Single Sign-on (SSO)-verificatie

  • Bijgewerkt
  • Bijgewerkt
Avatar
Written by Charissa F.
  • Bijgewerkt
Vereist een van de volgende licenties:

Belangrijk

Als u SSO hebt ingesteld met behulp van de SAML-ervaring die beschikbaar was vóór 20 november 2024, moet u vóór 7 november 2025 overstappen op de nieuwe SSO-ervaring om problemen met aanmelden te voorkomen.

Multi-factor authenticatie (MFA) is vereist voor alle gebruikers met verhoogde toegang. Voor andere gebruikers kunt u Single Sign-on (SSO) instellen, zodat zij zich aanmelden met bedrijfsreferenties in plaats van aparte Samsara-wachtwoorden.

SSO centraliseert het beheer van inloggen via uw identiteitsprovider (IdP), waardoor beveiligingsrisico's worden verminderd. Samsara ondersteunt Google Authentication en externe providers zoals Okta of Microsoft Entra.

Om SSO in te schakelen, maakt u configuraties voor zowel chauffeurs als beheerders. Als u van plan bent beide groepen te dekken, stelt u een aparte SAML-app voor elk in.

SSO instellen voor chauffeurs

Als u wilt dat uw chauffeurs SSO gebruiken om in te loggen op de Samsara Driver app, stel dan een aparte SAML-app in in uw IdP met behulp van de volgende workflow:

  1. Verifieer uw domein voor veilige SSO-authenticatie.

    U moet domeinverificatie voltooien voordat u SSO inschakelt. Alleen gebruikers met geverifieerde domeinen kunnen toegang krijgen tot de organisatie.

  2. Selecteer het pictogram Instellingen (gear icon) onderaan uw wagenparkmenu om de instellingen van het dashboard te bekijken.

  3. Selecteer in Organisatie de optie Single Sign-On.

  4. Klik in de sectie Single Sign-On (SSO) voor inloggen van chauffeurs op Toevoegen.

  5. Klik op Kopiëren naast de Samsara-metadata-URL en deel deze met uw IdP-beheerder.

    Als uw IdP de metadata-URL niet accepteert, breid dan de details uit om de Service Provider Entity ID, Post-back/ACS URL en SAML-attribuut voor de gebruikersnaam van de chauffeur op te halen en om de SSO-configuratie in uw IdP te definiëren.

    • Naam: bestuurder_gebruikersnaam

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Bron attribuut

    Deze informatie kan ook worden gebruikt om de SSO-configuratie met uw IdP te definiëren.

  6. Geef ofwel de metadata-URL of upload een metadata-bestand van uw IdP.

    Opmerking

    Het x.509-certificaat dat in uw IdP-metadata is opgenomen, zal verlopen. Om onderbrekingen in de toegang te voorkomen, vernieuwt u het certificaat in uw IdP en werkt u de Samsara-metadata bij voordat het verloopt. Voor meer informatie, zie Vernieuw een x.509-certificaat.

  7. Sla uw wijzigingen op wanneer u klaar bent.

SSO instellen voor Samsara-beheerders

Als u wilt dat uw beheerders SSO gebruiken om aan te melden bij het Samsara-dashboard, stel dan een aparte SAML-app in uw IdP in met behulp van de volgende workflow:

  1. Verifieer uw domein voor veilige SSO-authenticatie.

    U moet domeinverificatie voltooien voordat u SSO inschakelt. Alleen gebruikers met geverifieerde domeinen kunnen toegang krijgen tot de organisatie.

  2. Selecteer het pictogram Instellingen (gear icon) onderaan uw wagenparkmenu om de instellingen van het dashboard te bekijken.

  3. Selecteer in Organisatie de optie Single Sign-On.

  4. In de Single Sign-On (SSO) voor gebruikerslogin sectie, klik op Bijwerken.

  5. Klik op Kopiëren naast de Samsara metadata URL om de URL op te nemen voor gebruik door uw identiteitsprovider. Stuur die URL naar de beheerder van uw IdP.

    Als uw IdP de metadata-URL niet accepteert, kunt u de details uitbreiden om de Service Provider Entity ID, Post-back/ACS URL en SAML-attributen voor gebruikersidentificatie op te halen en de SSO-configuratie in uw IdP te definiëren.

  6. Haal de metadata op van de IdP.

    U kunt een metadata-URL verstrekken of u kunt een metadata-bestand bijwerken dat door de IdP is verstrekt.

  7. Sla uw wijzigingen op wanneer u klaar bent.

Instellen van het verificatietype voor gebruikers

Als gebruikers nog steeds gebruikmaken van basisverificatie, moet u hun accounts omzetten om SSO in te schakelen. U kunt dit doen via een directe URL (later uitgelegd) of door de API te gebruiken om de verificatietypen van gebruikers programmatisch bij te werken.

Converteer bestaande gebruikers die zich aanmelden met basisverificatie om SSO te gebruiken met een van de volgende methoden:

  • Direct aanmelden: Laat gebruikers zich aanmelden bij de IdP of gebruik de directe SSO-URL van Samsara.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    Waar <orgid> de unieke ID voor uw organisatie is. Deze login zal de authenticatiemethode van een gebruiker omzetten van basisauthenticatie naar Single Sign-on.

    Nadat de gebruiker zich aanmeldt, wordt het account automatisch omgezet om SSO te gebruiken voor toekomstige authenticatiepogingen.

  • Samsara API: Gebruik de Samsara API om het authenticatietype van de gebruiker te wijzigen van Basic naar SAML. Raadpleeg de API-documentatie voor het vereiste eindpunt en de parameters.

  • Bulk importeren: Vanuit de Samsara-dashboard kunt u het authenticatietype voor uw gebruikers bijwerken door een CSV-bestand te bewerken en te importeren (zie Beheerders in Bulk Bewerken). Om dit te doen, verandert u de authType van Basic naar SAML voor gebruikers en importeert u vervolgens het CSV-bestand.

Kies de methode die het beste past bij uw organisatorische workflow om een naadloze overgang naar SSO voor alle gebruikers te garanderen.

Integreer Microsoft Entra als uw IdP

Samsara ondersteunt integratie met Microsoft Entra (voorheen bekend als Azure). Voor gedetailleerde instructies over het maken van een SAML-integratie, zie Handleiding: Microsoft Entra Single Sign-on (SSO) integratie met Samsara.

Voordat u authenticatie configureert, zorg ervoor dat u toegang heeft tot zowel het Samsara-dashboard als het Microsoft Entra Beheercentrum als beheerder. Gebruik de volgende workflow om SSO in te stellen met Microsoft Entra:

  1. Verifieer uw domein voor veilige SSO-authenticatie.

    U moet domeinverificatie voltooien voordat u SSO inschakelt. Alleen gebruikers met geverifieerde domeinen kunnen toegang krijgen tot de organisatie.

  2. In Samsara, maak een aparte SSO-configuratie voor beheerders, chauffeurs of beide:

  3. In Microsoft Entra, stel een nieuwe SAML-toepassing in voor Samsara.

    1. Navigeer naar Identiteit > Toepassing > Enterprise applicaties.

    2. Selecteer + Nieuwe applicatie.

    3. + Maak je eigen applicatie.

      1. Voer de naam van de applicatie Samsara in.

      2. Selecteer Integreer elke andere applicatie die u niet in de galerij vindt (Niet-galerij).

      3. Creëer de app.

    4. Wijs gebruikers en groepen toe.

      1. Klik op + Gebruiker/groep toevoegen.

      2. Onder Gebruikers, klik op Geen geselecteerd.

      3. Selecteer de gebruikers die u wilt toevoegen en klik vervolgens op Selecteer.

      4. Klik op Toewijzen.

    5. Configureer SAML.

      1. In de zij-navigatie, selecteer Overzicht.

      2. Selecteer Aanmelden in het instellen van de Single Sign-on box.

      3. Klik op SAML.

      4. Selecteer Bewerken in de Basis SAML-configuratie om de SAML-velden die door uw Samsara-beheerder zijn verstrekt toe te voegen.

        Kopieer de link van Service Provider Entiteit ID naar het Identifier (Entiteit ID) veld.

        Kopieer de link van Post-back/ACS URL naar het Antwoord URL (Assertion Consumer Service URL) veld.

      5. Opslaan uw wijzigingen.

    6. Voeg claims toe voor de vereiste Samsara-gebruikersattributen.

      sso-entra-idp-manage-claim.png

      Om gebruikersgegevens door te geven tijdens authenticatie, definieert u claims voor de e-mail en naam van de gebruiker. Om rollen of labels toe te wijzen bij het inloggen, voegt u ook claims toe voor die waarden.

      1. Selecteer Bewerken in de sectie Attributen en claims.

      2. Klik op Een nieuwe claim toevoegen.

      3. Om de claim te definiëren, selecteer Bewerken in de Attributen & Claims sectie en Voeg een nieuwe claim toe voor elk van de Samsara gebruiker attributen.

        • Naam attribuut: We raden u aan het Bron attribuut voor naam te configureren naar de waarde die u wilt toewijzen aan Samsara's naam. Bijvoorbeeld, u kunt user.displayname gebruiken als uw bron attribuut.

        • E-mail attribuut: We raden u aan het Bron attribuut voor e-mail in te stellen op de waarde die u wilt toewijzen aan Samsara's naam. Bijvoorbeeld, u kunt user.mail gebruiken als uw bron attribuut.

      4. (Facultatief) Om rollen of labels toe te wijzen tijdens het inloggen, definieert u aanvullende claims in Microsoft Entra en koppelt u deze aan de juiste waarden met behulp van claimvoorwaarden. Gebruik de volgende workflow om het claimgedrag te configureren:

        1. In de sectie Gebruikersattributen en claims, voegt u de volgende claims toe:

          • https://cloud.samsara.com/saml/attributes/rol_naam

          • https://cloud.samsara.com/saml/attributes/rol_tags

        2. Voor elke role_name en role_tags claim:

          1. Stel Gebruikerstype in op Leden.

          2. Klik op Groepen selecteren en kies de groep of groepen waarop u de claim wilt toepassen.

            Om de configuratie en toekomstig onderhoud te vereenvoudigen, raden wij aan een consistente naamgevingsconventie voor groepsnamen te gebruiken.

          3. Stel Bron in op Attribuut.

          4. Voer de rol- of labelnaam in het veld Waarde in.

            Aanhalingstekens worden automatisch toegevoegd.

          5. Klik op Opslaan om het aanmaken van de claim te voltooien.

      5. Klik op Opslaan om de volledige SAML-configuratie toe te passen.

  4. Om de verbinding tussen Microsoft Entra en Samsara te voltooien, dient u de IdP-metadata te uploaden naar de juiste SSO-configuratie in de Samsara dashboard.

    1. In Microsoft Entra, kopieert u de App Federation Metadata URL of downloadt u het metadata XML-bestand.

    2. Open in het Samsara-dashboard de relevante SSO-configuratie (beheerder of chauffeur).

    3. Plak de metadata-URL of upload het bestand.

    4. Klik op Opslaan om de wijzigingen toe te passen.

Integreer Okta als uw IdP in Samsara

Voordat u authenticatie configureert, zorg ervoor dat u toegang heeft tot zowel het Samsara-dashboard als uw Okta Beheerder Console, en stel vervolgens SSO in met Okta met behulp van de volgende workflow:

  1. Verifieer uw domein voor veilige SSO-authenticatie.

    U moet domeinverificatie voltooien voordat u SSO inschakelt. Alleen gebruikers met geverifieerde domeinen kunnen toegang krijgen tot de organisatie.

  2. In Samsara, maak een aparte SSO-configuratie voor beheerders, chauffeurs of beide:

  3. Kopieer voor elke configuratie die in de vorige stap is ingesteld, de volgende SSO-verbinding instellingen voor gebruik in Okta:

    • Single Sign-on URL: Post-back/ACS URL (Assertion Consumer Service)

    • Publiek URI: Serviceprovider-entiteits-ID

  4. In uw Okta Beheerder Console, maak een SAML 2.0 interne app-integratie aan met behulp van de instellingen die zijn gekopieerd uit de vorige stap.

    Voor volledige instructies, zie de Okta-documentatie.

    okta-sso-app-settings.png

  5. Configureer de volgende attributen om een juiste authenticatie voor elk type gebruiker te garanderen:

    • Voor beheerders:

      • https://cloud.samsara.com/saml/attributes/e-mail: user.mail

      • https://cloud.samsara.com/saml/attributes/name: user.displayName

        Als uw IdP geen ondersteuning biedt voor een volledig naamveld, kunt u er een samenstellen met user.firstName+" "+user.lastName. In sommige gevallen moet u mogelijk regex-opmaak of Okta Expression Language gebruiken om de waarde correct op te maken.

    • Voor chauffeurs:

      • https://cloud.samsara.com/saml/attributes/driver_username: uw chauffeur login-identificatieveld

  6. (Facultatief) Om rollen of labels toe te wijzen tijdens het inloggen, definieert u aangepaste attributen in Okta en koppelt u deze aan de juiste waarden. Gebruik de volgende workflow om het doorgeven van SAML-attributen te configureren:

    1. Voeg de volgende SAML-attributen toe aan uw Okta-app-integratie:

      Deze attributen zijn opgenomen in de SAML-verklaring en worden door Samsara gebruikt om rollen en labels toe te wijzen tijdens het inloggen.

      • https://cloud.samsara.com/saml/attributes/role_name: appuser.samsaraRole

      • https://cloud.samsara.com/saml/attributes/role_tags: appuser.samsaraRoleTags

    2. Definieer het aangepaste attribuut in Okta om het attribuut appuser.samsaraRole te ondersteunen:

      1. Klik op Profielmapping configureren vanuit het Aanmelden tabblad van de app.

      2. Als er een modal verschijnt met bestaande toewijzingen, sluit deze dan om toegang te krijgen tot de Profiel Editor.

      3. In de Profiel Editor, klikken op + Attribuut toevoegen.

      4. Voer de volgende waarden in:

        • Gegevenstype: tekenreeks

        • Weergavenaam: Samsara Rol

        • Variabelenaam: samsaraRol

        • Enum: Ingeschakeld; voeg de namen toe van de Samsara-rollen die u van plan bent toe te wijzen.

        • Attribuut Vereist: Ja

        • Reikwijdte: Gebruiker persoonlijk inschakelen

  7. Om de verbinding tussen Okta en Samsara te voltooien, dient u de IdP-metadata te uploaden naar de juiste SSO-configuratie in de Samsara dashboard:

    1. In Okta, kopieert u de App Federation Metadata URL of downloadt u het metadata XML-bestand.

    2. Open in het Samsara-dashboard de relevante SSO-configuratie (beheerder of chauffeur).

    3. Plak de metadata-URL of upload het bestand.

    4. Klik op Opslaan om de wijzigingen toe te passen.

Andere IdP's

Hoewel Samsara officieel Microsoft Entra en Okta als IdP's ondersteunt, kunt u ook veel andere identiteitsproviders gebruiken die het SAML 2.0-protocol ondersteunen.

Aangezien andere IdP's nog niet zijn getest, kan Samsara op dit moment geen volledige compatibiliteit garanderen. Om een IdP zelf te testen, maakt u een SAML-verbinding vanaf de Samsara-dashboard.

  1. Verifiëren van domeinen voor veilige SSO-authenticatie.

    U moet domeinverificatie voltooien voordat u SSO inschakelt. Alleen gebruikers met geverifieerde domeinen kunnen toegang krijgen tot de organisatie.

  2. Configureer uw gewenste SSO-opties:

    Samsara raadt aan dat u de Samsara metadata SAML-configuratie importeert in plaats van handmatige configuratie, als u dit kunt doen voor uw IdP.

  3. Configureer SAML-attributen.

    Naam

    Waarde

    https://cloud.samsara.com/saml/attributes/email

    Gebruiker's e-mail

    https://cloud.samsara.com/saml/attributes/name

    Gebruikersnaam

  4. Voeg de Samsara-beheerder toe als een gebruiker aan de nieuwe applicatie.

  5. Wissel de metadata-informatie van Samsara uit met de IdP om de configuratie te voltooien.

Samsara JIT-provisioning

Just-in-Time (JIT) provisioning maakt gebruik van het SAML-protocol om automatisch gebruikersaccounts aan te maken. Wanneer een nieuwe gebruiker voor de eerste keer inlogt via een Identity Provider (IdP) zoals Okta of Microsoft Entra, stuurt de IdP hun gegevens naar de app (bijvoorbeeld de Samsara-dashboard) en wordt het account aangemaakt zonder tussenkomst van een beheerder.

Samsara ondersteunt JIT-provisioning voor twee soorten accounts:

  • Samsara-dashboard gebruikers: Wanneer een nieuwe beheerder voor de eerste keer inlogt met SSO, maakt de Samsara-dashboard automatisch een account aan met de rol Onderhoud en toegang tot de gehele organisatie. Als de beheerder een andere rol of labeltoegang nodig heeft, voeg hun account toe of werk het bij door middel van CSV uploaden en wijs de juiste labeltoegang toe.

  • Chauffeurs: Samsara ondersteunt JIT-provisioning voor chauffeur SSO. Wanneer een chauffeur voor de eerste keer inlogt met SSO, wordt hun account automatisch aangemaakt in het Dashboard. Het systeem gebruikt het driver_username attribuut van uw IdP om het account te koppelen, waardoor handmatige installatie niet nodig is.

Bij het gebruik van JIT-provisioning met SSO kunnen er problemen optreden als de e-mail van een gebruiker aan meerdere organisaties is gekoppeld. Omdat JIT afhankelijk is van unieke e-mailidentificatoren, kunnen dubbele e-mails fouten of toegangsproblemen veroorzaken.

Om dit te voorkomen, zorg ervoor dat elke gebruiker een unieke e-mail in uw domein heeft. Voor gebruikers die toegang nodig hebben tot meerdere organisaties, gebruik aparte e-mailaliassen of werk samen met uw IdP om toegang te beheren.

Een SSO-configuratie verwijderen

Om een SSO-configuratie te verwijderen, neem contact op met Samsara Support. De Samsara-dashboard staat zelfbedieningsverwijdering niet toe om de authenticatie-instelling van uw organisatie te beschermen. Ondersteuning zal u helpen de configuratie veilig te verwijderen.

Feedback

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 11 van 22
Have more to say? We want to hear it!
Have more questions? Submit a request
Terug naar boven

Opmerkingen

0 opmerkingen

Artikel is gesloten voor opmerkingen.

Verwante artikelen

Artikelen in deze sectie

©2024 Samsara Inc.

Chat met ons