Single Sign-On (SSO) in samenwerking met Google Workspace
Met Pluvo kun je gemakkelijk Single Sign-On (SSO) instellen voor jouw academie. In dit artikel leggen we uit hoe je de gegevens kunt opvragen in Google workspace.
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben in Google Workspace en een Company abonnement in Pluvo.
Laten we beginnen door een OAuth-client-ID aan te maken:
Ga naar https://console.cloud.google.com/apis/credentials en kies bij 'Create credentials' voor OAuth client ID.
Vervolgens kies je voor Webapplicatie:
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameters vanuit Pluvo. Deze parameters vind je bij het Beheer > instellingen onder 'SSO & LTI':
Bijvoorbeeld:
Geautoriseerde JavaScript-bronnen: https:// jouwsubdomein. pluvo.com
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.com/oidc/callback/
Vul deze parameters vervolgens in bij Google workspace:
Nadat je dit hebt opgeslagen, verschijnt er een pop-up met je client-ID en geheime sleutel (secret).
Let op: Zorg ervoor dat je een kopie maakt, aangezien je de client ID en client secret gegevens later nodig hebt bij de Pluvo SSO-instellingen.
De volgende stap is om een toestemming scherm aan te maken in Google workspace, zodat gebruikers akkoord kunnen gaan met de SSO-login.
Ga naar https://console.cloud.google.com/apis/credentials/consent en vul de volgende gegevens in:
Type: Intern
Appnaam: [Geef een duidelijk naam]
App-logo: [Kies een afbeelding]
E-mail: [Persoon die verantwoordelijk is voor het ondersteunen van gebruikers]
Bereik Google API: email, profile, openID, https://www.googleapis.com/auth/admin.directory.group.readonly
Voeg alleen de https://www.googleapis.com/auth/admin.directory.readonly scope toe als je groepsinformatie mee wilt krijgen
Gemachtigde domeinen: pluvo.com
Links: [Deze kun je leeg laten]
Daarna kan het opgeslagen worden en ben je klaar met de aanpassingen in je Google cloud platform.
Als je de scope https://www.googleapis.com/auth/admin.directory.group.readonly bij de vorige stap hebt ingevuld dan moeten we ook toegang regelen in de Google Admin van je workspace
Ga naar https://admin.google.com/ac/owl/list?tab=apps en configureer een nieuw app. Je geeft de OAuth Client ID op, vervolgens zie je daar je App terug
komen. Kies voor deze app en kies 'selecteren'. Vervolgens geef je toegang tot alle services.
Klaar! Nu kunnen je gebruikers inloggen en worden ze automatisch toegevoegd aan een groep waar ze ook in zitten in Workspace. Op deze manier kun je de gebruikers direct de relevante leerlijnen aanbieden.
Let op: Voer stap 3 pas uit nadat je stap 2 hebt voltooid. We halen namelijk direct na stap 3 alle groepen op uit je Workspace, en daarvoor hebben we de juiste permissies nodig.
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
OAuth Client id = ..... [Deze heb je hierboven verkregen bij de OAth client ID]
OAuth Client secret = ....... [Deze heb je hierboven verkregen bij de OAth client ID]
De volgende velden zijn altijd hetzelfde voor google workspace:
Authorization endpoint: https://accounts.google.com/o/oauth2/v2/auth
Token endpoint: https://oauth2.googleapis.com/token
User endpoint: https://openidconnect.googleapis.com/v1/userinfo
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: https://www.googleapis.com/oauth2/v3/certs
Als je wilt dat groepsinformatie wordt meegestuurd en gebruikers automatisch aan dezelfde groepen worden toegevoegd in Pluvo als in Workspace, vul dan de
volgende link in bij de scope, achter "openid email" (dit is dezelfde scope als bij het OAuth-toestemmingsscherm: https://www.googleapis.com/auth/admin.directory.group.readonly
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief". Daarna kunnen je gebruikers probleemloos inloggen via SSO!
Zodra je deze gegevens hebt, kun je Single Sign-On (SSO) gemakkelijk implementeren in Pluvo. Je vindt meer informatie hierover in dit artikel.
Let op: Voor de volgende stappen dien je een beheerders account te hebben in Google Workspace en een Company abonnement in Pluvo.
Stap 1: Instellingen in Google cloud platform
Laten we beginnen door een OAuth-client-ID aan te maken:
OAuth 2.0 client
Ga naar https://console.cloud.google.com/apis/credentials en kies bij 'Create credentials' voor OAuth client ID.
Vervolgens kies je voor Webapplicatie:
In de volgende stap moet er een naam gegeven worden aan de client-ID. Kies een duidelijke naam, bijvoorbeeld: 'Webclient Pluvo academie' zodat je later nog weet waarvoor deze client-ID wordt gebruikt.
Kopieer daarna de “ingevulde” parameters vanuit Pluvo. Deze parameters vind je bij het Beheer > instellingen onder 'SSO & LTI':
Bijvoorbeeld:
Geautoriseerde JavaScript-bronnen: https:// jouwsubdomein. pluvo.com
Geautoriseerde omleidings- URI's: https:// _jouwsubdomein_.pluvo.com/oidc/callback/
Vul deze parameters vervolgens in bij Google workspace:
Nadat je dit hebt opgeslagen, verschijnt er een pop-up met je client-ID en geheime sleutel (secret).
Let op: Zorg ervoor dat je een kopie maakt, aangezien je de client ID en client secret gegevens later nodig hebt bij de Pluvo SSO-instellingen.
OAuth-toestemmingsscherm
De volgende stap is om een toestemming scherm aan te maken in Google workspace, zodat gebruikers akkoord kunnen gaan met de SSO-login.
Ga naar https://console.cloud.google.com/apis/credentials/consent en vul de volgende gegevens in:
Type: Intern
Appnaam: [Geef een duidelijk naam]
App-logo: [Kies een afbeelding]
E-mail: [Persoon die verantwoordelijk is voor het ondersteunen van gebruikers]
Bereik Google API: email, profile, openID, https://www.googleapis.com/auth/admin.directory.group.readonly
Voeg alleen de https://www.googleapis.com/auth/admin.directory.readonly scope toe als je groepsinformatie mee wilt krijgen
Gemachtigde domeinen: pluvo.com
Links: [Deze kun je leeg laten]
Daarna kan het opgeslagen worden en ben je klaar met de aanpassingen in je Google cloud platform.
Stap 2: Instellingen bij Google workspace als je ook groepsinformatie wilt doorgeven aan Pluvo
Als je de scope https://www.googleapis.com/auth/admin.directory.group.readonly bij de vorige stap hebt ingevuld dan moeten we ook toegang regelen in de Google Admin van je workspace
App-toegangscontrole instellen
Ga naar https://admin.google.com/ac/owl/list?tab=apps en configureer een nieuw app. Je geeft de OAuth Client ID op, vervolgens zie je daar je App terug
komen. Kies voor deze app en kies 'selecteren'. Vervolgens geef je toegang tot alle services.
Klaar! Nu kunnen je gebruikers inloggen en worden ze automatisch toegevoegd aan een groep waar ze ook in zitten in Workspace. Op deze manier kun je de gebruikers direct de relevante leerlijnen aanbieden.
Let op: Voer stap 3 pas uit nadat je stap 2 hebt voltooid. We halen namelijk direct na stap 3 alle groepen op uit je Workspace, en daarvoor hebben we de juiste permissies nodig.
Stap 3: Pluvo SSO instellingen
Je hebt nu alle benodigde informatie om in Pluvo in te vullen. Deze velden vind je in de academie bij het Beheer > instellingen onder 'SSO & LTI'.
OAuth Client id = ..... [Deze heb je hierboven verkregen bij de OAth client ID]
OAuth Client secret = ....... [Deze heb je hierboven verkregen bij de OAth client ID]
De volgende velden zijn altijd hetzelfde voor google workspace:
Authorization endpoint: https://accounts.google.com/o/oauth2/v2/auth
Token endpoint: https://oauth2.googleapis.com/token
User endpoint: https://openidconnect.googleapis.com/v1/userinfo
Scope = openid email
Oidc sign algo = RS256
Oidc op jwks endpoint: https://www.googleapis.com/oauth2/v3/certs
Als je wilt dat groepsinformatie wordt meegestuurd en gebruikers automatisch aan dezelfde groepen worden toegevoegd in Pluvo als in Workspace, vul dan de
volgende link in bij de scope, achter "openid email" (dit is dezelfde scope als bij het OAuth-toestemmingsscherm: https://www.googleapis.com/auth/admin.directory.group.readonly
Vul eenvoudigweg de vereiste velden in, klik op "Opslaan", zet de slider op "actief". Daarna kunnen je gebruikers probleemloos inloggen via SSO!
Bijgewerkt op: 09/05/2025
Dankuwel!