Eenmalige aanmelding (SSO) configureren

SSO is een authenticatieproces waarmee gebruikers toegang krijgen tot meerdere toepassingen nadat ze zich slechts één keer hebben aangemeld. Diligent One ondersteunt SSO-integratie voor alle identiteitsproviders die zich houden aan het OASIS SAML 2.0-protocol.

U kunt meer dan één SSO-provider voor een organisatie instellen.

Over Single Sign-On

  • Multi SSO-configuratieKlanten kunnen nu meer dan één Single Sign-On-provider binnen één organisatie configureren.

  • Schakelen tussen SSO- en niet-SSO-organisatiesAls u schakelt tussen een organisatie met SSO en een organisatie zonder SSO, wordt u gevraagd uw Diligent One-inloggegevens in te voeren. Als u deze inloggegevens niet hebt, moet u een wachtwoord instellen door op de koppeling Wachtwoord vergeten? te klikken. Als u voor al uw organisaties SSO-verificatie wilt gebruiken, moet u uw systeembeheerders laten weten dat ze SSO moeten configureren voor de organisaties die geen SSO gebruiken. Voor meer informatie, raadpleegt u Eenmalige aanmelding (SSO) configureren.

  • De aanmeldingservaring van de systeembeheerder voor SSO-organisatiesSysteembeheerders kunnen zich nu aanmelden bij SSO-organisaties met hun e-mailadres en wachtwoord voor Diligent One-platform. Hiermee kunnen onze klanten hun SSO-configuraties opnieuw configureren via hun systeembeheerders in het geval dat gebruikers zich niet kunnen verifiëren bij hun organisatie. De systeembeheerder kan ook bepaalde gebruikers binnen de organisatie selecteren waarvoor SSO niet geldt.

  • Diligent One-platform ondersteunt JIT-provisioning (just-in-time) nietOm te voldoen aan de beste beveiligingsstandaarden, ondersteunen we just-in-time provisioning niet. Overleg met uw systeembeheerder om externe gebruikersprovisionering (bijvoorbeeld SCIM) in te schakelen als u het gebruikersprovisioneringproces van uw organisatie wilt automatiseren.

  • Openbare certificaten gebruiken in plaats van een beveiligingsvingerafdrukWanneer u een nieuwe SSO-provider configureert of een bestaande provider bijwerkt, moet u het openbare certificaat invoeren in plaats van de beveiligingsvingerafdruk.

    Wanneer u SSO configureert of bijwerkt, voert u het openbare certificaat in (inclusief de regels BEGIN CERTIFICATE en END CERTIFICATE), dat de volgende indeling heeft:

    -----BEGIN CERTIFICATE-----
    <certificaatinhoud hier>
    -----END CERTIFICATE-----

Machtigingen

Alleen systeembeheerders kunnen SSO-instellingen configureren voor hun bedrijf.

Voorwaarden

  • Uw identiteitsprovider moet zich houden aan het OASIS SAML 2.0-protocol.
  • Alle gebruiker van een Diligent One-exemplaar met SSO moeten zich authenticeren via een identiteitsprovider.

Als uw gebruikers toegang hebben tot meerdere organisaties

Gebruikers die zich authenticeren via een identiteitsprovider kunnen dat voor meerdere Diligent One-organisaties doen als al deze organisaties bij hetzelfde bedrijf horen.

Bekijk de 'Klantnaam' in de organisatie-instellingen voor elk exemplaar om dit te controleren. Deze moet hetzelfde zijn in alle organisaties waartoe SSO-gebruikers toegang nodig hebben. Voor meer informatie raadpleegt u Organisatie-instellingen bijwerken. U kunt ook de exemplaarwisselaar gebruiken om te verifiëren of de betreffende organisaties inspringen onder dezelfde bedrijfsnaam. Zie voor meer informatie Schakelen tussen Diligent One-organisaties.

Als u het bedrijf moet wijzigen waartoe uw exemplaar behoort, neemt u contact op met Support.

Authenticatie is niet regiospecifiek. Gebruikers kunnen Diligent One-exemplaren in meerdere regio's openen.

Als uw gebruikers toegang hebben tot opleidingsorganisaties

Gebruikers die zich verifiëren via een identiteitsprovider, kunnen trainingsorganisaties maken die automatisch worden gekoppeld aan hetzelfde bedrijf.

Er kunnen extra gebruikers aan deze organisaties worden toegevoegd, zolang ze nog niet tot een andere trainingsorganisatie met hetzelfde e-mailadres behoren. Deze gebruikers moeten een wachtwoord instellen om toegang te krijgen tot de Diligent One-trainingsorganisaties door op de koppeling Wachtwoord vergeten? op de aanmeldingspagina te klikken.

Als uw gebruikers werken voor meerdere bedrijven

Gebruikers die voor meerdere bedrijven werken, kunnen SSO gebruiken. Bij het aanmelden worden ze gevraagd om zich te verifiëren via de SSO die is geconfigureerd voor het specifieke bedrijf waartoe ze toegang hebben.

Als u SSO en 2FA samen wilt gebruiken

U kunt gebruikers vrijstellen van SSO-verificatie, zodat ze zich via het standaardproces met 2FA kunnen aanmelden. Zie voor meer informatie .

SSO-identiteitsproviders instellen

  1. Open de startpagina van Platform (www.diligentoneplatform.com).

  2. Selecteer Platforminstellingen in het linkernavigatievenster.
    In de linkernavigatie worden de verschillende opties voor platforminstellingen weergegeven.
  3. Selecteer onder Organisatiebeheer de optie Beveiligingsinstellingen.
  4. Selecteer op de pagina Beveiligingsinstellingen in het gedeelte Opties voor eenmalige aanmelding (SSO) de optie Provider instellen.
  5. Voer in het paneel Eenmalige aanmelding instellen de gegevens in zoals beschreven in de volgende tabel:

    VeldBeschrijving
    Aangepast domein

    De unieke naam waarmee uw exemplaar aan herkend wordt, en die gebruikers in uw bedrijf de mogelijkheid biedt om zich aan te melden bij Diligent One. Het aangepaste domein is het subdomein van uw exemplaar waaraan een regiocode is toegevoegd.

    Opmerking

    U kunt het subdomein van uw exemplaar wijzigen op de pagina Organisatie bijwerken. Voor meer informatie raadpleegt u Organisatie-instellingen bijwerken.

    NaamVoer een naam in voor de identiteitsprovider.
    Entiteits-IDDe URL die de identiteitsprovider aangeeft die een SAML-verzoek indient. Dit is een URL specifiek voor uw identiteitsprovider.
    Metadata-URLDe URL waartoe de startpagina van Platform toegang heeft om SSO-configuratiegegevens van uw identiteitsprovider te verkrijgen. Dit is een URL specifiek voor uw identiteitsprovider.
    Omleiding voor aanmeld-URLDe URL van uw identiteitsprovider voor gebruikers in het bedrijf om zich aan te melden bij Diligent One.
    Afmeld-URLDe URL waarnaar Diligent One de gebruikers in het bedrijf zal omleiden nadat ze zich hebben afgemeld bij Diligent One.
    Openbaar certificaatHet certificaat dat wordt uitgegeven om het apparaat en de gebruiker te verifiëren.

  6. Selecteer Inschakelen.

    In het gedeelte Opties voor eenmalige aanmelding (SSO) wordt de identiteitsprovider weergegeven die u hebt toegevoegd.

Gebruikers toevoegen aan de acceptatielijst om SSO te omzeilen

Wanneer u meerdere verificatieopties toevoegt, kunt u gebruikers uitsluiten van het gebruik van SSO-verificatie. Doorgaans is deze vrijstelling van toepassing op gebruikers die geen lid zijn van een identiteitsprovider. Deze vrijgestelde gebruikers kunnen zich blijven aanmelden met hun gebruikersnaam en wachtwoord.

Opmerking

  • Alle systeembeheerders krijgen automatisch rechten om SSO te omzeilen.

  • Als tweefactorauthenticatie (2FA) is ingeschakeld voor uw organisatie, geldt dit voor alle gebruikers, inclusief gebruikers die toestemming hebben om eenmalige aanmelding (SSO) te omzeilen. Daarom is het belangrijk om de toegang van gebruikers te controleren om ervoor te zorgen dat niemand onbedoeld van het platform wordt buitengesloten.

  1. Selecteer in het gedeelte Opties voor eenmalige aanmelding (SSO) van Beveiligingsinstellingen het tabblad +Gebruikers toevoegen naast het gedeelte Gebruikers met toestemming om SSO te omzeilen.
  2. Selecteer in het deelvenster Gebruikers met toestemming om SSO te omzeilen dat wordt weergegeven de gebruikers die u wilt vrijstellen van het gebruik van SSO-verificatie.

    3. U kunt het veld Zoeken gebruiken om gebruikers te vinden.

  3. Selecteer Gebruikers toevoegen.

    4. De gebruikers die aan de lijst zijn toegevoegd om SSO te omzeilen, worden weergegeven in de sectie Gebruikers met toestemming om SSO te omzeilen.

Gebruikers van de toegestane lijst verwijderen om SSO te omzeilen

Als u gebruikers wilt verwijderen die aan de toegestane lijst zijn toegevoegd en SSO willen omzeilen, selecteert u in de sectie Gebruikers met toestemming om SSO te omzeilen het verwijderpictogram dat naast de gebruiker wordt weergegeven die u wilt verwijderen.

Opmerking

Systeembeheerders kunnen niet uit de acceptatielijst worden verwijderd. Alle systeembeheerders krijgen automatisch rechten om SSO te omzeilen.

SSO-identiteitsproviders uitschakelen

  1. Selecteer op de pagina Beveiligingsinstellingen in het gedeelte Opties voor eenmalige aanmelding (SSO) de optie Details openen voor de identiteitsprovider die u wilt uitschakelen.
  2. Selecteer in het paneel Instellen van eenmalige aanmelding in het vervolgkeuzemenu van het veld Status de optie Uitgeschakeld.
  3. Selecteer Wijzigingen opslaan.
  4. Selecteer Bevestigen in het dialoogvenster Uitschakelen van SSO-provider bevestigen dat wordt weergegeven.

    De SSO-identiteitsprovider is gemarkeerd als Uitgeschakeld in het gedeelte Opties voor eenmalige aanmelding (SSO).

    5. Opmerking

    Nadat u een SSO-provider hebt uitgeschakeld, kunnen gebruikers in uw organisatie zich niet meer aanmelden bij de provider. De gegevens van de provider worden niet verwijderd.

Een uitgeschakelde SSO-identiteitsprovider inschakelen

  1. Selecteer op de pagina Beveiligingsinstellingen in het gedeelte Opties voor eenmalige aanmelding (SSO) de optie Details openen voor de identiteitsprovider die u wilt inschakelen.
  2. Selecteer in het paneel Instellen van eenmalige aanmelding in het vervolgkeuzemenu van het veld Status de optie Ingeschakeld.
  3. Selecteer Wijzigingen opslaan.

    4. De SSO-identiteitsprovider is gemarkeerd als Ingeschakeld in het gedeelte Opties voor eenmalige aanmelding (SSO).

SSO-identiteitsproviders verwijderen

  1. Selecteer op de pagina Beveiligingsinstellingen in het gedeelte Opties voor eenmalige aanmelding (SSO) de optie Details openen voor de identiteitsprovider die u wilt uitschakelen.
  2. Selecteer Verwijderen in het deelvenster Instellen van eenmalige aanmelding.
  3. Selecteer Bevestigen in het dialoogvenster Verwijderen van SSO-provider bevestigen dat wordt weergegeven.
    4. Opmerking

    Nadat u een SSO-provider hebt verwijderd, kunnen gebruikers in uw organisatie zich niet meer aanmelden bij deze SSO-provider. Ook de gegevens van de provider worden verwijderd.

URL's van serviceproviders van het Diligent One-platform

Bij het configureren van uw SSO-identiteitsprovider hebt u de volgende serviceprovider-URL's voor het Diligent One-platform nodig:

  • Een van de entiteits-ID’s van de serviceprovider
    • https://accounts.diligentoneplatform.com/saml/metadata/your_custom_domain
    • https://accounts.highbond.com/saml/metadata/your_custom_domain

    Tip

    De URL van de entiteits-ID dient ook als metagegevenseindpunt voor het Diligent One-platform.

  • Een van de consumenten-URL’s voor assertie van de serviceprovider
    • https://accounts.diligentoneplatform.com/saml/sso/consume/your_custom_domain
    • https://accounts.highbond.com/saml/sso/consume/your_custom_domain

Opmerking

Ondersteuning voor www.highbond.com eindigt op 31 juli 2026.

Het metagegevensbestand van de serviceprovider gebruiken

Nadat SSO voor uw organisatie is ingeschakeld, hebt u toegang tot het metagegevensbestand van de serviceprovider dat kan worden geüpload naar uw identiteitsprovider.

  1. Kopieer een van de URL's van de entiteits-ID’s van de serviceprovider:

    • https://accounts.diligentoneplatform.com/saml/metadata/ your_custom_domain
    • https://accounts.highbond.com/saml/metadata/ your_custom_domain

  2. Plak de URL in een webbrowser.

    Het XML-bestand met metagegevens wordt naar uw systeem gedownload.

  3. Upload het naar uw identiteitsprovider.

Inloggen als SSO is ingeschakeld

Gebruikers kunnen op twee manieren inloggen wanneer SSO is ingeschakeld.

Wat gebeurt er wanneer SSO is ingeschakeld?

Wanneer SSO is ingeschakeld, kunt u zich aanmelden door naar www.diligentoneplatform.com te gaan, op Doorgaan met SSO te klikken en uw aangepaste domein op te geven.

U kunt Diligent One ook openen via de Diligent One-appkoppeling van de landingspagina van uw identiteitsprovider. 

U wordt omgeleid naar Diligent One via uw identiteitsprovider wanneer u toegang hebt tot Diligent One-apps (inclusief klikken op een koppeling in een e-mail verzonden via Diligent One).

Opmerking

  • Wanneer SSO is ingeschakeld, kunt u zich niet aanmelden met uw e-mailadres en wachtwoord en kunt u niet uw wachtwoord wijzigen. Bent u echter een systeembeheerder of een gebruiker die geregistreerd staat als iemand die SSO kan omzeilen, dan kunt u zich aanmelden met uw e-mailadres en wachtwoord.

  • U kunt e-mailadressen niet wijzigen als SSO is ingeschakeld in uw organisatie. Als uw organisatie echter zowel SSO als SCIM heeft ingeschakeld, kunnen e-mailadressen worden gewijzigd.

  • Voor een organisatie waar alleen SSO is ingeschakeld, worden bijgewerkte e-mailadressen behandeld als nieuwe accounts. Hierdoor hebben gebruikers geen toegang meer tot informatie die is gekoppeld aan hun vorige inloggegevens. Als bij dergelijke organisaties e-mailadressen moeten worden gewijzigd, moet de systeembeheerder eerst SSO in Diligent One uitschakelen, de e-mailadressen bijwerken en vervolgens SSO opnieuw inschakelen.

  • Voor een organisatie waar SCIM is ingeschakeld, worden e-mailadreswijzigingen van uw identiteitsprovider automatisch doorgevoerd in het Diligent One-platform.

Moet ik elke keer bij het aanmelden mijn aangepaste domein invoeren?

  • Als u zich aanmeldt via uw identiteitsprovider, hoeft u niet elke keer een aangepast domein op te geven.
  • Als u zich aanmeldt via Diligent One, hebt u toegang tot een van de volgende URL's om te voorkomen dat u telkens een aangepast domein invoert:
    • https://accounts.diligentoneplatform.com/saml/sso?custom_domain=your-custom-domain
    • https://accounts.highbond.com/saml/sso?custom_domain=your-custom-domain

    Opmerking

    Ondersteuning voor www.highbond.com eindigt op 31 juli 2026.

Aanmelden bij meerdere organisaties van Diligent One

Als u toegang hebt tot meerdere organisaties van Diligent One, wordt u naar de organisatie gebracht die u het laatst hebt gebruikt. Als u tot zowel organisaties met als zonder SSO behoort, moet u een wachtwoord instellen om in te loggen bij de organisatie zonder SSO. Hiervoor klikt u op de koppeling Wachtwoord vergeten?.

Als u toegang hebt tot meerdere organisaties van Diligent One, kunt u eenvoudig tussen deze organisaties schakelen. Zie Schakelen tussen Diligent One-organisaties voor meer informatie.

Wanneer u tussen organisaties schakelt, wordt u gevraagd de verificatiegegevens van de organisatie waarnaar u schakelt in te voeren, als u zich nog niet bij die organisatie hebt geverifieerd.

Uitloggen als SSO is ingeschakeld

Diligent One ondersteunt SLO (Eenmalig afmelden) met behulp van de door de identiteitsprovider gestarte workflow.

Gebruik een van de volgende SLO-URL's:

  • https://accounts.diligentoneplatform.com/saml/slo/your-custom-domain

  • https://accounts.highbond.com/saml/slo/uw aangepaste domein

    Opmerking

    Ondersteuning voor www.highbond.com eindigt op 31 juli 2026.

Hoe het verlopen van sessies werkt

Wanneer een Diligent One-sessie verloopt, of wanneer u probeert zich af te melden bij Diligent One, moet u eerst uitloggen bij uw identiteitsprovider. Anders wordt u automatisch weer aangemeld bij Diligent One.

Als de vervaltijd van sessie van uw organisatie bijvoorbeeld drie uur is en de vervaltijd van de sessie van uw identiteitsprovider drie dagen is, wordt u gedurende drie dagen automatisch aangemeld bij Diligent One.

Voor beveiligingsredenen moet uw bedrijf ervoor zorgen dat de vervaltijd van uw identiteitsprovider korter is dan de sessievervaltijd van uw exemplaar.

Opmerking

U kunt de vervaltijd van sessies van uw organisatie wijzigen op de pagina Organisatie bijwerken. Voor meer informatie raadpleegt u Organisatie-instellingen bijwerken.

Gebruikers toevoegen aan een Diligent One-organisatie met SSO

Diligent One ondersteunt Externe SCIM-provisionering. Als uw identiteitsprovider SCIM als optie aanbiedt, kunt u gebruikers automatisch op het platform provisioneren. Als uw identiteitsprovider echter geen SCIM heeft, moet u uw SSO-gebruikers handmatig toevoegen aan de Diligent One-organisatie, zodat ze toegang krijgen tot het platform.

Abonnementen en toegang tot Diligent One-apps

Er zijn geen abonnementen toegewezen aan de gebruiker, en ook geen toegang tot Diligent One-apps. Systeembeheerders moeten op de startpagina van Platform een rol en abonnement aan gebruikers toewijzen om ervoor te zorgen dat gebruikers de juiste toegang hebben in het exemplaar.

SSO uitschakelen

Als uw bedrijf SSO inschakelt en later beslist deze functie uit te schakelen:

  • Gebruikers die geen wachtwoord hebben ingesteld voordat SSO werd ingeschakeld, moeten Wachtwoord resetten selecteren op de aanmeldingspagina om een wachtwoord te verkrijgen. 
  • Gebruikers die een wachtwoord hebben ingesteld voordat SSO werd ingeschakeld, kunnen zich aanmelden met hun gebruikersnaam en wachtwoord.

SSO en SAML

Diligent One ondersteunt SSO-integratie voor alle identiteitsproviders die zich houden aan het OASIS Security Assertion Markup Language 2.0 (SAML 2.0) protocol. OASIS SAML 2.0 is een indeling voor het communiceren en verifiëren van identiteiten tussen twee webtoepassingen.

OASIS SAML 2.0 omvat:

  • Een gebruikersaanvraagservice.
  • Een serviceprovider of service die toepassingen biedt (Diligent One).
  • Een identiteitsprovider of opslagplaats die gebruikersinformatie beheert.

Voor exemplaren waarbij SSO is ingeschakeld, worden gebruikers geauthenticeerd wanneer ze zich aanmelden bij Diligent One met behulp van een ondersteunde SAML-identiteitsprovider. Als de gebruiker niet is ingeschakeld in de SAML-identiteitsprovider van zijn of haar bedrijf, wordt toegang voor de gebruiker geweigerd. 

Ondersteunde workflows

Nadat de SSO-instellingen zijn geconfigureerd, worden de volgende workflows ondersteund: 

  • Gestart door identiteitsprovider - toegang tot Diligent One via de landingspagina van de identiteitsprovider.
  • Gestart door serviceprovider - toegang tot Diligent One via de Diligent One-startpagina.

SAML 2.0-integratie configureren met Okta voor Diligent One-platform

Het configureren van SAML 2.0 met Okta omvat stappen in Diligent One-platform en Okta.

Stappen die moeten worden uitgevoerd in Diligent One-platform

  1. Ga naar accounts.diligentoneplatform.com.

  2. Selecteer Platforminstellingen in het linkernavigatievenster.
    In de linkernavigatie worden de verschillende opties voor platforminstellingen weergegeven.
  3. Selecteer onder Organisatiebeheer de optie Beveiligingsinstellingen.
  4. Selecteer op de pagina Beveiligingsinstellingen in het gedeelte Opties voor eenmalige aanmelding (SSO) de optie Provider instellen.
  5. Kopieer en plak de bijbehorende waarden op het tabblad Aanmelden van Okta Administration in het deelvenster Instellingen voor eenmalige aanmelding. De velden worden beschreven in de volgende tabel:

    VeldOkta Administration SAML 2.0-waarde
    Aangepast domein

    Niet van toepassing in Okta.

    Dit veld is voor de unieke naam waarmee uw exemplaar aan herkend wordt, en die gebruikers in uw bedrijf de mogelijkheid biedt om zich aan te melden bij Diligent One. Het aangepaste domein is het subdomein van uw exemplaar waaraan een regiocode is toegevoegd.

    Opmerking

    U kunt het subdomein van uw exemplaar wijzigen op de pagina Organisatie bijwerken. Voor meer informatie raadpleegt u Organisatie-instellingen bijwerken.

    Naam

    Niet van toepassing in Okta.

    Voer een naam in voor de identiteitsprovider.

    Entiteits-ID

    Uitgever

    Metadata-URL

    Metadata-URL

    De URL waartoe het Diligent One-platform toegang heeft om SSO-configuratiegegevens van uw identiteitsprovider te verkrijgen. Dit is een URL specifiek voor uw identiteitsprovider.

    Omleiding voor aanmeld-URL

    URL voor aanmelden

    Afmeld-URL

    URL voor afmelden

    Openbaar certificaat

    1. Selecteer Downloaden naast Certificaat ondertekenen.

    2. Open het certificaat in een teksteditor.

    3. Kopieer en plak alle waarden in het veld Openbaar certificaat van Diligent One-platform.

  6. Selecteer Inschakelen.

Stappen die moeten worden uitgevoerd in Okta

  1. Navigeer naar Toepassingen > Toepassingen > Door app-catalogus bladeren en zoek naar Diligent One.

  2. Selecteer het tabblad Algemeen voor de Diligent One SAML-app en selecteer Bewerken.

  3. Voer in het veld Aangepast domein de waarde in die u hebt in de Diligent One SSO-instelling.

  4. Selecteer Opslaan.

    U kunt nu authenticeren via de Diligent One-tegel in uw Okta-dashboard.

Ga als volgt te werk om u aan te melden via de SSO die door SP is geïnitieerd (door serviceprovider geïnitieerd):

  1. Ga naar accounts.diligentoneplatform.com.

  2. Selecteer Doorgaan met SSO.

  3. Voer op de pagina Aanmelden uw aangepaste domein in en selecteer Doorgaan.

    Als u nog niet bent aangemeld, wordt u gevraagd u aan te melden via Okta.

Door identiteitsprovider gestart authenticatieproces

Door serviceprovider gestart authenticatieproces

Vertrekkende gebruikers offboarden

Wanneer gebruikers uw bedrijf verlaten, worden ze via uw offboardingproces uit uw identiteitsprovider verwijderd. De impact op gebruikers varieert afhankelijk van de organisaties waarmee ze zijn verbonden en de specifieke configuraties van die organisaties.

  • Als gebruikers alleen deel uitmaakten van uw SSO-ingeschakelde organisaties, hebben ze geen toegang meer tot die organisaties in Diligent One.
  • Als gebruikers zowel tot uw SSO-organisaties als tot andere niet-SSO-organisaties behoorden:
    • Als u de gebruiker uit uw identiteitsprovider verwijdert, moet u ervoor zorgen dat de gebruikers ook uit de Diligent One-organisatie worden verwijderd. De systeembeheerder moet de gebruikers van andere niet-SSO-organisaties verwijderen.
    • Als u gebruikers handmatig verwijdert uit organisaties waarvoor SSO is ingeschakeld, hebben ze nog steeds toegang tot instanties zonder SSO nadat ze hun wachtwoord opnieuw hebben ingesteld.