09. SSO Configuratie Gids voor Entra Admins

Copy Markdown link View as Markdown Open in Mistral Le Chat Open in ChatGPT Open in Claude

Laatst bijgewerkt: 13 november 2025

Overzicht

Deze gids helpt Microsoft Entra (voorheen Azure AD) beheerders bij het configureren van Single Sign-On (SSO) voor de CROW500Proof applicatie. Je leert hoe je SSO instelt, gebruikersrollen toewijst, en toegangsbeheer configureert voor je organisatie.

đŸŽ¯ Doelgroep: Deze gids is bedoeld voor Microsoft Entra beheerders die SSO willen configureren voor hun organisatie.

Korte Uitleg met Gegevens

Deze sectie bevat alle technische configuratiegegevens van de C5P applicatie in Microsoft Entra. Gebruik deze gegevens bij het configureren van SSO voor je organisatie. Uitgebreide uitleg over de configuratie is te vinden in de volgende secties.

C5P Applicatie Configuratiegegevens

Configuratie Item Waarde Opmerkingen
Applicatie Naam CROW500Proof (C5P) De naam van de Entra Applicatie
Application (Client) ID d8f117dc-57c9-4ec4-95d4-ee4fb0179382 Unieke identifier voor de applicatie
Object ID 4a2672f1-8a3c-40ef-89d7-412ded30fe2f Unieke identifier voor het object in Entra
Directory (Tenant) ID af088447-f40c-4c35-ad17-3ca85bd7cadc Tenant ID van onze organisatie (publisher - niet te verwarren met jouw tenant ID)
Publisher Domain crow500proof.nl Geverifieerd publisher domain
Publisher KE-works B.V. Geverifieerde publisher
MPN ID 7030016 Microsoft Partner Network ID
Supported Account Types Alle Microsoft account gebruikers Multitenant + persoonlijke Microsoft accounts
SSO Protocol OpenID Connect (OIDC) Gebruikt OAuth 2.0 authorization code flow
Redirect URIs Zie tabel hieronder

Redirect URIs

Omgeving Redirect URI
Alle Omgevingen https://cp5.app/api/accounts/microsoft/login/callback/
Enterprise Omgeving https://<domeinnaam>.c5p.app/api/accounts/microsoft/login/callback/

⚠ī¸ Belangrijk: De redirect URIs zijn al geconfigureerd door C5P. Je dient deze niet aan te passen. Controleer alleen of de juiste redirect URI wordt gebruikt voor jouw omgeving.

App Roles in Entra ID

App Role Waarde Beschrijving C5P Interne Rol
C5P User C5P.User Standaard gebruiker met basisrechten USER
C5P Administrator C5P.Admin Beheerder met volledige organisatierechten ADMIN

ℹī¸ Info: Het configureren van rollen in Entra ID zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol in C5P.

Waar Vind Je Deze Gegevens?

Als je de applicatie hebt toegevoegd aan je Entra tenant, kun je deze gegevens vinden:

  1. Application (Client) ID: Ga naar de applicatie → Overview → Kopieer de Application (client) ID
  2. Object ID: Ga naar de applicatie → Overview → Kopieer de Object ID
  3. Redirect URIs: Ga naar de applicatie → Authentication → Bekijk de Redirect URIs
  4. App Roles: Ga naar de applicatie → App roles → Bekijk de beschikbare rollen

💡 Tip: Bewaar deze configuratiegegevens voor toekomstige referentie. Je hebt ze nodig bij troubleshooting of bij het configureren van aanvullende instellingen.

Wat is SSO?

Single Sign-On (SSO) stelt gebruikers in staat om in te loggen op C5P met hun Microsoft Entra account, zonder een apart wachtwoord te hoeven onthouden. Dit verhoogt de beveiliging en gebruikerservaring.

Voordelen van SSO

Stap 1: C5P Toevoegen als Enterprise Applicatie

1.1 Toegang tot Microsoft Entra Admin Center

  1. Log in op het Microsoft Entra Admin Center
  2. Navigeer naar Enterprise applications (Bedrijfstoepassingen)
  3. Klik op + New application (+ Nieuwe toepassing)

1.2 C5P Zoeken en Toevoegen

Via Microsoft Entra Application Gallery

  1. Klik op Browse Azure AD Gallery (Bladeren in Azure AD-galerie)
  2. Zoek naar "CROW500Proof" of gebruik de Application (Client) ID uit de configuratietabel: d8f117dc-57c9-4ec4-95d4-ee4fb0179382
  3. Selecteer CROW500Proof (C5P) uit de resultaten
  4. Klik op Create (Maken)

1.3 Basisconfiguratie

Na het toevoegen van de applicatie:

  1. Open de Properties (Eigenschappen) pagina
  2. Controleer dat Enabled for users to sign-in is ingeschakeld
  3. Klik op Save (Opslaan)

Stap 2: SSO Configureren

2.1 Naar SSO Configuratie

  1. In de C5P applicatie, klik op Single sign-on (Eenmalige aanmelding) in het linkermenu
  2. Selecteer OpenID Connect als de SSO-methode

2.2 Basis SSO Instellingen

  1. Redirect URI: De redirect URIs zijn al geconfigureerd door C5P
  2. Controleer dat de juiste redirect URI aanwezig is voor jouw omgeving (zie Redirect URIs tabel)
  3. De redirect URI moet exact overeenkomen met een van de geconfigureerde URIs
  4. Reply URL: Dit wordt automatisch ingesteld
  5. Supported Account Types: Controleer dat dit is ingesteld op "All Microsoft account users" (zie configuratietabel)
  6. Klik op Save (Opslaan)

💡 Tip: Als je de applicatie via de gallery hebt toegevoegd, zijn de redirect URIs automatisch geconfigureerd. Controleer alleen of ze correct zijn.

2.3 Gebruikers Toewijzen (Optioneel)

Als je alleen specifieke gebruikers toegang wilt geven:

  1. Ga naar Users and groups (Gebruikers en groepen)
  2. Klik op + Add user/group (+ Gebruiker/groep toevoegen)
  3. Selecteer de gebruikers of groepen die toegang moeten hebben
  4. Klik op Assign (Toewijzen)

💡 Tip: Als je geen gebruikers toewijst, kunnen alle gebruikers in je Entra tenant inloggen op C5P.

Stap 3: App Roles Configureren (Optioneel maar Aanbevolen)

App roles stellen je in staat om automatisch gebruikersrollen toe te wijzen wanneer gebruikers inloggen via SSO.

3.1 Beschikbare App Roles

C5P biedt de volgende app roles (zie App Roles tabel voor volledige details):

ℹī¸ Info: App roles zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol in C5P.

3.2 Gebruikers/Groepen Toewijzen aan App Roles

C5P.User Rol Toewijzen

  1. Ga naar Users and groups (Gebruikers en groepen)
  2. Klik op + Add user/group (+ Gebruiker/groep toevoegen)
  3. Selecteer de gebruikers of groepen die de C5P.User rol moeten krijgen
  4. Klik op Select a role (Selecteer een rol)
  5. Kies C5P User
  6. Klik op Assign (Toewijzen)

C5P.Admin Rol Toewijzen

  1. Herhaal de stappen hierboven
  2. Selecteer C5P Administrator als rol
  3. Klik op Assign (Toewijzen)

💡 Tip: Je kunt hele groepen toewijzen aan app roles, wat het beheer vereenvoudigt.

3.3 Rol Mapping

Wanneer gebruikers inloggen via SSO (zie App Roles tabel voor de exacte mapping):

⚠ī¸ Belangrijk: Entra kan gebruikers alleen promoveren naar hogere rollen, niet degraderen. Als een gebruiker handmatig is gepromoveerd naar ADMIN in C5P, blijft deze rol behouden, zelfs als de Entra rol wordt verwijderd.

Stap 4: Toegangsbeheer Configureren

4.1 "User Assignment Required" Inschakelen

Als je alleen specifieke gebruikers toegang wilt geven:

  1. Ga naar Properties (Eigenschappen)
  2. Schakel Assignment required? in op Yes
  3. Klik op Save (Opslaan)

Effect: - Alleen toegewezen gebruikers/groepen kunnen inloggen op C5P - Niet-toegewezen gebruikers krijgen een toegangsweigering

Als niet ingeschakeld: - Alle gebruikers in je Entra tenant kunnen inloggen op C5P

4.2 Combinatie met App Roles

Je kunt beide opties combineren:

  1. Toegangsbeperking: Schakel "User assignment required" in
  2. Roltoewijzing: Wijs gebruikers/groepen toe aan app roles
  3. Resultaat: Alleen toegewezen gebruikers kunnen inloggen, met automatische roltoewijzing

Configuratie Scenario's

Scenario A: Minimale Configuratie (SSO Alleen)

Doel: Gebruikers kunnen inloggen met SSO, rollen worden handmatig beheerd in C5P.

Stappen: 1. Voeg C5P toe als enterprise applicatie 2. Configureer SSO (OpenID Connect) 3. Laat "User assignment required" uitgeschakeld 4. Wijs geen app roles toe

Resultaat: - Alle gebruikers kunnen inloggen met SSO - Gebruikers krijgen standaard USER rol - C5P beheerders kunnen handmatig gebruikers promoveren naar ADMIN

Scenario B: Rolgebaseerd Toegangsbeheer

Doel: Automatische roltoewijzing via Entra app roles.

Stappen: 1. Voeg C5P toe als enterprise applicatie 2. Configureer SSO 3. Wijs gebruikers/groepen toe aan C5P.User of C5P.Admin app roles 4. Laat "User assignment required" uitgeschakeld (of ingeschakeld voor extra controle)

Resultaat: - Gebruikers krijgen automatisch de juiste rol bij inloggen - Entra beheerders kunnen rollen centraal beheren - Handmatige promoties in de C5P applicatie blijven behouden (Entra kan alleen promoveren)

Testen van de Configuratie

Test Stap 1: Test Login

  1. Log uit van C5P (als je ingelogd bent)
  2. Ga naar de C5P login pagina
  3. Klik op "Inloggen met Microsoft"
  4. Je wordt doorverwezen naar Microsoft Entra
  5. Log in met een testaccount
  6. Controleer of je succesvol inlogt op C5P

Test Stap 2: Rol Verificatie

  1. Log in met een account dat de C5P.Admin rol heeft
  2. Controleer in C5P of de gebruiker de ADMIN rol heeft
  3. Log in met een account dat de C5P.User rol heeft
  4. Controleer of de gebruiker de USER rol heeft

Test Stap 3: Toegangsbeperking (indien geconfigureerd)

  1. Probeer in te loggen met een account dat niet is toegewezen
  2. Controleer of toegang wordt geweigerd
  3. Wijs het account toe en probeer opnieuw

Troubleshooting

Probleem: Gebruikers kunnen niet inloggen

Mogelijke Oorzaken:

  1. SSO niet correct geconfigureerd
  2. Controleer of SSO is ingeschakeld in Entra
  3. Controleer of de redirect URI overeenkomt met de geconfigureerde Redirect URIs

  4. Verifieer de Application (Client) ID uit de configuratietabel

  5. "User assignment required" is ingeschakeld, maar gebruiker niet toegewezen

  6. Wijs de gebruiker toe in "Users and groups"

  7. Of schakel "User assignment required" uit

  8. Verkeerde redirect URI

  9. Controleer of de redirect URI exact overeenkomt met een van de URIs in de Redirect URIs tabel
  10. De redirect URI is case-sensitive en moet exact overeenkomen
  11. Update de redirect URI in Entra configuratie indien nodig

Oplossing: - Controleer de Entra audit logs voor foutmeldingen - Verifieer alle configuratiegegevens tegen de configuratietabel - Neem contact op met C5P support als het probleem aanhoudt

Probleem: Rollen worden niet correct toegewezen

Mogelijke Oorzaken:

  1. App role niet toegewezen aan gebruiker
  2. Controleer in "Users and groups" of de gebruiker de juiste app role heeft
  3. Verifieer dat de app role naam exact overeenkomt met de App Roles tabel (C5P.User of C5P.Admin)

  4. Wijs de app role opnieuw toe

  5. Gebruiker heeft handmatige rol in C5P

  6. Entra kan alleen promoveren, niet degraderen
  7. Als een gebruiker handmatig ADMIN is geworden, blijft deze rol behouden

  8. Verwijder de handmatige rol in C5P om Entra rollen te laten werken

  9. Verkeerde app role waarde

  10. Controleer dat de app role exact overeenkomt: C5P.User of C5P.Admin (zie App Roles tabel)
  11. De waarde is case-sensitive

Oplossing: - Controleer de app role toewijzingen in Entra tegen de App Roles tabel - Controleer de gebruiker rol in C5P - Verifieer de app role waarden zijn correct gespeld - Wacht een paar minuten na rolwijziging (synchronisatie kan tijd kosten)

Probleem: "Access Denied" foutmelding

Mogelijke Oorzaken:

  1. Gebruiker niet toegewezen aan applicatie
  2. "User assignment required" is ingeschakeld

  3. Gebruiker is niet toegewezen

  4. Applicatie niet geactiveerd voor gebruiker

  5. Controleer in "Properties" of de applicatie is ingeschakeld

Oplossing: - Wijs de gebruiker toe in "Users and groups" - Controleer de applicatie properties

Probleem: Rollen werken niet zoals verwacht

Belangrijk om te weten:

Best Practices

1. Gebruik Groepen voor Rolbeheer

In plaats van individuele gebruikers, wijs groepen toe aan app roles: - Eenvoudiger beheer - Automatische toewijzing voor nieuwe groepsleden - Minder onderhoud

Voorbeeld: - Maak groep "C5P Administrators" → Wijs toe aan C5P.Admin (zie App Roles tabel) - Maak groep "C5P Users" → Wijs toe aan C5P.User (zie App Roles tabel)

2. Test Eerst met Kleine Groep

Voordat je SSO voor de hele organisatie activeert: - Test met een kleine groep gebruikers - Verifieer dat rollen correct worden toegewezen - Controleer toegangsbeperkingen

3. Documenteer je Configuratie

Houd bij: - Welke groepen zijn toegewezen aan welke rollen - Of "User assignment required" is ingeschakeld - Welke gebruikers handmatig zijn gepromoveerd in C5P

4. Regelmatige Controle

Controleer periodiek: - Wie heeft toegang tot C5P - Of rollen nog correct zijn toegewezen - Of er gebruikers zijn die niet meer toegang zouden moeten hebben

Veelgestelde Vragen

V: Moet ik app roles configureren?

A: Nee, app roles zijn optioneel. Als je geen roles configureert, krijgen gebruikers automatisch de standaard USER rol. C5P beheerders kunnen dan handmatig gebruikers promoveren tot Manager of Admin.

V: Kan ik gebruikers degraderen via Entra?

A: Nee, Entra kan alleen promoveren naar hogere rollen. Als een gebruiker handmatig ADMIN is geworden in C5P, blijft deze rol behouden, zelfs als de Entra rol wordt verwijderd.

V: Wat gebeurt er als ik "User assignment required" inschakel?

A: Alleen gebruikers/groepen die je expliciet toewijst kunnen inloggen op C5P. Andere gebruikers krijgen een toegangsweigering.

V: Hoe vaak worden rollen gesynchroniseerd?

A: Rollen worden gecontroleerd en bijgewerkt bij elke SSO login. Als je een rol wijzigt in Entra, wordt deze toegepast bij de volgende login van de gebruiker.

V: Kan ik zowel individuele gebruikers als groepen toewijzen?

A: Ja, je kunt zowel individuele gebruikers als groepen toewijzen aan app roles. Groepen zijn echter aanbevolen voor eenvoudiger beheer.

V: Wat als een gebruiker meerdere app roles heeft?

A: C5P gebruikt altijd de hoogste rol. Als een gebruiker zowel C5P.User als C5P.Admin heeft (zie App Roles tabel), krijgt deze de ADMIN rol.

V: Moet ik iets configureren in C5P zelf?

A: Nee, alle configuratie gebeurt in Microsoft Entra. C5P leest automatisch de rollen uit de SSO token.

Gerelateerde Onderwerpen

Ondersteuning

Als je hulp nodig hebt bij het configureren van SSO:

  1. C5P Support: Neem contact op via de support kanalen in C5P
  2. Microsoft Entra Documentatie: Raadpleeg de Microsoft Entra documentatie

Metadata