Laatst bijgewerkt: 8 juli 2026

Overzicht

Deze gids helpt Microsoft Entra (voorheen Azure AD) beheerders bij het configureren van Single Sign-On (SSO) voor de CROW500Proof applicatie. Je leert hoe je SSO instelt, gebruikersrollen toewijst, en toegangsbeheer configureert voor je organisatie.

🎯 Doelgroep: Deze gids is bedoeld voor Microsoft Entra beheerders die SSO willen configureren voor hun organisatie.


Korte Uitleg met Gegevens

Deze sectie bevat alle technische configuratiegegevens van de C5P applicatie in Microsoft Entra. Gebruik deze gegevens bij het configureren van SSO voor je organisatie. Uitgebreide uitleg over de configuratie is te vinden in de volgende secties.

C5P Applicatie Configuratiegegevens

Configuratie Item Waarde Opmerkingen
Applicatie Naam CROW500Proof (C5P) De naam van de Entra Applicatie
Application (Client) ID d8f117dc-57c9-4ec4-95d4-ee4fb0179382 Unieke identifier voor de applicatie
Object ID 4a2672f1-8a3c-40ef-89d7-412ded30fe2f Unieke identifier voor het object in Entra
Directory (Tenant) ID af088447-f40c-4c35-ad17-3ca85bd7cadc Tenant ID van onze organisatie (publisher - niet te verwarren met jouw tenant ID)
Publisher Domain crow500proof.nl Geverifieerd publisher domain
Publisher KE-works B.V. Geverifieerde publisher
MPN ID 7030016 Microsoft Partner Network ID
Supported Account Types Alle Microsoft account gebruikers Multitenant + persoonlijke Microsoft accounts
SSO Protocol OpenID Connect (OIDC) Gebruikt OAuth 2.0 authorization code flow
Redirect URIs Zie tabel hieronder
Front-end Logout URL https://mijn.c5p.app/logout Stuurt Microsoft een signaal om de C5P-sessie af te sluiten bij globale logout
Access Tokens (implicit flow) FALSE C5P gebruikt Authorization Code Flow, niet implicit flow
ID Tokens TRUE C5P heeft de ID Token nodig voor gebruikersidentificatie
Provide Secret / Client Secret TRUE C5P is een confidential client en heeft een secret nodig
Platform type Web Application Niet SPA, niet Mobile/Desktop
Flow Type Authorization Code Flow Veiligste OAuth 2.0 flow; standaard voor web-applicaties
PKCE Optional Mag aan, maar niet verplicht voor web apps met secret

Redirect URIs

Omgeving Redirect URI
Productie Omgeving https://mijn.cp5.app/api/accounts/microsoft/login/callback/
2e URL productie omgeving https://mijn.infradossier.app/api/accounts/microsoft/login/callback/
Custom Domain Omgeving https://<domeinnaam>.c5p.app/api/accounts/microsoft/login/callback/

⚠️ Belangrijk: De redirect URIs zijn al geconfigureerd door C5P. Je dient deze niet aan te passen. Controleer alleen of de juiste redirect URI wordt gebruikt voor jouw omgeving. Let scherp op de '/' aan het einde van de redirect URI.

App Roles in Entra ID

App Role Waarde Beschrijving C5P Interne Rol
C5P User c5p.user Standaard gebruiker met basisrechten USER
C5P Tenant Manager c5p.manager Organisatie Manager die organisatie beheert en gebruikers kan toevoegen en verwijderen MANAGER
C5P Tenant Owner c5p.tenant_owner Organisatie Eigenaar met volledige organisatierechten TENANT_OWNER

ℹ️ Info: Het configureren van rollen in Entra ID zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol in C5P.

Microsoft Graph API Rechten

C5P gebruikt de volgende Microsoft Graph API rechten (delegated permissions):

API / Rechten naam Type Beschrijving Waarvoor gebruikt
User.Read Delegated Inloggen en gebruikersprofiel lezen Ophalen van het profiel van de ingelogde gebruiker bij het aanmelden

ℹ️ Info: Dit is een delegated permission. De applicatie voert alleen acties uit namens de ingelogde gebruiker, met de rechten die de gebruiker zelf heeft. Admin consent is niet vereist.


Wat is SSO?

Single Sign-On (SSO) stelt gebruikers in staat om in te loggen op C5P met hun Microsoft Entra account, zonder een apart wachtwoord te hoeven onthouden. Dit verhoogt de beveiliging en gebruikerservaring.

Voordelen van SSO


Stap 1: C5P Toevoegen als Enterprise Applicatie

1.1 Toegang tot Microsoft Entra Admin Center

  1. Log in op het Microsoft Entra Admin Center
  2. Navigeer naar Enterprise applications (Bedrijfstoepassingen)
  3. Klik op + New application (+ Nieuwe toepassing)

1.2 C5P Zoeken en Toevoegen

Via Microsoft Entra Application Gallery

  1. Klik op Browse Azure AD Gallery (Bladeren in Azure AD-galerie)
  2. Zoek naar "CROW500Proof" of gebruik de Application (Client) ID uit de configuratietabel: d8f117dc-57c9-4ec4-95d4-ee4fb0179382
  3. Selecteer CROW500Proof (C5P) uit de resultaten
  4. Klik op Create (Maken)

1.3 Basisconfiguratie

Na het toevoegen van de applicatie:

  1. Open de Properties (Eigenschappen) pagina
  2. Controleer dat Enabled for users to sign-in is ingeschakeld
  3. Klik op Save (Opslaan)

Stap 2: SSO Configureren

2.1 Naar SSO Configuratie

  1. In de C5P applicatie, klik op Single sign-on (Eenmalige aanmelding) in het linkermenu
  2. Selecteer OpenID Connect als de SSO-methode

2.2 Basis SSO Instellingen

  1. Redirect URI: De redirect URIs zijn al geconfigureerd door C5P
  2. Controleer dat de juiste redirect URI aanwezig is voor jouw omgeving (zie Redirect URIs tabel)
  3. De redirect URI moet exact overeenkomen met een van de geconfigureerde URIs
  4. Reply URL: Dit wordt automatisch ingesteld
  5. Supported Account Types: Controleer dat dit is ingesteld op "All Microsoft account users" (zie configuratietabel)
  6. Klik op Save (Opslaan)

💡 Tip: Als je de applicatie via de gallery hebt toegevoegd, zijn de redirect URIs automatisch geconfigureerd. Controleer alleen of ze correct zijn.

2.3 Gebruikers Toewijzen (Optioneel)

Als je alleen specifieke gebruikers toegang wilt geven:

  1. Ga naar Users and groups (Gebruikers en groepen)
  2. Klik op + Add user/group (+ Gebruiker/groep toevoegen)
  3. Selecteer de gebruikers of groepen die toegang moeten hebben
  4. Klik op Assign (Toewijzen)

💡 Tip: Als je geen gebruikers toewijst, kunnen alle gebruikers in je Entra tenant inloggen op C5P.


Stap 3: App Roles Configureren (Optioneel maar Aanbevolen)

App roles stellen je in staat om automatisch gebruikersrollen toe te wijzen wanneer gebruikers inloggen via SSO.

3.1 Beschikbare App Roles

C5P biedt de volgende app roles (zie App Roles tabel voor volledige details):

ℹ️ Info: App roles zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol in C5P en kunnen binnen de applicatie van C5P door managers of eigenaren van de organisatie worden gepromoveerd naar Manager of Tenant Owner.

3.2 Gebruikers/Groepen Toewijzen aan App Roles

C5P User Rol Toewijzen

  1. Ga naar Users and groups (Gebruikers en groepen)
  2. Klik op + Add user/group (+ Gebruiker/groep toevoegen)
  3. Selecteer de gebruikers of groepen die de c5p.user rol moeten krijgen
  4. Klik op Select a role (Selecteer een rol)
  5. Kies C5P User
  6. Klik op Assign (Toewijzen)

C5P Tenant Manager of C5P Tenant Owner Rol Toewijzen

  1. Herhaal de stappen hierboven
  2. Selecteer C5P Tenant Manager of C5P Tenant Owner als rol
  3. Klik op Assign (Toewijzen)

💡 Tip: Je kunt hele groepen toewijzen aan app roles, wat het beheer vereenvoudigt. Let op dat er bij voorkeur een enkel persoon de eigenaar is van de organisatie. Deze krijgt ook informatie over de licentie en facturen per email.

3.3 Rol Mapping

Wanneer gebruikers inloggen via SSO (zie App Roles tabel voor de exacte mapping):

⚠️ Belangrijk: Entra kan gebruikers alleen promoveren naar hogere rollen, niet degraderen. Als een gebruiker handmatig is gepromoveerd naar MANAGER of TENANT_OWNER in C5P, blijft deze rol behouden, zelfs als de Entra rol wordt verwijderd.


Stap 4: Toegangsbeheer Configureren

4.1 "User Assignment Required" Inschakelen

Als je alleen specifieke gebruikers toegang wilt geven:

  1. Ga naar Properties (Eigenschappen)
  2. Schakel Assignment required? in op Yes
  3. Klik op Save (Opslaan)

Effect: - Alleen toegewezen gebruikers/groepen kunnen inloggen op C5P - Niet-toegewezen gebruikers krijgen een toegangsweigering

Als niet ingeschakeld: - Alle gebruikers in je Entra tenant kunnen inloggen op C5P

4.2 Combinatie met App Roles

Je kunt beide opties combineren:

  1. Toegangsbeperking: Schakel "User assignment required" in
  2. Roltoewijzing: Wijs gebruikers/groepen toe aan app roles
  3. Resultaat: Alleen toegewezen gebruikers kunnen inloggen, met automatische roltoewijzing

Configuratie Scenario's

Scenario A: Minimale Configuratie (SSO Alleen)

Doel: Gebruikers kunnen inloggen met SSO, rollen worden handmatig beheerd in C5P.

Stappen: 1. Voeg C5P toe als enterprise applicatie 2. Configureer SSO (OpenID Connect) 3. Laat "User assignment required" uitgeschakeld 4. Wijs geen app roles toe

Resultaat: - Alle gebruikers kunnen inloggen met SSO - Gebruikers krijgen standaard USER rol - C5P beheerders kunnen handmatig gebruikers promoveren naar MANAGER

Scenario B: Rolgebaseerd Toegangsbeheer

Doel: Automatische roltoewijzing via Entra app roles.

Stappen: 1. Voeg C5P toe als enterprise applicatie 2. Configureer SSO 3. Wijs gebruikers/groepen toe aan c5p.user of c5p.manager app roles 4. Laat "User assignment required" uitgeschakeld (of ingeschakeld voor extra controle)

Resultaat: - Gebruikers krijgen automatisch de juiste rol bij inloggen - Entra beheerders kunnen rollen centraal beheren - Handmatige promoties in de C5P applicatie blijven behouden (Entra kan alleen promoveren)


Testen van de Configuratie

Test Stap 1: Test Login

  1. Log uit van C5P (als je ingelogd bent)
  2. Ga naar de C5P login pagina
  3. Klik op "Inloggen met Microsoft"
  4. Je wordt doorverwezen naar Microsoft Entra
  5. Log in met een testaccount
  6. Controleer of je succesvol inlogt op C5P

Test Stap 2: Rol Verificatie

  1. Log in met een account dat de c5p.user rol heeft
  2. Controleer in C5P of de gebruiker de USER rol heeft

Test Stap 3: Toegangsbeperking (indien geconfigureerd)

  1. Probeer in te loggen met een account dat niet is toegewezen
  2. Controleer of toegang wordt geweigerd
  3. Wijs het account toe aan een geconfigureerde groep en probeer opnieuw

Troubleshooting

Probleem: Gebruikers kunnen niet inloggen

Mogelijke Oorzaken:

  1. SSO niet correct geconfigureerd
  2. Controleer of SSO is ingeschakeld in Entra
  3. Controleer of de redirect URI overeenkomt met de geconfigureerde Redirect URIs
  4. Verifieer de Application (Client) ID uit de configuratietabel

  5. "User assignment required" is ingeschakeld, maar gebruiker niet toegewezen

  6. Wijs de gebruiker toe in "Users and groups"
  7. Of schakel "User assignment required" uit

  8. Verkeerde redirect URI

  9. Controleer of de redirect URI exact overeenkomt met een van de URIs in de Redirect URIs tabel
  10. De redirect URI is case-sensitive en moet exact overeenkomen
  11. Update de redirect URI in Entra configuratie indien nodig

Oplossing: - Controleer de Entra audit logs voor foutmeldingen - Verifieer alle configuratiegegevens tegen de configuratietabel - Neem contact op met C5P support als het probleem aanhoudt

Probleem: Rollen worden niet correct toegewezen

Mogelijke Oorzaken:

  1. App role niet toegewezen aan gebruiker
  2. Controleer in "Users and groups" of de gebruiker de juiste app role heeft
  3. Verifieer dat de app role waarde exact overeenkomt met de App Roles tabel (c5p.user, c5p.manager of c5p.tenant_owner)
  4. Wijs de app role opnieuw toe

  5. Gebruiker heeft handmatige rol in C5P

  6. Entra kan alleen promoveren, niet degraderen
  7. Als een gebruiker handmatig MANAGER is geworden, blijft deze rol behouden
  8. Verwijder de handmatige rol in C5P om Entra rollen te laten werken

  9. Verkeerde app role waarde

  10. Controleer dat de app role exact overeenkomt: c5p.user, c5p.manager of c5p.tenant_owner (zie App Roles tabel)
  11. De waarde is case-sensitive

Oplossing: - Controleer de app role toewijzingen in Entra tegen de App Roles tabel - Controleer de gebruiker rol in C5P - Verifieer de app role waarden zijn correct gespeld - Wacht een paar minuten na rolwijziging (synchronisatie kan tijd kosten)

Probleem: "Access Denied" foutmelding

Mogelijke Oorzaken:

  1. Gebruiker niet toegewezen aan applicatie
  2. "User assignment required" is ingeschakeld
  3. Gebruiker is niet toegewezen

  4. Applicatie niet geactiveerd voor gebruiker

  5. Controleer in "Properties" of de applicatie is ingeschakeld

Oplossing: - Wijs de gebruiker toe in "Users and groups" - Controleer de applicatie properties

Probleem: Rollen werken niet zoals verwacht

Belangrijk om te weten:


Best Practices

1. Gebruik Groepen voor Rolbeheer

In plaats van individuele gebruikers, wijs groepen toe aan app roles: - Eenvoudiger beheer - Automatische toewijzing voor nieuwe groepsleden - Minder onderhoud

Voorbeeld: - Maak groep "C5P Managers" → Wijs toe aan c5p.manager (zie App Roles tabel) - Maak groep "C5P Users" → Wijs toe aan c5p.user (zie App Roles tabel)

2. Test Eerst met Kleine Groep

Voordat je SSO voor de hele organisatie activeert: - Test met een kleine groep gebruikers - Verifieer dat rollen correct worden toegewezen - Controleer toegangsbeperkingen

3. Wijs slechts een enkeling aan als eigenaar van de organisatie

Let op dat er bij voorkeur een enkel persoon de eigenaar is van de organisatie. Deze krijgt ook informatie over de licentie en facturen per email.

4. Documenteer je Configuratie

Houd bij: - Welke groepen zijn toegewezen aan welke rollen - Of "User assignment required" is ingeschakeld - Welke gebruikers handmatig zijn gepromoveerd in C5P

5. Regelmatige Controle

Controleer periodiek: - Wie heeft toegang tot C5P - Of rollen nog correct zijn toegewezen - Of er gebruikers zijn die niet meer toegang zouden moeten hebben


Veelgestelde Vragen

V: Moet ik app roles configureren?

A: Nee, app roles zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol. C5P beheerders kunnen dan handmatig gebruikers promoveren tot Manager of MANAGER.

V: Kan ik gebruikers degraderen via Entra?

A: Nee, Entra kan alleen promoveren naar hogere rollen. Als een gebruiker handmatig MANAGER is geworden in C5P, blijft deze rol behouden, zelfs als de Entra rol wordt verwijderd.

V: Wat gebeurt er als ik "User assignment required" inschakel?

A: Alleen gebruikers/groepen die je expliciet toewijst kunnen inloggen op C5P. Andere gebruikers krijgen een toegangsweigering.

V: Hoe vaak worden rollen gesynchroniseerd?

A: Rollen worden gecontroleerd en bijgewerkt bij elke SSO login. Als je een rol wijzigt in Entra, wordt deze toegepast bij de volgende login van de gebruiker.

V: Kan ik zowel individuele gebruikers als groepen toewijzen?

A: Ja, je kunt zowel individuele gebruikers als groepen toewijzen aan app roles. Groepen zijn echter aanbevolen voor eenvoudiger beheer.

V: Wat als een gebruiker meerdere app roles heeft?

A: C5P gebruikt altijd de hoogste rol. Als een gebruiker zowel c5p.user als c5p.manager heeft (zie App Roles tabel), krijgt deze de MANAGER rol.

V: Moet ik iets configureren in C5P zelf?

A: Nee, alle configuratie gebeurt in Microsoft Entra. C5P leest automatisch de rollen uit de SSO token.


Begrippenlijst / Technische Achtergrond

Voor admins die willen begrijpen waarom iets zo geconfigureerd is.

Wat is het verschil tussen een Web Application en een SPA? Een **Web Application** draait op een server. De gebruiker ziet alleen de browser-kant; de gevoelige logica (zoals het inwisselen van tokens) vindt server-side plaats. C5P is een Web Application. Een **SPA (Single Page Application)** draait volledig in de browser (bijv. React of Vue zonder backend). Hier zijn andere beveiligingsregels voor, zoals verplichte PKCE. **Waarom relevant:** Kies altijd `Web Application` als platform type voor C5P. Als je per ongeluk `SPA` kiest, werkt de login niet correct.
Wat is het verschil tussen Access Tokens en ID Tokens? - **ID Token:** Beantwoordt de vraag *"Wie is deze gebruiker?"* — bevat naam, e-mailadres, Entra object ID en (optioneel) app roles. C5P gebruikt dit token om de gebruiker in te loggen. - **Access Token:** Geeft toegang tot een externe API (bijv. Microsoft Graph). C5P vraagt toegang tot Microsoft Graph *via een server-to-server call*, niet via een token in de browser. **Voor het formulier:** Zet Access Tokens op FALSE (impliciete flow is onveilig en overbodig), ID Tokens op TRUE.
Wat is Authorization Code Flow? Dit is de aanbevolen OAuth 2.0 inlogflow voor web-applicaties, in drie stappen: 1. **Redirect:** De gebruiker wordt doorgestuurd naar Microsoft om in te loggen. 2. **Code:** Microsoft stuurt een tijdelijke, eenmalige "authorization code" terug naar C5P. 3. **Token exchange:** De C5P-server wisselt deze code (samen met het client secret) in voor een ID Token. Dit happens server-to-server — de browser ziet nooit een token. Dit is veel veiliger dan de *implicit flow*, waarbij tokens direct in de browser URL terechtkomen.
Wat is PKCE? PKCE (*Proof Key for Code Exchange*, uitgesproken als "pixy") is een beveiligingsextensie voor OAuth. Het voorkomt dat een kwaadaardige app de authorization code onderschept en inwisselt voor een token. Voor publieke clients (mobiele apps, desktop apps) is PKCE **verplicht**, omdat die geen veilige plek hebben om een client secret op te slaan. Voor web-applicaties zoals C5P — die wél een client secret hebben — is PKCE **optioneel**. Het toevoegen ervan kan geen kwaad.
Wat is een Client Secret en waarom is het nodig? Een client secret is een wachtwoord dat de C5P-applicatieserver gebruikt om zichzelf te authenticeren bij Microsoft. Alleen C5P's servers kennen dit secret. Doordat er een secret is, kan Microsoft zeker weten dat het de echte C5P-server is die tokens aanvraagt — en niet een andere partij die de authorization code heeft onderschept. **Beheer:** Het client secret wordt beheerd door KE-works (de C5P publisher). Als Entra-admin hoef je hier niets aan te doen, tenzij je gevraagd wordt een nieuw secret te genereren.
Wat is de Front-channel Logout URL? Als een gebruiker uitlogt bij Microsoft (via bijv. portal.azure.com, Outlook of een ander M365-product), stuurt Microsoft een signaal naar alle gekoppelde applicaties: "deze gebruiker logt uit." C5P ontvangt dit signaal op de front-channel logout URL en sluit de C5P-sessie. Zonder deze URL zou de gebruiker uitgelogd zijn bij Microsoft, maar nog steeds een actieve C5P-sessie hebben — een beveiligingsrisico.

Gerelateerde Onderwerpen


Ondersteuning

Als je hulp nodig hebt bij het configureren van SSO:

  1. C5P Support: Neem contact op via de support kanalen in C5P
  2. Microsoft Entra Documentatie: Raadpleeg de Microsoft Entra documentatie

Metadata