Categorie: integrations
Bijgewerkt: 2026-04-05
sso authenticatie azure-ad federated saml
Single Sign-On (SSO) en Federated Authenticatie
Ultimo ondersteunt Single Sign-On via federated authenticatie, waardoor gebruikers kunnen inloggen met hun organisatie-account (bijv. Microsoft Entra ID / Azure AD) zonder apart Ultimo-wachtwoord.
Gerelateerd: ldap-scim, configuration/application-element-tree, concepts/autorisatie
Authenticatiemethodenbewerken
| Methode | Beschrijving |
|---|---|
| Forms authentication | Ultimo eigen login (gebruikersnaam + wachtwoord) |
| Microsoft authentication | Login via Microsoft-account |
| Federated authentication | SSO via externe identity provider (SAML/OIDC) |
AET-settingsbewerken
Alle authenticatiemethoden worden beheerd via de configuration/application-element-tree onder de secties Authentication en Authentication (federated).
Federated Authentication configuratiebewerken
Kernveldenbewerken
| Setting | Beschrijving |
|---|---|
| Data provider | Provider type (standaard: CLAIMS) |
| Identifier claim type | Claim voor gebruikersidentificatie |
| Group | Standaard groep voor nieuwe federated gebruikers |
| Group claim | Claim met groepsidentifiers |
Automatische provisioningbewerken
| Setting | Functie |
|---|---|
| Insert user | Automatisch gebruiker aanmaken |
| Insert employee | Automatisch medewerker aanmaken |
| Activate new user | Nieuwe gebruikers direct activeren |
| Update user/employee/group | Gegevens bijwerken bij elke login |
| Untrash user/employee | Verwijderde accounts herstellen bij login |
Go+ specifiekbewerken
| Setting | Beschrijving |
|---|---|
| Use browser for SSO in Go+ | Browser gebruiken i.p.v. embedded WebView |
E-signature (FDA)bewerken
| Setting | Beschrijving |
|---|---|
| Enable e-signature password setup for SSO users | E-handtekening wachtwoord voor SSO-gebruikers, voor 21 CFR Part 11 compliance |
Implementatiestappenbewerken
- Identity Provider configureren — SAML/OIDC app registreren bij de IDP
- Ultimo AET instellen — Federated authentication settings configureren
- Claims mapping — Identifier, group en display name claims configureren
- Standaard groep instellen — Bepaal in welke Ultimo-groep nieuwe gebruikers terechtkomen
- Auto-provisioning instellen — Insert user/employee inschakelen indien gewenst
- Testen — Test in acceptatieomgeving met een testgebruiker
Praktische tipsbewerken
- Test SSO altijd in een acceptatieomgeving voordat je naar productie gaat
- Configureer de standaardgroep zorgvuldig — nieuwe gebruikers krijgen automatisch deze rechten
- Bij problemen: controleer de claims in de SAML-response met een tool als SAML-tracer
- Combineer SSO met ldap-scim voor volledige user lifecycle management
- Houd Forms authentication als fallback beschikbaar voor noodtoegang
Valkuil: Als
Update groupaan staat, wordt de groep bij elke login overschreven. Dit kan problemen geven als consultants handmatig extra groepen hebben toegewezen.
Zie ookbewerken
- ldap-scim — User provisioning
- configuration/application-element-tree — AET-instellingen
- concepts/autorisatie — Autorisatiemodel