Met Single Sign-on (SSO) kunt u uw cursisten verifiëren met uw eigen systemen zonder dat ze extra Reach 360-inloggegevens hoeven in te voeren. Dus als een cursist al is geverifieerd door je identiteitsprovider (IDP), wordt deze ook geverifieerd in Reach 360.

Alleen eigenaren van een Reach 360-account kunnen SSO in- of uitschakelen via de interface in de app.

1. Informatie over IDP opvragen
2. SSO inschakelen in Reach 360
3. Voeg Reach 360-informatie toe aan je IDP
4. Vereiste kenmerken voor leerlingen toevoegen
5. SSO uitschakelen

Stap 1: IDP-informatie verkrijgen

We moeten meer weten over uw IDP en zij moeten over ons weten. Om SSO in te schakelen, moet je informatie over je provider invoeren in Reach 360 en op onze beurt geven we je wat je nodig hebt om in je IDP-account in te voeren.

Je hebt drie dingen nodig:

1. ISP SSO-URL
2. URI van de IDP-uitgever
3. IDP-handtekeningcertificaat

Deze moeten allemaal beschikbaar/configureerbaar zijn in je IDP-account.

Stap 2: SSO inschakelen in Reach 360

De optie om SSO te configureren is alleen beschikbaar voor eigenaren. Als je niet zeker weet wat je moet invoeren voor een bepaalde stap, klik dan op Meer informatie voor meer informatie.

1. In Reach 360 kunt u het tabblad Beheren selecteren en op Instellingen klikken.
2. Klik onder Single Sign-On (SSO) op SSO configureren.
3. Voer op de pagina Configure Single Sign-On (SSO) Authentication (SSO) in het veld IDP SSO URL de IDP SSO-URL in die u in stap 1 hebt verkregen. Dit is het adres waar je cursisten inloggen.
4. Voer de IDP-entiteits-ID voor uw SSO in het veld IDP Issuer URI in.
5. Open het IDP-handtekeningcertificaat dat u in stap 1 hebt gedownload. Kopieer en plak het volledige X.509-certificaat in de daarvoor bestemde ruimte.
6. Selecteer hoe het SAML-antwoord van uw IDP wordt ondertekend. Je moet Response of Assertion kiezen.
7. Selecteer of je SAML-authenticatieverzoeken wilt ondertekenen en of je SCIM gaat gebruiken om cursisten en groepen automatisch in te richten.
8. Nadat je je gegevens dubbel hebt gecontroleerd, klik je op Opslaan en doorgaan.

Stap 3: Reach 360-informatie toevoegen aan uw IDP

Nadat je de informatie in de vorige stap hebt ingevoerd, hebben we alles wat we nodig hebben om de certificaten en tokens voor je IDP-account te genereren.

Nadat u op Opslaan en doorgaan hebt geklikt, ziet u dat de SSO-pagina iets anders is. Deze items heb je nodig om je SSO-oplossing te verbinden met Reach 360:

• URL van de bevestiging van de klantenservice (ACS)
• URL van het publiek
• Certificaat ondertekenen

Als je in stap 2 de optie hebt geselecteerd om SCIM te gebruiken, ontvang je ook:

• SCIM-URL
• SCIM-verificatietoken

Voeg deze waarden toe aan de juiste plaats op de configuratiepagina van je IDP. Zorg ervoor dat u uw IDP configureert met de vereiste SCIM-kenmerken zoals hieronder weergegeven. Als u klaar bent met deze informatie, klikt u op Gereed.

Eenmaal geconfigureerd, kunt u uw SSO-instellingen op elk gewenst moment bekijken door op SSO configureren te klikken op het tabblad Ontwikkelaarsinstellingen. Als u SCIM hebt ingeschakeld, kunt u een nieuw SCIM-token genereren door op de knop in de SCIM-URL-sectie te klikken. Dit maakt je huidige token ongeldig en geeft een nieuw token uit dat je aan je IDP moet verstrekken.

Opmerking: Als je problemen hebt met het toevoegen van deze informatie aan je IDP-account, neem dan contact op met hun ondersteuningsteam.

Als je SCIM in stap 2 hebt ingeschakeld, zijn dit vereiste kenmerken om cursisten aan te maken:

• name.givenName= voornaam
• name.familyName= achternaam
• userName= e-mailadres
• externalId= elk uniek identificatienummer van je IdP

Je kunt ook optionele attributen verzenden:

• avatar= vervangt een door de leerling gedefinieerde profielfoto (moet worden doorgegeven als een URL en moet worden verzonden als een kenmerk dat deel uitmaakt van het URN:SCIM:Schemas:Extension:Metadata:2.0:User schema)

Stap 4: Vereiste attributen toevoegen voor studenten

Een cursist kan alleen worden aangemaakt in Reach 360 als zijn record in uw IDP de volgende kenmerken bevat:

• firstName= voornaam
• lastName= achternaam
• email= e-mailadres
• subjectNameIdof Unique Learner Identifier = de externalId of van het object guid (moet permanent onveranderlijk en uniek zijn en mag geen interne gegevens bevatten, zoals e-mailadres, naam, enz.)

U kunt ook deze optionele kenmerken verzenden:

• avatar= vervangt een door de leerling gedefinieerde profielfoto (moet worden doorgegeven als URL)
• groups= een lijst met groepen waaraan de cursist in de IdP is toegewezen en die je naar Reach 360 wilt synchroniseren.

Klik voor meer informatie over het beheren van cursisten en groepen wanneer SSO is ingeschakeld.

Stap 5: SSO uitschakelen

SSO uitschakelen is snel en eenvoudig. Houd er wel rekening mee dat wanneer je SSO uitschakelt, je het hele proces zoals beschreven in de stappen 1-3 moet herhalen als je het weer wilt inschakelen.

1. Klik op het tabblad Beheren op Instellingen.
2. Klik op het tabblad Account in de sectie SAML-configuratie-instellingen op SSO uitschakelen.
3. Klik op Uitschakelen om te bevestigen dat je SSO wilt uitschakelen.

Er wordt een e-mail gestuurd naar je aan SSO gekoppelde teamleden om hen te laten weten dat SSO is uitgeschakeld. Om hun aanmelding opnieuw in te schakelen, moeten ze in die e-mail op de knop Wachtwoord instellen klikken.