie identity provider.
- Controleer of jullie SSO provider de ‘Authorization Code flow’ ondersteunt
- Controleer of de volgende scopes worden toegestaan: ‘openid’, ‘email’, ‘profile’
- Sta de volgende redirect urls toe:
- https://api.dialog.nl/api/sso/openidconnectcallback
- https://acceptance-api.dialog.nl/api/sso/openidconnectcallback
- Stel indien mogelijk de homepage voor de SSO in als: https://app.dialog.nl
- Stel het volgende icoon in als icoon voor de koppeling:
Claims
Dialog volgt de OpenID Connect 1.0 standaard en verwacht dat de volgende claims worden meegestuurd in de Identity Token (https://openid.net/specs/openid-connect-core-1_0.html#Claims):
- given_name
- middle_name
- family_name
- name
De exacte naamgeving, zoals hierboven aangegeven, is essentieel voor het parsen van de token. Bij sommige identity providers moet expliciet aangegeven worden dat de claims ook in de identity token worden gezet.
Naast de bovenstaande acties, is het volgende belangrijk om te regelen:
- Zorg ervoor dat in jullie Identity Provider bij gebruikers zowel de voornaam als achternaam is ingevuld (claims: ‘given_name’, ‘middle_name’, ‘family_name’). Dit wordt overgenomen door Dialog. Als deze velden leeg zijn, wordt de volledige naam (de ‘name’ claim) overgepakt.
- Zorg ervoor dat gebruikers in Dialog worden uitgenodigd op hun originele e-mailadres. Alias e-mailadressen zorgen voor problemen bij het inloggen in Dialog als het Dialog e-mailadres niet gelijk is aan het originele e-mailadres van de gebruiker.
Benodigde informatie
Na het uitvoeren van de bovenstaande acties, krijg je informatie te zien die wij nodig hebben om de SSO goed in te stellen. Je kunt onderstaande tabel kopiëren en de antwoorden in in de kolom ‘Antwoord’ invullen.
Categorie | Antwoord |
Discovery url | |
Client ID | |
Client secret | |
Issuer ID | |
Email domein(en) | bijv: @dialog.nl |
Vervaldatum client secret |
Veelgestelde vragen
- Wat verandert er aan de login flow zodra SSO aan staat in Dialog?
- Moet ik nieuwe gebruikers nog steeds uitnodigen voor Dialog?
- Is twee factor authenticatie mogelijk wanneer we gebruik maken van SSO?
- Kan een gebruiker zijn naam, e-mailadres of wachtwoord wijzigen in Dialog na ingelogd te zijn met SSO?