Checklist Fase 1 - Aan de slag met Autodesk Single Sign-on (SSO)
07 juni 2021 
3 min. leestijd

Checklist Fase 1 - Aan de slag met Autodesk Single Sign-on (SSO)

Ga je aan de slag met Single sign-on (SSO)? Dan is het belangrijk om je goed voor te bereiden. In dit artikel geef ik je een checklist over hoe je je goed kunt voorbereiden om over te stappen op SSO.

Vereisten:

Voordat je begint, zorg ervoor dat het volgende gereed is:

  • Een gevestigde domeinnaam voor je organisatie.
  • Actieve Microsoft Azure Premium AD P1 licentie, bijvoorbeeld Microsoft Office 365 Business Premium
  • SAML geactiveerd voor je domein.
  • Een admin account voor het domein bij jouw IdP.
  • Registreer je domein bij Autodesk SSO. Bekijk hiervoor het artikel van Autodesk: Access to SSO
  • Installeer Updates:
    • Zorg er voor dat alle Autodesk desktop software is geüpdatet. Autodesk producten die zijn uitgebracht voor 2018 moeten volledig up-to-date zijn om cloud verbindingen te kunnen activeren. De laatste updates zijn te vinden op in het Autodesk Account of via de Autodesk Desktop App.
  • Zoek informatie over de configuratie die hoort bij jouw IdP:
    • De pagina met de juiste instellingen kun je hier vinden: Help | Preparation for SSO | Autodesk of klik op de IdP waar jij gebruik van maakt vanuit het blog.
    • Let goed op de “naming” en “mapping” of SAML invoervelden en waardes.
    • Vele fouten komen voort vanuit het verkeerd invoeren van de mapping.

Opruimen:

Zorg voor een opgeschoonde gebruikerslijst.

  • Zorg ervoor dat gebruikers die niet meer werkzaam zijn bij het bedrijf zijn verwijderd uit toewijzingen, producten en projecten. Zij zullen sowieso geen toegang hebben zolang zij niet op het domein zijn aangemeld, maar het is altijd verstandig dit goed op orde te hebben.
  • Zorg ervoor dat gebruikers die uitgenodigd zijn voor toewijzingen, producten en projecten zijn geaccepteerd voordat SSO wordt ingeschakeld of verwijder deze verzoeken.
  • Zorg ervoor dat alle medewerkers het zakelijke mail adres van het bedrijf gebruiken (met het domein die gebruikt wordt voor SSO) voor toegang voor toewijzingen, producten en projecten.
  • Verwijder gebruikers die een persoonlijk/ander mail adres gebruiken of vraag hen deze te wijzigen naar het zakelijke (SSO) e-mail adres.
    • Na het inschakelen van SSO worden gebruikers gekoppeld via hun e-mailadres.

Indien er toch een mismatch is met het e-mailadres wordt er automatisch een nieuwe SSO-account aangemaakt. Hierdoor kan de gebruiker toegang verliezen.

Voorzorgsmaatregelen:

  • ACTIVEER SSO NIET voordat alles volledig is getest.
    • Zodra SSO is geactiveerd zullen alle gebruikers worden omgezet naar authenticatie via Autodesk.
    • Alle tests met applicaties moeten volledig zijn afgerond voordat SSO wordt geactiveerd.
    • Gebruikers moeten eerst op de hoogte worden gebracht voordat SSO actief wordt.
    • Indien SSO perongeluk geactiveerd wordt, kan dit alleen worden uitgeschakeld via Autodesk.

Samenstellen van een testlijst:

  • Voeg indien mogelijk liever geen SSO-admin toe aan een testlijst.
    • Wanneer er één of meerdere gebruikers zijn toegevoegd aan een testlijst kunnen zij belangrijke punten van de workflow testen.
    • Indien er configuratieproblemen naar boven komen en de SSO-admin staat op de testlijst, dan kan het gebeuren dat deze geen toegang meer krijgt tot het configuratie portaal.
    • Indien de SSO-admin zichzelf uit de console vergrendelt moet er contact worden opgenomen met Autodesk om weer toegang te kunnen krijgen.

SAML Tracer:

  • Om problemen effectief op te lossen, kan het de moeite waard zijn om toegang te hebben tot SAML-traceringstools en deze te begrijpen.
    • Met tools zoals SAML Tracer kunnen beheerders kijken naar de informatie die wordt geretourneerd via SAML en ontbrekende of ongeldige gegevens-blokkerende authenticatie identificeren.

Mapping Attributen:

  • Zorg ervoor dat alle gebruikers de benodigde data hebben.
    • Als we beginnen met mapping, heb je in de meeste systemen het volgende nodig:  Voor- en achternaam, gebruikersnaam, e-mailadres en een unieke ID.
    • Het is van kritisch belang dat er een volledig uniek ID wordt geselecteerd als “ObjectID” en dat deze waarde aanwezig is bij alle gebruikers.
    • Administrators moeten niet uitgaan van bijvoorbeeld gehuwde namen of andere waardes die kunnen veranderen (bijvoorbeeld bij een huwelijk/scheiding een verandering van de achternaam)
    • Door een unieke GUID te kiezen kan het e-mailadres en de naam van de gebruiker worden ingevoerd.
    • Als één van de mapping waardes leeg zijn of onjuiste karakters bevat mislukt de authenticatie.

Wil je hier meer over weten of heb je nog vragen? Neem dan contact met ons op.

Reactie plaatsen
arrow_drop_up arrow_drop_down