Aan de slag

Single Sign-On (SSO) configureren

title: Single Sign-On (SSO) configureren description: Centrale authenticatie via je eigen identity provider koppelen aan Tidal Control sidebar_position: 2

Single Sign-On (SSO) configureren

Waarom SSO gebruiken?

Single Sign-On biedt belangrijke voordelen voor compliance organisaties:

  • Centrale toegangscontrole - Beheer alle gebruikerstoegang vanuit één systeem
  • Automatische deactivatie - Wanneer medewerkers vertrekken, wordt toegang overal ingetrokken
  • Gebruikersgemak - Teams hoeven geen apart wachtwoord voor Tidal te onthouden
  • Security policies afdwingen - Multi-factor authenticatie (MFA) en wachtwoordbeleid via je identity provider

Ondersteunde identity providers

Tidal Control ondersteunt SSO via het OIDC (OpenID Connect) protocol met:

  • Microsoft Azure/Entra ID - Voor Microsoft 365 organisaties
  • Google Workspace - Voor Google-gebaseerde organisaties
  • Okta - Enterprise identity management platform
  • Auth0 - Flexibele authenticatie service
  • OneLogin - Cloud-based identity provider
  • Andere OIDC providers - Elk systeem dat OIDC ondersteunt

Voorbereiding

Benodigde informatie

Van Tidal Control nodig:

  • Tenant naam - Te vinden in je login URL: https://portal.tidalcontrol.com/{TENANT_NAAM}/
  • Redirect URI - Wordt automatisch: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint

Van jouw identity provider nodig (na configuratie):

  • Client ID - Unieke identifier voor de Tidal applicatie
  • Client Secret - Geheime sleutel voor authenticatie
  • Tenant/Domain ID - Jouw organisatie identifier (naam verschilt per provider)

Benodigde rechten

Je hebt beheerrechten nodig in je identity provider om:

  • Nieuwe applicatie registraties aan te maken
  • Client secrets te genereren
  • Gebruikersgroepen toe te wijzen

Microsoft Azure/Entra ID

Tenant ID vinden

Via Azure Portal:

  1. Log in op Azure Portal
  2. Navigeer naar "Microsoft Entra ID" (voorheen Azure Active Directory)
  3. Kopieer Tenant ID van de overzichtspagina

Via OpenID endpoint:

  1. Open browser naar: https://login.microsoftonline.com/{JOUW_DOMEIN}/v2.0/.well-known/openid-configuration
  2. Zoek "issuer" veld in JSON response - dit bevat je Tenant ID

App registratie aanmaken

  1. Ga naar "App registrations" in Entra ID menu

  2. Klik "New registration" bovenaan

  3. Configureer basisinformatie:

    • Name: Tidal Control - SSO
    • Supported account types: "Accounts in this organizational directory only (Single tenant)"
    • Redirect URI:
      • Platform: Web
      • URI: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint

  4. Klik "Register" om app aan te maken

Client secret genereren

  1. Open je nieuwe app registratie

  2. Kopieer deze waarden van overzichtspagina:

    • Application (client) ID
    • Directory (tenant) ID

  3. Ga naar "Certificates & secrets" in linkermenu

  4. Klik "New client secret"

  5. Configureer secret:

    • Description: Tidal Control SSO
    • Expires: Kies vervaldatum (bijvoorbeeld 24 maanden)

  6. Klik "Add"

  7. Kopieer secret value onmiddellijk (wordt maar één keer getoond!)

Warning

Belangrijk: Bewaar het client secret veilig. Je kunt deze waarde later niet meer ophalen. Moet je een nieuwe aanmaken als je hem kwijt bent.

API permissions configureren (optioneel)

Voor basis SSO zijn geen extra permissions nodig. Voor geavanceerde integratie:

  1. Ga naar "API permissions"
  2. Klik "Add a permission"
  3. Selecteer "Microsoft Graph"
  4. Kies "Delegated permissions"
  5. Selecteer minimaal:
    • openid - Voor authenticatie
    • profile - Voor gebruikersgegevens
    • email - Voor email adres

Google Workspace

OAuth 2.0 Client aanmaken

  1. Ga naar Google Cloud Console
  2. Selecteer project of maak nieuwe aan
  3. Navigeer naar "APIs & Services" → "Credentials"

OAuth consent screen configureren

  1. Klik "Configure consent screen" indien nog niet gedaan
  2. Kies "Internal" voor alleen je organisatie gebruikers
  3. Vul app informatie in:
    • App name: Tidal Control
    • User support email: Je support email
    • Authorized domains: tidalcontrol.com
  4. Voeg scopes toe:
    • openid
    • email
    • profile
  5. Save and continue

Client ID aanmaken

  1. Klik "Create credentials" → "OAuth client ID"
  2. Configureer client:
    • Application type: Web application
    • Name: Tidal Control SSO
    • Authorized redirect URIs: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint
  3. Klik "Create"
  4. Kopieer credentials:
    • Client ID
    • Client secret

Okta

Nieuwe applicatie toevoegen

  1. Log in op je Okta Admin Console
  2. Ga naar "Applications" → "Applications"
  3. Klik "Create App Integration"

OIDC configureren

  1. Selecteer integratie type:

    • Sign-in method: OIDC - OpenID Connect
    • Application type: Web Application

  2. Klik "Next"

  3. Configureer applicatie settings:

    • App name: Tidal Control
    • Sign-in redirect URIs: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint
    • Sign-out redirect URIs: https://portal.tidalcontrol.com/{TENANT_NAAM}/

  4. Assignments configureren:

    • Controlled access: Kies welke groepen toegang krijgen
    • Of selecteer "Allow everyone in your organization to access"

  5. Klik "Save"

Credentials ophalen

  1. Open je nieuwe applicatie
  2. Ga naar "General" tab
  3. Kopieer uit "Client Credentials" sectie:
    • Client ID
    • Client secret
  4. Kopieer Okta domain van je account URL (bijvoorbeeld: dev-12345.okta.com)

Auth0

Applicatie aanmaken

  1. Log in op Auth0 Dashboard
  2. Ga naar "Applications" → "Applications"
  3. Klik "Create Application"

Applicatie configureren

  1. Configureer basis settings:

    • Name: Tidal Control
    • Application type: Regular Web Applications

  2. Klik "Create"

  3. Ga naar "Settings" tab

  4. Configureer URLs:

    • Allowed Callback URLs: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint
    • Allowed Logout URLs: https://portal.tidalcontrol.com/{TENANT_NAAM}/
    • Allowed Web Origins: https://portal.tidalcontrol.com

  5. Kopieer credentials:

    • Domain (bijvoorbeeld: your-tenant.auth0.com)
    • Client ID
    • Client Secret

  6. Klik "Save Changes"

Gebruikers toewijzen

  1. Ga naar "User Management" → "Users"
  2. Voeg gebruikers toe die toegang moeten krijgen
  3. Of configureer "Connections" voor automatische user provisioning

OneLogin

App toevoegen vanuit catalog

  1. Log in op OneLogin Admin Portal
  2. Ga naar "Applications" → "Applications"
  3. Klik "Add App"
  4. Zoek "OpenID Connect" in catalog
  5. Selecteer "OpenId Connect (OIDC)" app

OIDC app configureren

  1. Configureer display naam:

    • Display Name: Tidal Control
    • Klik "Save"

  2. Ga naar "Configuration" tab

  3. Vul redirect URI in:

    • Redirect URI: https://auth.tidalcontrol.com/realms/{TENANT_NAAM}/broker/oidc/endpoint
    • Klik "Save"

  4. Ga naar "SSO" tab

  5. Kopieer credentials:

    • Client ID
    • Client Secret
    • Issuer URL (gebruik als Domain/Tenant ID)

Gebruikers toegang geven

  1. Ga naar "Users" tab in de app
  2. Klik "Add users"
  3. Selecteer gebruikers of groepen
  4. Klik "Save"

Configuratie naar Tidal sturen

Veilig delen van credentials

Na configuratie in je identity provider, stuur de volgende gegevens veilig naar Tidal Control:

Verzamel deze informatie:

Identity Provider: [Azure/Google/Okta/Auth0/OneLogin]
Tenant/Domain: [Je organisatie domein/tenant ID]
Client ID: [Applicatie/Client ID]
Client Secret: [Geheime sleutel]

Veilige verzendmethoden:

  • Versleuteld ZIP bestand met wachtwoord (stuur wachtwoord apart)
  • Wachtwoordmanager met veilige deling functie (1Password, Bitwarden)
  • Beveiligde berichtendienst (Signal, encrypted email)
  • Tijdelijke secret sharing service (bijvoorbeeld PrivateBin met vervaldatum)
Danger

Nooit doen:

  • Client secrets via gewone email sturen
  • Credentials in chat applicaties plaatsen
  • Screenshots maken van secrets
  • Secrets in tickets of documentatie opslaan

Contact met Tidal Support

Email naar: support@tidalcontrol.com

Onderwerp: SSO Configuratie voor [TENANT_NAAM]

Email inhoud:

Beste Tidal Support,

Wij willen graag SSO activeren voor onze Tidal omgeving.

Tenant naam: [TENANT_NAAM]
Identity Provider: [PROVIDER_NAAM]

De configuratie details stuur ik via [METHODE].

Met vriendelijke groet,
[Naam]

Activatie tijdlijn

Na ontvangst credentials:

  1. Tidal configureert SSO koppeling (binnen 1 werkdag)
  2. Test account wordt aangemaakt voor verificatie
  3. Je test de koppeling met test gebruiker
  4. Na succesvolle test wordt SSO geactiveerd voor alle gebruikers
  5. Bestaande gebruikers kunnen inloggen met SSO

SSO gebruiken na activatie

Eerste keer inloggen

Voor nieuwe gebruikers:

  1. Ga naar https://portal.tidalcontrol.com/{TENANT_NAAM}/
  2. Klik "Sign in with SSO" knop
  3. Log in met je organisatie account
  4. Account wordt automatisch aangemaakt in Tidal

Voor bestaande gebruikers:

  1. Gebruik dezelfde email als in Tidal account
  2. SSO koppelt automatisch aan bestaand account
  3. Toegangsrechten blijven behouden

Multi-factor authenticatie (MFA)

MFA via identity provider

Best practice: Configureer MFA in je identity provider, niet in Tidal:

  • Centrale MFA policy voor alle applicaties
  • Conditional access op basis van locatie/device
  • Compliance rapportage vanuit één systeem

MFA configuratie per provider:

  • Azure: Conditional Access Policies
  • Google: 2-Step Verification enforcement
  • Okta: Authentication Policies
  • Auth0: Multi-factor Authentication rules
  • OneLogin: Authentication Factors policies

Gebruikerssynchronisatie (optioneel)

Automatische provisioning

Voor grote organisaties kan automatische gebruikerssynchronisatie via SCIM:

  • Automatisch aanmaken nieuwe gebruikers
  • Rol toewijzing op basis van groepen
  • Deactivatie bij vertrek medewerker

SCIM ondersteuning verschilt per provider:

  • Azure/Entra ID ✅
  • Okta ✅
  • OneLogin ✅
  • Google Workspace ⚠️ (via third-party)
  • Auth0 ⚠️ (custom implementation)

Contact support@tidalcontrol.com voor SCIM configuratie.

Troubleshooting

Login redirect loop

Symptomen: Browser blijft redirecten tussen Tidal en identity provider

Oplossingen:

  1. Controleer redirect URI - Moet exact overeenkomen
  2. Clear browser cookies voor beide domeinen
  3. Test incognito/private browsing mode
  4. Verifieer tenant naam in URI configuratie

"Access Denied" na succesvolle authenticatie

Mogelijke oorzaken:

  • Gebruiker niet toegewezen aan applicatie in identity provider
  • Groep membership niet correct geconfigureerd
  • Email adres komt niet overeen met Tidal account

Verificatie stappen:

  1. Check user assignment in identity provider
  2. Vergelijk email adressen tussen systemen
  3. Test met nieuwe test gebruiker

Client secret verlopen

Symptomen: SSO stopt plotseling met werken voor alle gebruikers

Oplossing:

  1. Genereer nieuw secret in identity provider
  2. Stuur naar Tidal Support via veilige methode
  3. Tijdelijke workaround: Gebruikers kunnen wachtwoord reset aanvragen

Voor verdere ondersteuning, email support@tidalcontrol.com met:

  • Tenant naam
  • Identity provider type
  • Exacte foutmelding
  • Browser console errors (F12)
Volgende
Framework implementeren met een template