Toegang

ArchibotChat-toegang en SSO

Dien de gegevens van uw identiteitsprovider in bij de stap Single sign-on zodat ISM de organisatie-aanmelding kan inrichten.

KlantbeheerdersPlatformoperators

Laatst bijgewerkt 18 juni 2026

De stap Single sign-on is waar een klantbeheerder ISM de niet-geheime gegevens overhandigt die nodig zijn om uw identiteitsprovider (IdP) te verbinden met ArchibotChat en de Console. U dient metadata, claimtoewijzingen en rolgroepen in; ISM voltooit de geheimenuitwisseling via een goedgekeurd kanaal en bevestigt wanneer de aanmelding klaar is om te testen.

Deze handleiding behandelt het formulier op de route /account/sso. Het verleent of wijzigt geen individuele producttoegang. Voor hoe productpoorten en facturering bepalen wat een aangemelde gebruiker kan openen, zie ArchibotChat-instellingen en ArchibotChat-facturering en -tegoeden.

Voordat u begint

• U moet klantbeheerder zijn om de SSO-instelling in te dienen.
• Zorg dat uw IdP-beheerder beschikbaar is, of wees zelf de IdP-beheerder, zodat u de app-metadata kunt lezen.
• Weet met welke e-maildomeinen uw gebruikers zich aanmelden.
• Beslis welk protocol u gebruikt: OIDC of SAML.

Kleine teams hoeven geen SSO te gebruiken. De stap is optioneel en u kunt e-mailuitnodigingen blijven gebruiken totdat u klaar bent om een IdP te verbinden. Dien SSO-gegevens alleen in wanneer u van plan bent een provider te verbinden.

De stap Single sign-on openen

1. Open de Console en ga naar Accountinstellingen.
2. Selecteer in de navigatie van Accountinstellingen Single sign-on.
3. Lees de banner voor veilig indienen boven aan de stap. Het is een herinnering dat dit formulier alleen niet-geheime metadata aanneemt.

De koptekst van de stap toont de status (Niet gestart, Bezig, Beoordeling nodig of Gereed) en, voor selfservice-accounts, een markering Optioneel.

Uw IdP-type en aanmelddomeinen kiezen

1. Stel het IdP-type in op een van de volgende:
   • OIDC voor OpenID Connect-providers.
   • SAML voor SAML 2.0-providers.
   • Nog geen SSO (uitnodigingse-mails gebruiken) als u nog niet klaar bent om een provider te verbinden.
2. Voer bij Aanmelddomeinen een door komma’s gescheiden lijst in van de e-maildomeinen waarmee uw gebruikers zich aanmelden, bijvoorbeeld example.com, example.co. Als de Console al domeinen voor uw account kent, kunt u er een uit de zoekfunctie kiezen om toe te voegen.

Het wijzigen van het IdP-type of de domeinen wist elk eerder resultaat van de metadataverificatie, dus verifieer opnieuw nadat u ze hebt aangepast.

De Console naar de metadata van uw provider verwijzen

De rij Discovery- / metadata-URL helpt u de juiste metadata-URL te vinden en te bevestigen.

1. Kies uw provider uit de presetlijst. De presets omvatten Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin en Andere provider. Elke preset toont de hosthint die wordt verwacht, zoals een tenant-ID of company.okta.com.
2. Selecteer Provider-URL gebruiken om het metadataveld te vullen met een voorgestelde discovery-URL, opgebouwd uit uw provider en domeinen. Als de suggestie nog niet kan worden opgebouwd, vertelt de Console u wat u eerst moet invoeren (een aanmelddomein of een tenantwaarde).
3. Selecteer Providerconsole openen om de beheerconsole van de provider in een nieuw tabblad te openen.
4. Sommige presets voegen providerspecifieke knoppen voor het doorgeven van de configuratie toe (bijvoorbeeld om de app-registratie of het claimscherm te openen). Gebruik deze om rechtstreeks naar het scherm te springen waar u de IdP-applicatie maakt of inspecteert.
5. Als u al de exacte metadata-URL hebt, typ of plak die dan in plaats daarvan in het metadataveld, bijvoorbeeld https://idp.example.com/.well-known/openid-configuration.

De Console bouwt suggesties en links alleen op uit uw selecties. Het leest of bewaart geen geheimen.

De metadata verifiëren

1. Selecteer Metadata verifiëren. De Console bereikt de metadata-URL van de provider en controleert op de verwachte velden. De knop toont Verifiëren… terwijl het wordt uitgevoerd.
2. Lees het resultatenpaneel onder het veld:
   • Metadata geverifieerd betekent dat de Console de provider heeft bereikt en de verwachte velden heeft gevonden. Het toont de gedetecteerde issuer of entiteits-ID zodat u kunt bevestigen dat die overeenkomt met uw provider.
   • Metadata vereist aandacht betekent dat de Console de metadata niet kon verifiëren. Controleer de URL, het domein en het protocol opnieuw en probeer het dan nogmaals.

Verificatie is alleen-lezen. Het bevestigt dat de URL bereikbaar en correct opgebouwd is; het voltooit de verbinding niet.

Claims en rolgroepen toewijzen

ISM gebruikt deze waarden om aangemelde gebruikers aan de juiste identiteit en rollen toe te wijzen. Elk veld accepteert veelvoorkomende waarden uit een snelkeuzelijst of uw eigen invoer.

De provider-app-referentie is alleen een niet-geheime identificatie. Hiermee kan ISM de overdrachtsnotities van de Console koppelen aan de exacte IdP-applicatie. Voer hier geen clientgeheim in.

Het paneel voor SSO-gereedheid lezen

Onder de velden vat het paneel SSO-gereedheid samen hoe volledig uw indiening is, met een gereed/totaal-badge. Elke tegel wordt gereed naarmate u het bijbehorende detail invult:

• Aanmelddomeinen — ten minste één aanmelddomein is ingesteld.
• Metadataverificatie — een metadata-URL is aanwezig en geverifieerd.
• Providerapplicatie — een provider-app-referentie is opgegeven.
• Claimtoewijzing — gebruikersnaam- en e-mail-claims zijn toegewezen.
• Rolgroepen — beheerders- en ledengroepen zijn benoemd.
• Callbacks — de callback-configuratie aan de providerzijde is meegenomen.
• Testgebruikers — ten minste één testaccount is opgegeven.

U hoeft niet elk item te bereiken voordat u indient, maar een vollediger gereedheidsoverzicht stelt ISM in staat sneller af te ronden.

Uw SSO-instelling indienen

1. Als u een tijdelijke wachtwoordterugval nodig hebt voor een goedgekeurde gebruiker die de apparaat-MFA nog niet kan voltooien, stel dan de optie Wachtwoordterugval in om deze aan te vragen. Dit is alleen beschikbaar wanneer wachtwoordterugval is ingeschakeld voor uw account, en ISM moet het beleid goedkeuren en inschakelen voordat het het aanmeldgedrag wijzigt.
2. Voeg alles wat ISM moet weten toe in SSO-notities, zoals een onderhoudsvenster of een eigenaardigheid van de provider.
3. Selecteer SSO-instelling indienen.

De Console bevestigt de indiening en vertelt u dat ISM contact opneemt zodra de configuratie klaar is om te testen. ISM voltooit de verbinding en wisselt eventuele geheimen uit via een goedgekeurd kanaal, nooit via dit formulier.

Wat u niet in dit formulier moet zetten

De stap Single sign-on neemt alleen niet-geheime OIDC- of SAML-metadata aan. Plak niet:

• Clientgeheimen of ondertekeningssleutels.
• Privésleutels of certificaten die privémateriaal bevatten.
• Cookies, sessietokens of uitnodigingstokens.
• Wachtwoorden.

Als ISM een geheim nodig heeft om de verbinding te voltooien, vragen ze daarom via een goedgekeurd kanaal.

Nadat u hebt ingediend

• ISM beoordeelt uw indiening en neemt contact op om te bevestigen of vervolgvragen te stellen.
• Zodra de verbinding actief is, melden uw gebruikers zich aan via uw organisatie op de ArchibotChat-URL.
• Succesvol aanmelden is niet hetzelfde als een ingeschakeld product hebben. Productpoorten en facturering bepalen nog steeds wat elke gebruiker kan openen. Zie ArchibotChat-instellingen.

Gerelateerde handleidingen

• Instellingen klantbeheerder
• ArchibotChat-instellingen
• Aan de slag met ArchibotChat
• ArchibotChat-probleemoplossing
• Toegangsrollen