Door middel van Single Sign-On is het voor eindgebruikers eenvoudiger om in te loggen. Met één bekende combinatie van gebruikersnaam en wachtwoord kunnen gebruikers bij meerdere programma’s inloggen. RegiCare ondersteunt het gebruik van twee Microsoft-oplossingen, in dit document is de configuratie van RegiCare in combinatie met Azure AD opgenomen.

open hier de informatie omtrent de configuratie van RegiCare en ADFS

open hier de informatie omtrent de configuratie van RegiCare en 2FA

INHOUDSOPGAVE

• 1. Configureren
  • 1.1 App registration
  • 1.2 Certificates & secrets
  • 1.3 API permissions
• 2. Testen
• 3. Gebruiken
• 4. FAQ

1. Configureren

Om Azure AD te koppelen met RegiCare moet er binnen de Azure AD omgeving (portal.azure.com) een App-registratie (App registration) toegevoegd worden. In de onderstaande afbeeldingen is te zien vanuit welk menu de Nieuwe registratie kan worden toegevoegd.

Er is in deze handleiding gebruik gemaakt van Azure i.c.m. de Engelse taal).

1.1 App registration

Gebruik hierbij als Weergave naam (name) RegiCare en vul direct de Redirect URI (optional) in op basis van de RegiWeb URL van de betreffende klant. 

N.B.:  In bovenstaande afbeelding hebben we de URL van RegiWeb genomen van de fictieve organisatie Welzijn Waard.

Vervang welzijnwaard.regicare.nl met de URL van de RegiWeb-installatie, gevolgd door /inloggen/sso.

Noteer de application (client) ID die na het toevoegen (register) zichtbaar wordt, deze is nodig om de configuratie binnen RegiCare te voltooien. Let goed op dat het applicationID wordt doorgegeven en niet het geheimID.

Een geheimID hebben wij NIET nodig in de configuratie.

1.2 Certificates & secrets

Open na het toevoegen van de nieuwe App-registratie het onderdeel Certificaten en geheimen (Certificates & secrets). 

Maak een nieuw clientgeheim (New client secret) met de Beschrijving RegiCare aan. Zet de Verloopt op instelling hierbij op 24 maanden (LET OP: maak een interne notitie over het verlopen van deze registratie!). Na het toevoegen van het Clientgeheim wordt onderin de pagina de Waarde zichtbaar, geef deze direct door aan de technisch consultant! 

Wanneer er tussentijds een aanpassing gedaan wordt in Azure, zal de Waarde niet meer zichtbaar zijn. Het clientgeheim moet dan verwijderd worden en opnieuw worden aangemaakt.

1.3 API permissions

Ga nu naar het onderdeel API permissions (API machtigingen)

Er is hier eerder automatisch voor de Microsoft Graph API een nieuwe machtiging (User.Read) toegevoegd. 

Het is belangrijk dat de optie Beheerderstoestemming verlenen (Admin consent required for) voor XXX wordt aangeklikt.

 Nadat deze laatste aanpassingen zijn doorgevoerd is de configuratie binnen Azure AD gereed!

2. Testen

Voordat de test kan beginnen moeten er binnen de RegiCare omgeving van de organisatie verschillende configuratie-opties aangepast worden, deze moeten door de (externe) systeembeheerder doorgegeven worden aan het projectbureau van AdSysCo (projecten@adsysco.nl). De verschillende configuratie opties zijn hieronder opgenomen.

Let op: Wanneer RegiCare al in gebruik is moet het test moment in overleg bepaald worden.

configuration.ssoAzureAD = true

Door deze optie op false te zetten worden onderstaande configuratie instellingen genegeerd.

configuration.ssoAzureADClientID = "xxxx-xxxx-xxxx-xxx-xxxxxxx"

De clientID is na de configuratie van de Azure AD koppeling in het scherm “App-registraties" te vinden.

configuration.ssoAzureADClientSecret = "xxxxx"

De ADClientSecret was alleen tijdens de configuratie zichtbaar, is deze niet tijdig opgeslagen dan moet deze opnieuw worden aangemaakt.

configuration.ssoRedirectIP = "*"

Hier kunnen IP-adressen van het interne netwerk (komma gescheiden) opgegeven worden, dit zodat gebruikers die RegiCare vanaf het eigen netwerk bezoeken automatisch worden ingelogd. Ook is er een optie om alle bezoekers te redirecten, dit is in te schakelen door een * tussen de quotes op te nemen. 

3. Gebruiken

Voordat de nieuwe configuratie gebruikt kan gaan worden is het belangrijk om te controleren of alle gebruikersnamen in RegiCare wel overeenstemmen met de SAM-account namen die opgenomen zijn in de Azure AD.

Wanneer hier duidelijkheid over is moet er een datum vastgesteld worden waarop de eventuele omzetting van gebruikersnamen en de activatie van de configuratie in RegiCare gedaan kan worden. 

Laat voor deze datum de projectmedewerker een laatste definitieve test doen!

4. FAQ

Vraag: Na het volgen van de configuratie werkt single sign-on niet, na authenticatie van het AAD account wordt er een AADSTS50011 errorcode getoond.

Antwoord: Door een fout in de baseURL (in de legacy config in RegiCare) wordt er een verkeerde URL meegegeven als parameter richting Azure. Dit is te verhelpen door de config file in RegiCare van de goede URL (let op httpS) te voorzien.

Vraag: Na het volgen van de configuratie werkt single sign-on niet, na authenticatie van het AAD account vindt er een redirect plaats naar het login scherm van RegiWeb.

Antwoord 1: Dit vindt in veel gevallen plaats, onder andere door een verkeerde configuratie in de .ini ( /legacy ) doe een extra check op de juistheid van de clientsecret en de client-ID.

Antwoord 2: We zien dit ook gebeuren wanneer we in RegiCare een onverwachte boodschap vanuit de MS Authenticatie proces terugkrijgen, bijvoorbeeld bij een onvolledige configuratie van conditional acces (2FA):

interaction_required
AADSTS50076: Due to a configuration change made by your administrator,
or because you moved to a new location, you must use multi-factor
authentication to access '00000002-0000-0000-c000-000000000000'.