Introductie
In dit artikel leggen we uit hoe je SSO handmatig kunt instellen voor je Workspace-omgeving. We raden echter aan om de automatische setup voor SSO te gebruiken.
Stap 1. Maak een App-registratie in Microsoft Entra ID
Als er al een App-registratie voor je Workspace-omgeving aanwezig is in Microsoft Entra ID (voorheen Azure AD), kun je deze stap overslaan en verder gaan met stap 2 "Maak een nieuwe Client Secret".
Als er geen App-registratie aanwezig is in Microsoft Entra ID, moet je eerst een nieuwe maken:
Ga naar Azure.
Log in met het Global Administrator-account.
Zoek naar en selecteer Microsoft Entra ID.
Selecteer App-registraties.
Klik op Nieuwe registratie.
Kies een naam (bijv. "Workspace 365 SSO").
Kies voor ondersteunde accounttypen: "Accounts in deze organisatorische directory alleen (workspace365inc only - Single tenant)".
Onder Redirect URI, kies Web.
De URL moet het volgende formaat hebben: "https://instance.workspace365.net/environment/OAuth2/HandleAuthorityResponse".
Klik op Registreren.
Vanaf het overzichtsscherm van deze App-registratie, noteer het Client ID. Je hebt deze waarde later nodig.
Ga terug naar het overzichtsscherm van Microsoft Entra ID. Onder 'Basisinformatie' noteer je het Primaire domein. Je hebt deze waarde later nodig.
Stap 2. Maak een nieuwe Client Secret aan
Wanneer de App-registratie voor je Workspace-omgeving is aangemaakt, moeten we een nieuwe Client Secret maken.
Ga in Azure naar App-registraties.
Selecteer de Workspace-applicatie uit de lijst.
Selecteer Certificaten & geheimen.
Klik op Nieuw client secret.
Vul een Beschrijving in.
Stel de vervaldatum in.
Je kunt niet meer inloggen op Workspace als het client secret verloopt. Je kunt echter PowerShell gebruiken om een app-geheim aan te maken dat 99 jaar geldig is. Kopieer het onderstaande script naar PowerShell ISE en verander de volgende waarden:
Let op: elk client secret-wachtwoord dat wordt aangemaakt, eindigt met '='. Vergeet niet dit te kopiëren.
$APPObjectID: voer hier het Object ID van de SSO-app-registratie in
$AppSecret: voer hier een naam in voor de geheime sleutel. Dit wordt weergegeven als de beschrijving van het client secret in Azure
#Parameters
$APPObjectID = "xxxxxxxx"
$AppSecret ="Client Secret for Workspace"
#Connect to Microsoft Entra ID (Azure AD)
Connect-AzureAD
#Add App Secret - Valid for 99 Years
$StartDate = Get-Date
$EndDate = $StartDate.AddYears(99)
$AAdAppsecret = New-AzureADApplicationPasswordCredential -ObjectId $APPObjectID -StartDate $StartDate -EndDate $EndDate -CustomKeyIdentifier $AppSecret
#Get the Secret Set
Write-host $AAdAppsecret.Value
#See the Secret set
Read-Host $AAdAppsecret.Value
7. Klik op Toevoegen.
8. Kopieer de waarde. Je hebt deze later nodig.
Note: This value will be hidden once you leave this page.
Stap 3. Controleer API-machtigingen
Om applicaties in Workspace 365 zoals Exchange, SharePoint (Microsoft Graph) en Power BI (Power BI Service) te gebruiken, moeten de juiste API-machtigingen worden toegewezen aan de Workspace SSO App-registratie.
Voor meer informatie, bezoek onze FAQ: Hoe maakt Workspace 365 verbinding met Azure?
Ga in Azure naar App-registraties.
Selecteer de Workspace-applicatie uit de lijst.
Ga naar API-machtigingen.
Klik op Een machtiging toevoegen en voeg de benodigde Microsoft Graph (SharePoint en Exchange) en Power BI Service (Power BI) API-machtigingen toe volgens de onderstaande afbeelding.
Belangrijk: zorg ervoor dat je het machtigingstype "Delegated" selecteert, anders kan Workspace ze niet gebruiken.
Je kunt andere API-machtigingen uit je Workspace App-registratie verwijderen die niet in de onderstaande afbeelding worden weergegeven.
Vergeet niet om beheerdersgoedkeuring te verlenen zodra je klaar bent.
Opmerking: Een groen vinkje geeft aan dat beheerdersgoedkeuring is verleend. Dit is erg belangrijk. Zonder beheerdersgoedkeuring heeft Workspace geen toestemming om de gegevens van Azure op te halen.
Stap 4. Schakel SSO handmatig in Workspace in
Om SSO handmatig in te stellen voor je Workspace-omgeving, ga je naar:
Workspace-beheerinstellingen. Zorg ervoor dat je het Primary Administrator-account gebruikt voor de SSO-setup.
Selecteer Single sign-on.
Stel het type Single sign-on in op OAuth2.
Kies Handmatige setup.
Vul de benodigde informatie in:
The Authority bestaat uit "https://login.windows.net/" aangevuld met het primaire domein van je tenant (bijv. "workspace365.onmicrosoft.com"). Dit is de waarde die je hebt gekopieerd in stap 1.12. Bijvoorbeeld: "https://login.windows.net/workspace365.onmicrosoft.com".
The Client ID kan worden opgehaald uit de SSO-appregistratie (overzichtspaneel) in Microsoft Entra ID. Dit is de waarde die je hebt gekopieerd in stap 1.11.
The Key kan worden opgehaald onder Client secrets. Plak de waarde die je hebt gekopieerd in stap 2.10.
Klik op Verifiëren.
Je zou een groen scherm moeten zien met de melding "verificatie geslaagd". Als dit het geval is, vink je het selectievakje aan "Ik heb het GROENE scherm gezien dat de verificatie succesvol was".
Klik op Gereed.
"Failed to retrieve the OAuth2 authorize endpoint"
Bij het handmatig instellen van SSO in de workspace kun je de volgende foutmelding krijgen:
"Failed to retrieve the OAuth2 authorize endpoint. Please double check the entered information."
Dit kan worden veroorzaakt door een van de volgende redenen:
De URL die je hebt ingevoerd in het Authority-veld eindigt met een "/", verwijder deze en probeer het opnieuw.
Er is een spatie opgenomen in de client secret-waarde die je hebt ingevoerd in het Key-veld.
Onjuiste informatie is ingevoerd in een of meer velden, controleer of je de juiste informatie in elk veld hebt ingevoerd.
Als je elk van de bovenstaande punten hebt gecontroleerd, maar je krijgt deze fout nog steeds na meerdere pogingen, kun je het volgende proberen:
Sluit en heropen de SSO-configuratiepagina en probeer het opnieuw.
Maak een nieuwe SSO-appregistratie in Azure en probeer het opnieuw met die registratie.