Onderwerpen binnen :

Met Single Sign-On (SSO) loggen gebruikers in op de Vabi-producten met hun bestaande zakelijke account. Geen apart Vabi-wachtwoord meer, en toegang regel je centraal via je eigen identity provider. Het Vabi Platform werkt met het OpenID Connect (OIDC)-protocol. De meeste organisaties koppelen met Microsoft Entra ID (voorheen Azure AD); andere OIDC-providers zoals Okta, Auth0, Google Workspace of Keycloak werken ook.

Op deze pagina vind je:

  • Microsoft Entra ID instellen: volledige stap-voor-stap-handleiding, inclusief veelvoorkomende problemen.
  • Instellingen koppeling wijzigen: rollen en deelvoorraden toewijzen, claim wijzigen, e-maildomeinen beheren en de koppeling verwijderen.
  • Andere koppeling instellen: generieke handleiding voor andere OIDC-providers.

ℹ️ Je hebt beheerdersrechten in het Vabi Platform én bij je identity provider nodig om een koppeling in te stellen.

Microsoft Entra ID instellen

Met deze handleiding koppel je het Vabi Platform aan Microsoft Entra ID (voorheen Azure AD), zodat gebruikers met jullie organisatie-e-mailadres kunnen inloggen via hun Microsoft-account.

Voordat je begint

Zorg dat je beschikt over:

  • Beheerdersrechten in het Vabi Platform.
  • Beheerdersrechten in Microsoft Entra ID.
    Minimaal de rol Application Administrator of Cloud Application Administrator. Voor het verlenen van tenant-brede toestemming (stap 28) heb je de rol Privileged Role Administrator of Global Administrator nodig.
  • Een tweede browsertab of -venster
    Zodat je makkelijk kunt wisselen tussen het Vabi Platform en de Azure Portal. Tijdens de setup moet je een paar keer gegevens tussen beide overzetten.

💡 Tip: houd Kladblok of een notitie-app open. Je hebt drie waarden nodig die je tussentijds moet opslaan: Tenant-ID, Client-ID en Client-Secret. Sla deze gegevens daarna NIET op.

Stap 1. Wizard starten in het Vabi Platform

  1. Open het organisatieprofiel door boven het overzicht op [Organisatie en licenties beheren] te klikken.
  2. Navigeer naar het tabblad ‘Single Sign-On’ en klik op [SSO-koppeling instellen] om de wizard te starten.
  3. Laat dit venster open staan en open een nieuwe browsertab voor de volgende stappen.

 

Stap 2. App-registratie aanmaken in Microsoft Entra ID

  1. Navigeer naar portal.azure.com en log in met je Microsoft-beheerdersaccount. Controleer rechtsboven dat je in de juiste tenant zit (de tenant van jouw organisatie).
  2. Klik op de startpagina op Microsoft Entra ID. Staat de tegel er niet? Zoek dan bovenin de zoekbalk op “Microsoft Entra ID”.
  3. Klik in de linkerzijbalk op ‘Beheren’ zodat het menu uitklapt.
  4. Kies ‘App-registraties’ en klik op het tabblad ‘Alle toepassingen’.
  5. Klik linksboven op [+ Nieuwe registratie].
  6. Vul de gegevens in:
    • Naam: geef een herkenbare naam, bijv. Vabi Platform.
    • Ondersteunde accounttypen: Kies de optie ‘Alleen één tenent – Standaardmap’ )
    • Omleidings-URI: laat dit veld voor nu leeg. Je vult deze later in, nadat het Vabi Platform de URI heeft gegenereerd.
    • Klik onderaan op [Registreren].

 

Stap 3. Tenant-ID en Client-ID noteren

  1. Na het registreren kom je in het overzicht van de nieuwe app-registratie. Noteer de volgende waarden (kopieer ze naar je notitie-app):
      • Map-ID (tenant-ID)
      • Toepassings-ID (client-ID)

 

 

Stap 4. Client-Secret aanmaken

  1. Ga in het linkermenu naar Beheren > Certificaten en geheimen.
  2. Klik op het tabblad ‘Clientgeheimen’ en daarna op [+ Nieuw clientgeheim].
  3. Vul in:
    • Beschrijving: bijv. Vabi Platform secret.
    • Vervaldatum: kies een passende termijn (maximaal 24 maanden). Noteer deze datum. Je moet vóór de vervaldatum een nieuw geheim aanmaken, anders breekt de SSO-koppeling.
  4. Klik op [Toevoegen].
  5. Kopieer direct de waarde uit de kolom ‘Waarde’ en sla deze tijdelijk op in je notitie-app.

    ⚠️ Let op: de volledige waarde is alleen op dit moment zichtbaar. Zodra je de pagina verlaat of ververst, zie je alleen nog een afgekorte versie. Ben je de secret kwijt? Dan moet je een nieuw clientgeheim aanmaken.

    Verwar de kolom ‘Waarde’ niet met ‘Geheim-ID’. Je hebt de Waarde nodig, niet de ID.

 

Stap 5. Gegevens invullen in het Vabi Platform

  1. Ga terug naar de tab met het Vabi Platform.
  2. In stap 1 van de wizard: vink de checkbox aan dat je Tenant-ID, Client-ID en Client-Secret hebt gevonden, zodat je naar stap 2 kunt.
  3. In stap 2 van de wizard: vul de drie waarden in en klik op [Verbinding controleren].
  4. Bij een geslaagde verbinding verschijnt een groene melding met de Omleidings-URI. Kopieer deze URI.

 

Stap 6. Omleidings-URI toevoegen in Azure

  1. Ga terug naar de Azure Portal, naar de app-registratie van het Vabi Platform.
  2. Ga in het menu van de app-registratie naar ‘Authentication’ onder het kopje Beheren en klik op [+ Omleidings-URI toevoegen].
  3. Kies ‘Web’ of ’toepassing met één pagina’ en plak de gekopieerde Omleidings-URI in het veld.
  4. Klik op [Opslaan] .

 

Stap 7. API-machtigingen controleren

  1. Ga in het linkermenu naar Beheren > API-machtigingen.
  2. Controleer of de machtiging Microsoft Graph > User.Read (gedelegeerd) aanwezig is. Deze wordt standaard toegevoegd bij een nieuwe registratie.
  3. Als de kolom ‘Status’ nog leeg is of “Niet verleend” toont, klik dan op [Beheerderstoestemming verlenen voor <organisatienaam>] en bevestig. De status verandert daarna naar een groen vinkje.

ℹ️ Zonder beheerderstoestemming krijgen je gebruikers bij de eerste login een toestemmingsscherm te zien. Het werkt dan ook, maar centraal goedkeuren is netter.

 

Stap 8. Koppeling bevestigen en afronden in het Vabi Platform

  1. Ga terug naar het Vabi Platform. Vink onderaan stap 2 het checkbox aan dat je de Omleidings-URI hebt ingevuld, zodat je naar stap 3 kunt.
  2. In stap 3 word je gevraagd om in te loggen met het beheerdersaccount waarmee je de Azure-setup hebt uitgevoerd. Klik op de knop om door te gaan; je wordt doorverwezen naar de inlogpagina van Microsoft.
  3. Vul je inloggegevens in en accepteer de gevraagde machtigingen. Je wordt automatisch teruggestuurd naar het Vabi Platform.
  4. In het Vabi Platform zie je een bevestiging dat je succesvol bent ingelogd. Klik op [Volgende] om door te gaan naar stap 4.
  5. In stap 4 stel je eventueel aanvullende e-maildomeinen in.
    • Standaard moeten alle gebruikers met het primaire e-maildomein van de organisatie inloggen via Microsoft.
    • Heb je meer domeinen die ook via SSO moeten inloggen (bijv. een dochteronderneming)? Vul deze hier in.
    • Aanvullende domeinen worden eerst gecontroleerd en goedgekeurd door onze Service & Support-afdeling.
    • Je kunt deze lijst later altijd aanpassen.
  6. Rond de koppeling af. Gebruikers met het ingestelde e-maildomein loggen vanaf nu in via Microsoft bij alle Vabi-producten.

Veelvoorkomende problemen

Bij het instellen van SSO komen een aantal foutmeldingen regelmatig terug. De oorzaak ligt bijna altijd in een kleine afwijking tussen de configuratie in Azure en die in het Vabi Platform: een verkeerd gekopieerde waarde, een ontbrekende machtiging, of een Omleidings-URI die net niet exact overeenkomt. Hieronder staan de meest voorkomende situaties en hoe je ze oplost. Loop je tegen een probleem aan dat hier niet tussen staat? Neem dan contact op met onze Service & Support-afdeling.

Gebruikers krijgen bij inloggen de melding 'Beheerderstoestemming vereist'

Gebruikers krijgen bij inloggen de melding “Beheerderstoestemming vereist” (“Need admin approval” / AADSTS65001)

Een gedelegeerde machtiging vereist beheerderstoestemming die nog niet is verleend. In de praktijk komt dit meestal door GroupMember.Read.All. Deze machtiging heeft het Vabi Platform nodig om de Entra ID-groepen van een ingelogde gebruiker uit te lezen, zodat je per groep een rol en deelvoorraden kunt toewijzen.

Voeg de machtiging als volgt toe:

  1. Ga in de Azure Portal naar de app-registratie van het Vabi Platform.
  2. Klik in het linkermenu op Beheren > API-machtigingen.
  3. Klik op [+ Een machtiging toevoegen].
  4. Kies Microsoft Graph > Gedelegeerde machtigingen.
  5. Zoek op GroupMember.Read.All, vink deze aan en klik op [Machtigingen toevoegen].
  6. Klik op [Beheerderstoestemming verlenen voor <organisatienaam>]

'Reply URL mismatch' bij het inloggen

“AADSTS50011: Reply URL mismatch” bij het inloggen

De Omleidings-URI die in Azure is ingesteld komt niet exact overeen met de URI die het Vabi Platform verwacht. Controleer of je de URI uit de groene melding 1 op 1 hebt overgenomen, inclusief https:// en eventuele trailing slash. Eén afwijkend teken is al genoeg om deze fout te veroorzaken.

'Invalid client secret' bij Verbinding controleren

“Invalid client secret” bij Verbinding controleren

Waarschijnlijk is de verkeerde waarde gekopieerd uit Azure. Bij het aanmaken van een clientgeheim worden twee waarden getoond: de kolom ‘Waarde’ en de kolom ‘Geheim-ID’. Je hebt de Waarde nodig, niet de ID. Is de waarde inmiddels niet meer volledig zichtbaar? Maak dan een nieuw clientgeheim aan en kopieer de Waarde direct na het aanmaken.

Verbinding controleren faalt zonder duidelijke melding

Verbinding controleren faalt zonder duidelijke melding

Vaak zijn Tenant-ID en Client-ID per ongeluk verwisseld, of is er een spatie meegekopieerd. Open de app-registratie in Azure en kopieer beide waarden opnieuw vanuit het Overzicht.

Geen groepen zichtbaar in 'Toegang Vabi Assets Energie'

Geen groepen zichtbaar in ‘Toegang Vabi Assets Energie’

Dit kan twee oorzaken hebben:

  • De machtiging GroupMember.Read.All is nog niet verleend. Zie Optioneel: groepen uitlezen voor rollen en deelvoorraden.
  • Jullie organisatie werkt met app-roles in plaats van groepen. Wijzig in dat geval de claim via het tandwiel-icoon in het overzicht ‘Toegang Vabi Assets Energie’.

Houd er ook rekening mee dat het Vabi Platform een groep pas toont nadat minimaal één gebruiker uit die groep is ingelogd.

Gebruiker kan inloggen, maar krijgt geen rol of deelvoorraad-toegang

Gebruiker kan inloggen, maar krijgt geen rol of deelvoorraad-toegang

De groep (of app-role) van de gebruiker is nog niet gekoppeld aan een rol en deelvoorraden in het Vabi Platform. Ga naar ‘Toegang Vabi Assets Energie’ en wijs de juiste rol en deelvoorraden toe aan de groep waar de gebruiker lid van is.

 

Instellingen koppeling wijzigen

Standaard haalt het Vabi Platform de gegevens op uit de claim groups. Als die claim in jullie Entra ID-configuratie niet wordt meegestuurd (of als jullie met app-roles werken), verschijnt er een gele melding in het overzicht ‘Toegang Vabi Assets Energie’. Vanuit die melding kun je direct doorklikken om de claim te wijzigen. Zie de uitleg onder Claim wijzigen hieronder.

Rollen en deelvoorraad wijzigen

Rollen en deelvoorraad wijzigen

In het overzicht onder ‘Toegang Vabi Assets Energie’ verschijnen alle groepen (of app-roles) van gebruikers die inmiddels met hun Microsoft-account hebben ingelogd. Per regel stel je in:

  • Welke rol de gebruikers in deze groep krijgen binnen Vabi Assets Energie.
  • Tot welke deelvoorraden de gebruikers in deze groep toegang hebben.

Wijzigingen zijn direct actief.

Claim wijzigen

Claim wijzigen

Standaard staat de claim ingesteld op groups. Wil je overschakelen naar app-roles (of een andere custom claim)? Volg dan deze stappen:

  1. Ga naar het organisatieprofiel en navigeer naar het tabblad ‘Single Sign-On (SSO)’.
  2. Klik in het overzicht ‘Toegang Vabi Assets Energie’ rechtsonder op het tandwiel-icoon.
  3. Kies ‘Claim wijzigen’.
  4. Vul in het venster de naam van de claim in. Bij gebruik van Microsoft Entra ID kies je doorgaans uit:
    • groups voor beveiligingsgroepen.
    • roles voor app-roles.

    Je kunt ook handmatig een andere claimnaam invullen als jullie een custom claim mapping gebruiken.

  5. Klik op [Opslaan]. Het Vabi Platform haalt direct de bekende groepen of rollen op die bij deze claim horen.*

* Het Vabi Platform heeft alleen toegang tot claims waar een eerder ingelogde gebruiker toegang tot heeft.

Extra e-maildomein instellen

Extra e-maildomein instellen 

Bij het aanmaken van de SSO-koppeling wordt het e-maildomein van de ingelogde beheerder automatisch geverifieerd. Alle gebruikers met dit domein moeten vanaf dat moment inloggen via hun Microsoft-account.

Heeft jullie organisatie meerdere e-maildomeinen (bijvoorbeeld een hoofddomein en een dochterdomein)? Dan kun je die extra domeinen hier toevoegen.

⚠️ Een nieuw e-maildomein moet eerst worden geverifieerd door onze Service & Support-afdeling voordat gebruikers met dat domein via SSO kunnen inloggen. Dit duurt doorgaans 1 tot 2 werkdagen.

Koppeling verwijderen

Koppeling verwijderen

Bovenin de pagina is het mogelijk om de koppeling te verwijderen. Gebruikers die voorheen moesten inloggen met hun microsoft e-mailadres ontvangen een e-mail om een wachtwoord aan te maken. Hiermee werkt SSO niet meer, maar gebruikers kunnen daardoor met hetzelfde e-mailadres weer inloggen. Gegevens blijven bewaard bij het account.

 

Andere OIDC-provider instellen

Naast Microsoft Entra ID ondersteunt het Vabi Platform koppelingen met andere identity providers via het OpenID Connect (OIDC)-protocol. Denk aan providers zoals Okta, Auth0, Google Workspace, Keycloak of een eigen OIDC-server.

Deze handleiding beschrijft de stappen aan de kant van het Vabi Platform. De exacte schermen en termen aan de kant van jouw identity provider verschillen per leverancier; raadpleeg daarvoor de documentatie van je provider.

Voordat je begint

Zorg dat je beschikt over:

  • Beheerdersrechten in het Vabi Platform (organisatiebeheerder).
  • Beheerdersrechten bij je identity provider, voldoende om een nieuwe OIDC-client (app/integratie) aan te maken en toestemming te verlenen.
  • Een tweede browsertab of -venster, zodat je makkelijk kunt wisselen tussen het Vabi Platform en het beheerportaal van je identity provider.

Tijdens de setup heb je drie waarden nodig die je vanuit je identity provider in het Vabi Platform invult:

  • Tenant-ID (of een vergelijkbare identificatie van jouw omgeving bij de provider).
  • Client-ID van de OIDC-client die je aanmaakt.
  • Client-Secret van diezelfde OIDC-client.

💡 Tip: houd Kladblok of een notitie-app open om deze waarden tijdelijk in op te slaan.

Stap 1. Wizard starten in het Vabi Platform

  1. Open het organisatieprofiel door boven het overzicht op [Organisatie en licenties beheren] te klikken.
  2. Navigeer naar het tabblad ‘Single Sign-On’ en klik op [SSO toevoegen] om de wizard te starten.
  3. Laat dit venster open staan en open een nieuwe browsertab voor het beheerportaal van je identity provider.

Stap 2. OIDC-client aanmaken bij je identity provider

Maak in het beheerportaal van je identity provider een nieuwe OIDC-client (ook wel application, integration of client genoemd). Houd hierbij rekening met het volgende:

  • Kies waar mogelijk voor een server-side / web application flow (Authorization Code Flow). Het Vabi Platform werkt niet met een Single-Page Application (SPA) flow.
  • Omleidings-URI (Redirect URI): laat dit voorlopig leeg of vul een placeholder in. De definitieve URI krijg je in stap 4 van het Vabi Platform.
  • Genereer een Client-Secret en sla deze direct op. Bij veel providers is de waarde alleen op het moment van aanmaken zichtbaar.
  • Noteer ook de Client-ID en de identificatie van je tenant/omgeving.

Raadpleeg de documentatie van je identity provider voor de exacte stappen.

Stap 3. Gegevens invullen in het Vabi Platform

  1. Ga terug naar de tab met het Vabi Platform.
  2. In stap 1 van de wizard: vink de checkbox aan dat je Tenant-ID, Client-ID en Client-Secret hebt verzameld, zodat je naar stap 2 kunt.
  3. In stap 2 van de wizard: vul de drie waarden in en klik op [Verbinding controleren].
  4. Bij een geslaagde verbinding verschijnt een groene melding met de Omleidings-URI. Kopieer deze URI.

Stap 4. Omleidings-URI toevoegen bij je identity provider

  1. Ga terug naar de OIDC-client in het beheerportaal van je identity provider.
  2. Voeg de gekopieerde Omleidings-URI toe aan de lijst met toegestane redirect URIs.
  3. Sla de wijziging op.

💡 De URI moet exact overeenkomen, inclusief https:// en eventuele trailing slash. Een afwijking van één teken zorgt voor een loginfout.

Stap 5. Koppeling bevestigen in het Vabi Platform

  1. Ga terug naar het Vabi Platform. Vink onderaan stap 2 de checkbox aan dat je de Omleidings-URI hebt ingevuld, zodat je naar stap 3 kunt.
  2. In stap 3 word je gevraagd om in te loggen met het beheerdersaccount waarmee je de OIDC-setup hebt uitgevoerd. Klik op de knop om door te gaan; je wordt doorverwezen naar de inlogpagina van je identity provider.
  3. Vul je inloggegevens in en accepteer de gevraagde machtigingen. Je wordt automatisch teruggestuurd naar het Vabi Platform.
  4. In het Vabi Platform zie je een bevestiging dat je succesvol bent ingelogd. Klik op [Volgende] om door te gaan naar stap 4.

Stap 6. E-maildomeinen instellen

  1. In stap 4 stel je eventueel aanvullende e-maildomeinen in.
    • Standaard moeten alle gebruikers met het primaire e-maildomein van de organisatie inloggen via de identity provider.
    • Heb je meer domeinen die ook via SSO moeten inloggen? Vul deze hier in.
    • Aanvullende domeinen worden eerst gecontroleerd en goedgekeurd door onze Service & Support-afdeling.
    • Je kunt deze lijst later altijd aanpassen.
  2. Rond de koppeling af. Gebruikers met het ingestelde e-maildomein loggen vanaf nu in via jouw OIDC-provider bij alle Vabi-producten.
Terug naar Algemeen