Single sign-on configureren (SAML & OIDC)

Met CalendarBridge kunnen organisatiebeheerders single sign-on inschakelen, zodat je gebruikers zich bij CalendarBridge aanmelden met dezelfde identity provider die ze al voor alles gebruiken. Deze handleiding behandelt beide ondersteunde protocollen, de exacte service-providerwaarden die je aan je identity provider moet geven, attribuuttoewijzingen, testen en probleemoplossing.

C Chad Bijgewerkt op 16 juni 2026 8 min lezen

Single sign-on in een oogopslag

Met single sign-on (SSO) kan je team zich bij CalendarBridge authenticeren via de identity provider (IdP) van je organisatie in plaats van een apart CalendarBridge-wachtwoord. Wanneer SSO wordt afgedwongen, wordt elke gebruiker op je geverifieerde domein doorgestuurd naar je IdP om zich aan te melden, en kan toegang centraal worden verleend of ingetrokken.

Ondersteunde protocollen: SAML 2.0 (SP-geïnitieerd) en OpenID Connect (OIDC) / OAuth 2.0 Authorization Code-flow.
CalendarBridge-editie: SSO en SCIM zijn beschikbaar op CalendarBridge Group-abonnementen (Organisatie). Ze worden geconfigureerd vanuit het portaal Organisatie beheren door een organisatiebeheerder. Zie Licentietypes voor groepsaccounts en Licenties hieronder.
Architectuur: CalendarBridge is een multi-tenant SaaS-applicatie. SSO wordt per geverifieerd domein geconfigureerd, zodat elke klant zijn eigen identity provider-verbinding bezit en beheert. CalendarBridge haalt en vertrouwt alleen de IdP-metadata/het certificaat op dat je voor je domein opgeeft.

Ondersteunde identity providers

CalendarBridge werkt met elke standaardconforme SAML 2.0- of OIDC-identity provider. Het portaal Organisatie beheren bevat ingebouwde, stapsgewijze installatiegidsen voor het volgende:

Identity provider	SAML 2.0	OpenID Connect	Documentatie van de provider
Microsoft Entra ID (Azure AD)	Ja	Ja	SSO configureren in Entra ID
Okta	Ja	Ja	Een SAML/OIDC-app maken in Okta
Google Workspace	Ja	—	Een aangepaste SAML-app instellen
JumpCloud	Ja	—	SSO met een aangepaste SAML-app
Elke andere SAML 2.0- / OIDC-IdP	Ja	Ja	Gebruik de generieke waarden in dit artikel.

info

Microsoft Entra ID-galerijvermelding CalendarBridge ondersteunt SP-geïnitieerde en IdP-geïnitieerde SAML 2.0 en valideert het ondertekeningscertificaat, geldigheidsvenster, de issuer en de audience van de SAML-assertion. Richt CalendarBridge voor de aanbevolen Entra ID-installatie op de App Federation Metadata URL, zodat certificaatrotatie automatisch wordt afgehandeld.

Licenties

SSO en SCIM-provisioning zijn inbegrepen bij CalendarBridge Group-abonnementen (Organisatie). Er zijn geen aparte add-onkosten van CalendarBridge om SSO in te schakelen. Houd er rekening mee dat sommige identity providers hun provisioning-/SCIM-functies achter specifieke edities plaatsen — Google Workspace-autoprovisioning vereist bijvoorbeeld Enterprise Standard, Enterprise Plus of Education Plus. Automatische gebruikersprovisioning van Microsoft Entra ID vereist een Microsoft Entra ID P1- of P2-licentie in je tenant.

Wie SSO kan configureren (rolgebaseerde toegang)

Alleen een CalendarBridge-organisatiebeheerder kan SSO- en SCIM-instellingen bekijken of wijzigen. Gewone leden zien deze instellingen nooit. Om SSO te beheren moet je:

Beheerder zijn van het groepsaccount (zie Overzicht van het groepsbeheerdersportaal), en
Ten minste één geverifieerd domein op het account hebben. SSO is gebonden aan een geverifieerd domein — zie Geautoriseerde domeinen verbinden.

lightbulb

Houd een break-glass-beheerder aan Wanneer je SSO afdwingt, zorg er dan voor dat ten minste één organisatiebeheerder het account nog kan bereiken als de IdP niet beschikbaar is. CalendarBridge-beheerders behouden een bypass-route, zodat je nooit buitengesloten raakt tijdens een IdP-storing.

Open het tabblad Single Sign-On

Open het portaal Organisatie beheren

Klik vanuit je CalendarBridge-dashboard op Je organisatie beheren, of ga rechtstreeks naar calendarbridge.com/dashboard/organization.
Selecteer het tabblad Single Sign-On

Kies het tabblad Single Sign-On. Als je SSO nog niet hebt geconfigureerd, zie je een knop SSO configureren.
Klik op SSO configureren

Kies je protocol (SAML of OIDC), wijs het geverifieerde domein toe waarop deze configuratie van toepassing is en selecteer je identity provider om een inline, providerspecifieke installatiegids weer te geven.

SAML 2.0 configureren

SAML-installatie is een uitwisseling in twee richtingen: je geeft de service provider (SP)-waarden van CalendarBridge aan je IdP, en je geeft CalendarBridge in ruil de metadata van je IdP.

Service-providerwaarden om in je IdP in te voeren

Dit zijn de waarden die je in je identity provider plakt bij het maken van de CalendarBridge-applicatie. De exacte, kant-en-klare waarden voor je account worden weergegeven met Kopiëren-knoppen op het tabblad Single Sign-On — kopieer ze altijd vanuit het portaal in plaats van ze met de hand te typen.

Veld (label varieert per IdP)	Waarde
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` — kopieer de exacte waarde van het SSO-tabblad.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` — kopieer de exacte waarde van het SSO-tabblad.
Name ID-formaat	`EmailAddress` (persistent e-mailadres)
Binding	HTTP-POST voor de assertion; HTTP-Redirect voor de aanvraag.

Vereiste attribuuttoewijzingen

Wijs deze claims toe in je IdP. Voer de naam van het App-attribuut exact in zoals weergegeven — deze staan ook met kopieerknoppen in het portaal.

App-attribuut (voer exact in)	Toegewezen vanuit (in je IdP)
`email`	Primair e-mailadres / E-mail / `user.mail`
`name`	Voornaam / given name / `user.givenname`

Microsoft Entra ID (Azure AD) — SAML

Maak de applicatie

Ga in het Microsoft Entra-beheercentrum naar Enterprise applications → New application → Create your own application → "Integrate any other application you don't find in the gallery."
Open Single sign-on → SAML
Voer in Basic SAML Configuration in:
- Identifier (Entity ID): de Entity ID van het CalendarBridge SSO-tabblad.
- Reply URL (ACS): de ACS URL van het CalendarBridge SSO-tabblad.
Configureer attributes & claims

Voeg de claims email en name toe uit de attribuuttoewijzingen hierboven en stel de Name ID in op het e-mailadres van de gebruiker.
Kopieer de App Federation Metadata URL

Kopieer onder SAML Signing Certificate de App Federation Metadata URL (deze eindigt op /federationmetadata/2007-06/federationmetadata.xml). Door de URL te gebruiken — in plaats van een statisch XML-bestand te uploaden — kan CalendarBridge certificaatrotaties automatisch oppikken.
Wijs gebruikers toe en voltooi vervolgens in CalendarBridge

Wijs de gebruikers of groepen toe die toegang moeten hebben, ga dan terug naar het CalendarBridge SSO-tabblad, plak de metadata-URL en sla op.

Okta, Google Workspace, JumpCloud & andere — SAML

Het verloop is hetzelfde voor elke IdP: maak een aangepaste SAML-app, plak de service-providerwaarden, voeg de attribuuttoewijzingen toe en geef CalendarBridge vervolgens de IdP-metadata. Het portaal toont de precieze menupaden voor Okta, Google Workspace en JumpCloud wanneer je die provider selecteert. Je kunt de IdP-metadata op twee manieren opgeven op het CalendarBridge SSO-tabblad:

Metadata-URL (aanbevolen) — plak de federation-metadata-URL van de IdP; CalendarBridge haalt deze opnieuw op, zodat certificaatrotaties automatisch worden opgepikt.
Metadata-XML — upload het .xml-bestand met de IdP-metadata als je provider geen URL publiceert.

OpenID Connect (OIDC) configureren

Voor IdP's die je liever via OIDC/OAuth 2.0 verbindt, gebruikt CalendarBridge de Authorization Code-flow. Je maakt een webapplicatie in je IdP en geeft CalendarBridge drie waarden.

Redirect-URI om in je IdP in te voeren

Veld	Waarde
Redirect URI / Sign-in redirect URI (platform: Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` — kopieer de exacte waarde van het SSO-tabblad.

Waarden om in CalendarBridge in te voeren

CalendarBridge-veld	Waar te vinden in je IdP
Discovery URL	Het OpenID-configuratiedocument van je IdP, bijv. `https://<your-idp>/.well-known/openid-configuration`.
Client ID	Van de app-registratie die je hebt gemaakt.
Client Secret	Een geheim dat je genereert in de app-registratie.

Aangevraagde machtigingen (scopes) en waarom

CalendarBridge vraagt alleen de minimale, standaard OIDC-scopes aan die nodig zijn om de zich aanmeldende gebruiker te identificeren. Het vraagt geen toegang aan tot mail, bestanden of agendagegevens via de SSO-verbinding.

Scope	Waarom deze wordt aangevraagd (zakelijke rechtvaardiging)
`openid`	Vereist om OpenID Connect-authenticatie uit te voeren en een ID-token te ontvangen.
`email`	Wordt gebruikt als de unieke identificatie van de gebruiker om hem te koppelen aan je CalendarBridge-organisatie en geverifieerde domein.
`profile`	Leest het basisprofiel (voornaam) om de weergavenaam van de gebruiker in te vullen bij de eerste aanmelding.

info

Toestemming met minimale rechten Dit zijn gedelegeerde scopes die alleen voor aanmelding bedoeld zijn. Een beheerder (of de gebruiker, afhankelijk van het toestemmingsbeleid van je tenant) geeft eenmalig toestemming bij de eerste aanmelding. CalendarBridge vraagt geen applicatiemachtigingen aan en geen Microsoft Graph-mail-/agendamachtigingen als onderdeel van SSO.

Microsoft Entra ID — OIDC

Registreer de applicatie

Ga in het Microsoft Entra-beheercentrum naar App registrations → New registration.
Voeg de redirect-URI toe

Voeg een redirect-URI voor het Web-platform toe die is ingesteld op de CalendarBridge OIDC-redirect-URI die op het SSO-tabblad wordt weergegeven.
Maak een client secret

Maak onder Certificates & secrets → New client secret een geheim aan en kopieer de waarde ervan onmiddellijk.
Kopieer de discovery-URL (metadata)

Kopieer vanuit Overview → Endpoints de URL van het OpenID Connect metadata document. Plak de discovery-URL, client ID en client secret in het CalendarBridge SSO-tabblad en sla op.

SSO afdwingen voor je domein

Standaard maakt het inschakelen van SSO dit beschikbaar voor gebruikers op het domein. Vink SSO afdwingen aan in het installatieformulier om het te vereisen: elke gebruiker op dat geverifieerde domein moet zich dan via je IdP aanmelden, en directe wachtwoordaanmelding wordt voor hen uitgeschakeld.

warning

Test voordat je afdwingt Bevestig dat een pilotgebruiker zich via SSO kan aanmelden (volgende sectie) voordat je afdwinging inschakelt, zodat je geen gebruikers buitensluit door een fout in metadata of attribuuttoewijzing. CalendarBridge-beheerders houden een bypass-route voor break-glass-toegang.

Testen met pilotgebruikers

Bevestig dat de configuratie Actief is

Na het opslaan toont de configuratiekaart een statusbadge. Wacht tot deze Actief aangeeft. Een In behandeling-badge betekent dat CalendarBridge de IdP-metadata nog niet heeft gevalideerd; een Fout-badge toont de reden inline.
Wijs een pilotgebruiker toe in je IdP

Wijs één of twee testgebruikers toe aan de CalendarBridge-app in je IdP, maar laat afdwinging voorlopig uit.
Aanmelden via SSO

Laat de pilotgebruiker zich bij CalendarBridge aanmelden met het e-mailadres/domein van je organisatie. Hij zou naar je IdP moeten worden doorgestuurd en aangemeld naar CalendarBridge moeten terugkeren. Bevestig dat zijn naam en e-mailadres correct zijn ingevuld.
Uitrollen

Zodra de pilot slaagt, wijs je de rest van je gebruikers toe en schakel je desgewenst SSO afdwingen in.

Problemen oplossen

Als de configuratiekaart de status Fout toont, legt het bericht op de kaart de specifieke fout uit. Veelvoorkomende gevallen:

Symptoom / bericht	Waarschijnlijke oorzaak & oplossing
Status blijft hangen op In behandeling of "kon metadata niet ophalen"	De metadata-URL is onbereikbaar of gaf geen XML terug. Controleer of de URL in een browser laadt, of schakel over op het uploaden van het metadata-XML-bestand.
"Invalid signature" / "certificate"-fout	Het ondertekeningscertificaat van de IdP is geroteerd en de opgeslagen metadata is verouderd. Sla opnieuw op met de IdP-metadata-URL (aanbevolen), zodat rotaties automatisch worden opgepikt, of upload de huidige XML opnieuw.
"Audience" / "Issuer"-mismatch	De Entity ID / Audience URI in je IdP komt niet exact overeen met de waarde van het SSO-tabblad. Kopieer deze opnieuw vanuit het portaal.
Gebruiker meldt zich aan, maar naam/e-mail is leeg of wordt geweigerd	De attribuuttoewijzingen `email` en `name` ontbreken of hebben een verkeerde naam. Controleer de vereiste attribuuttoewijzingen opnieuw — namen zijn hoofdlettergevoelig.
"AADSTS50105" / gebruiker niet toegewezen (Entra ID)	De gebruiker is niet toegewezen aan de CalendarBridge enterprise-app in Entra ID. Wijs de gebruiker of zijn groep toe.
Mismatch van Redirect-/Reply-URL	De ACS URL (SAML) of Redirect URI (OIDC) in je IdP komt niet overeen met de waarde op het SSO-tabblad. Kopieer de exacte waarde opnieuw.

Hulp krijgen

Als je vastloopt na het controleren van het foutbericht op de configuratiekaart en de probleemoplossingstabel hierboven, neem dan contact op met CalendarBridge-support. Vermeld het domein van je organisatie, het protocol (SAML/OIDC), je identity provider en het exacte statusbericht dat op de kaart wordt weergegeven.

Contact opnemen met CalendarBridge-support
SCIM-directorysynchronisatie (provisioning) configureren — automatiseer het aanmaken en deactiveren van gebruikers zodra SSO actief is.