Als je beheerder bent van je MailBlue-account, kun je single sign-on (SSO) instellen voor accountgebruikers. Daarmee kunnen gebruikers via een bedrijfsserver of externe identiteitsprovider inloggen op je MailBlue-account. Afhankelijk van de gekozen inlogmethode kan inloggen met e-mailadres en wachtwoord daarnaast beschikbaar blijven.
Wat moet ik weten voordat ik SSO instel?
Houd rekening met het volgende voordat je begint:
Iedere gebruiker in de beheerdersgroep kan SSO instellen in MailBlue.
Je hebt al een identiteitsprovider voor je bedrijf nodig.
Deze SSO-versie werkt met iedere SAML-provider, waaronder Okta, Auth0 en Microsoft Entra ID (Azure AD).
Het inschakelen van SSO heeft geen invloed op tweefactorauthenticatie voor je account. Omdat je identiteitsprovider de inloggegevens beheert en doorstuurt naar MailBlue, kan het verstandig zijn om herauthenticatie bij iedere login te vereisen.
Let op: test je single sign-on-instellingen altijd voordat je uitlogt uit MailBlue. Onjuiste instellingen kunnen ervoor zorgen dat je account wordt vergrendeld.
Hoe werkt SSO in MailBlue?
Om SSO in te stellen, koppel je je MailBlue-account via het SAML-protocol aan een externe identiteitsprovider. Zo gebruik je je bestaande gebruikersbeheer of identity as a service-oplossing om in te loggen op je MailBlue-account. Dit deel van de configuratie voer je uit in MailBlue.
Beschikbare inlogmethoden
Tijdens het instellen kies je in MailBlue een 'Inlogmethode':
'Hybride login' - gebruikers kunnen inloggen met SSO of met e-mailadres en wachtwoord. Het instellen van SSO verwijdert de optie voor inloggen met e-mailadres en wachtwoord niet.
'Single sign-on afdwingen' - gebruikers moeten inloggen met SSO en kunnen niet meer inloggen met e-mailadres en wachtwoord.
Manieren waarop gebruikers toegang krijgen
Nadat SSO is ingesteld, kunnen gebruikers op twee manieren toegang krijgen tot het MailBlue-account van je organisatie:
Inloggen gestart vanuit de identiteitsprovider - gebruikers loggen eerst in op de bedrijfsserver of externe identiteitsprovider en klikken daarna op de MailBlue-tegel. Vervolgens worden ze doorgestuurd naar het dashboard in hun MailBlue-account.
Inloggen gestart vanuit de serviceprovider - gebruikers gaan naar de inlogpagina van hun MailBlue-account en klikken daar op de knop 'Inloggen met [naam van identiteitsprovider]'. Daarna worden ze doorgestuurd naar de loginpagina van de bedrijfsserver of externe identiteitsprovider en na het inloggen teruggebracht naar het Marketing-dashboard.
Hoe stel ik een algemene SAML-identiteitsprovider in?
Log in bij je identiteitsprovider en maak een nieuwe applicatie aan.
Open een nieuw tabblad of venster en log als beheerder in op je MailBlue-account.
Klik in MailBlue op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zoek het vak 'Single Sign-On' en zet de schakelaar op 'Aan'.
Kies via de dropdown je gewenste 'Inlogmethode'.
Typ de naam van je identiteitsprovider in het veld 'Naam van beveiligde loginprovider'.
Kopieer de waarde van 'Aanmeld-URL' en plak die waar nodig in je identiteitsprovider.
Kopieer de waarde van 'Audience URI (SP Entity ID)' en plak die waar nodig in je identiteitsprovider.
Zoek in je identiteitsprovider de SAML-metadata, kopieer die en plak die in MailBlue in het veld 'SAML-metadata'.
Klik in MailBlue op 'Opslaan'.
Hoe stel ik SSO in met Okta?
Deze configuratie voer je uit in zowel je MailBlue-account als in Okta.
Log in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Noteer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in Okta.
Open een nieuw tabblad of venster en log in op je Okta-organisatie. Mogelijk heb je hierbij hulp van je IT-beheerder nodig.
Ga naar de beheerinterface en maak een SAML-app in Okta. Gebruik daarbij deze waarden:
Plak in 'Single sign-on-URL' de waarde uit MailBlue uit 'Aanmeld-URL'.
Plak in 'Audience URI (SP Entity ID)' de waarde uit MailBlue uit 'SP Entity ID'.
Stel 'Naam-ID-indeling' verplicht in op 'EmailAddress'.
Optioneel: stel attribuutverklaringen in zodat SSO automatisch de voornaam en achternaam van een gebruiker kan invullen wanneer het account dynamisch wordt aangemaakt. Deze naamvelden zijn hoofdlettergevoelig.
Klik na het afronden van de Okta-configuratie op 'Installatie-instructies bekijken'.
Kopieer onder 'Optioneel' de 'IDP-metadata'.
Ga terug naar MailBlue en plak de metadata in het vak 'SAML-metadata'. Werk daarna 'Naam van beveiligde loginprovider' bij, bijvoorbeeld naar 'Okta Single Sign-On'.
Klik op 'Instellingen opslaan'.
De inlogpagina van je MailBlue-account toont daarna een hybride SSO-login.
Hoe stel ik SSO in met Auth0?
Deze configuratie voer je uit in zowel je MailBlue-account als in Auth0. Voor deze configuratie heb je een Auth0 Enterprise-abonnement nodig.
Log in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Noteer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in Auth0.
Open een nieuw tabblad of venster en log in op je Auth0-organisatie. Mogelijk heb je hierbij hulp van je IT-beheerder nodig.
Maak in Auth0 een nieuwe applicatie aan of wijzig een bestaande. Controleer onder 'Instellingen' het volgende:
'Applicatietype' staat op 'Reguliere webapplicatie'.
'Token-endpointverificatiemethode' staat op 'POST'.
Je kunt hier onder 'Basisinformatie' ook de 'Applicatienaam' en het pictogram aanpassen dat gebruikers zien.
Ga naar 'Add-on: SAML2-webapp' en open het tabblad 'Instellingen'. Configureer daar het volgende:
Stel de juiste 'Callback-URL's van applicatie' in op basis van de 'Aanmeld-URL' uit MailBlue.
Haal onder 'Instellingen' de opmerking weg bij 'audience' en vervang de standaardwaarde 'urn:foo' door de 'SP Entity ID' uit MailBlue.
Haal de opmerking weg bij 'logout' en stel 'callback' in op https://<jouw-accountnaam>.activehosted.com/admin/index.php?action=logout.
Je kunt hier ook extra veldkoppelingen instellen. MailBlue ondersteunt 'email', 'firstName' en 'lastName'.
Klik op 'Debug' om een nieuw browservenster te openen met een voorbeeld van de loginprompt.
Ga op het tabblad 'Gebruik' naar 'Metadata van identiteitsprovider', klik op 'Downloaden' en sla het bestand op.
Open het XML-bestand in een teksteditor en kopieer de volledige inhoud.
Ga terug naar MailBlue, plak de XML-inhoud in het veld 'SAML-metadata', werk 'Naam van beveiligde loginprovider' bij, bijvoorbeeld naar 'Auth0', en klik op 'Instellingen opslaan'.
Hoe stel ik SSO in met Microsoft Entra ID (Azure AD)?
Deze configuratie voer je uit in zowel je MailBlue-account als in Microsoft Entra ID. Voor deze configuratie heb je een Microsoft Entra ID Enterprise-abonnement nodig.
Log in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Noteer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in Microsoft Entra ID.
Open een nieuw tabblad of venster en log in op je Microsoft Entra ID-tenantportaal. Mogelijk heb je hierbij hulp van je IT-beheerder nodig.
Zoek naar 'Enterprise-applicatie' en klik op de bijbehorende link.
Klik op 'Nieuwe applicatie'.
Klik op 'Maak je eigen applicatie'.
Vul bij het aanmaken van de applicatie het volgende in:
Geef de applicatie de naam <jouw-accountnaam>.activehosted.com.
Selecteer de optie 'Niet-galerij'.
Klik op 'Maken'.
Ga in Microsoft Entra ID naar 'Gebruikers en groepen' en klik onder 'Beheren' op 'Single sign-on'.
Klik op de optie 'SAML'.
Klik bij 'Basis-SAML-configuratie' op 'Bewerken'.
Vul daarna het volgende in:
Kopieer de 'Single sign-on-URL' uit MailBlue en plak die in Microsoft Entra ID in het veld 'Antwoord-URL (Assertion Consumer Service URL)'.
Kopieer de waarde 'Audience URI (SP Entity ID)' uit MailBlue en plak die in het veld 'Identificatie (Entity ID)'.
Stel in Microsoft Entra ID de 'Uitlog-URL' in op https://<jouw-accountnaam>.activehosted.com/admin/index.php?action=logout.
Klik op 'Opslaan'.
Let op: de volgorde van de velden verschilt tussen MailBlue en Microsoft Entra ID.
Klik op de SAML-gebaseerde inlogpagina in Microsoft Entra ID naast 'Federatiemetadata XML' onder 'SAML-ondertekeningscertificaat' op 'Downloaden'.
Open het XML-bestand in een teksteditor en kopieer de volledige inhoud.
Ga terug naar MailBlue en plak de XML-inhoud in het veld 'SAML-metadata'.
Werk 'Naam van beveiligde loginprovider' bij, bijvoorbeeld naar 'Microsoft Entra ID Single Sign-On'.
Klik op 'Instellingen opslaan'.
Je SSO-instellingen testen
Ga in Microsoft Entra ID naar de pagina 'SAML-gebaseerde login'.
Scroll naar beneden en klik op 'Test'.
Krijg je fouten te zien? Doorloop dan alle stappen opnieuw. Kom je er niet uit, neem dan contact op met support voor verdere hulp.
Hoe stel ik SSO in met OneLogin?
Deze configuratie voer je uit in zowel je MailBlue-account als in OneLogin.
Log in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Noteer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in OneLogin.
Open een nieuw tabblad of venster en log in op je OneLogin-organisatie. Mogelijk heb je hierbij hulp van je IT-beheerder nodig.
Maak in OneLogin een nieuwe applicatie aan of wijzig een bestaande.
Ga via 'Applicaties' > 'Applicaties' naar de applicatie-instellingen.
Maak je voor het eerst een applicatie aan? Klik dan rechtsboven op 'App toevoegen', zoek naar 'Aangepaste SAML-connector' en kies 'Aangepaste SAML-connector (Geavanceerd)'.
Stel bij het aanmaken van de connector de 'Weergavenaam' in, bijvoorbeeld op 'MB SAML2', upload optioneel pictogrammen en klik op 'Opslaan'.
Open links de sectie 'Configuratie' en stel het volgende in:
Plak de waarde uit MailBlue in het veld 'Audience (EntityID)'.
Plak de waarde uit MailBlue in het veld 'ACS (Consumer)-URL'.
Controleer dat 'SAML-initiator' is ingesteld op 'OneLogin'.
Controleer dat 'SAML nameID format' is ingesteld op 'Email'.
Open links de sectie 'Parameters' en koppel de waarden die naar MailBlue worden gestuurd:
Verplicht: 'NameID-waarde' moet 'E-mailadres' zijn.
Optioneel: 'FirstName', 'LastName' en 'Phone' (toegevoegd op 21-02-2022).
Download daarna de metadata via de dropdown rechtsboven onder 'Meer gegevens' > 'SAML-metadata'. Open het XML-bestand in een teksteditor en kopieer de volledige inhoud.
Ga terug naar MailBlue, plak de XML-inhoud in het veld 'SAML-metadata', werk 'Naam van beveiligde loginprovider' bij, bijvoorbeeld naar 'OneLogin SAML', en klik op 'Instellingen opslaan'. Deze tekst wordt weergegeven op de loginpagina van MailBlue.
Wijs gebruikers vervolgens toe aan de OneLogin-applicatie voordat ze kunnen inloggen:
Ga in OneLogin naar 'Gebruikers'.
Klik voor een nieuwe gebruiker op 'Nieuwe gebruiker'.
Vul verplicht 'Voornaam' en 'Achternaam' in.
Vul verplicht voor MailBlue, maar optioneel voor OneLogin, 'E-mailadres' in.
Aanbevolen, maar niet verplicht: vul 'Gebruikersnaam' en 'Telefoonnummer' in.
Klik op 'Gebruiker opslaan' en daarna links op 'Applicaties'.
Klik rechtsboven op '+' en kies de applicatienaam die je eerder voor je SAML-app hebt aangemaakt.
Klik op 'Doorgaan' en controleer in het venster dat 'Gebruiker toestaan om in te loggen' is aangevinkt, 'NameID' het e-mailadres van de gebruiker bevat en optioneel 'LastName' en 'FirstName' zijn ingevuld.
Klik op 'Opslaan'. Bewerk bestaande gebruikers door op hun naam te klikken en te controleren of de juiste applicatie is toegewezen. Herhaal dit voor andere gebruikers.
MailBlue voert user provisioning uit tijdens de eerste SSO-login. Daardoor wordt gebruikersdata verzameld op het moment dat een gebruiker voor het eerst probeert in te loggen.
Is het e-mailadres al bekend in MailBlue? Dan blijven de bestaande groepsgegevens en rechten behouden.
Is het e-mailadres nog niet bekend in MailBlue? Dan wordt de gebruiker toegevoegd aan de groep 'SSO-gebruikers' met rechten die accountbeheerders kunnen configureren.
Hoe stel ik SSO in met Google?
Voor deze configuratie heb je een Google Workspace-account nodig.
Log als beheerder in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Noteer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in Google.
Ga in een aparte browser naar admin.google.com.
Log in op Google Workspace met de Super Admin-gegevens. Deze gebruikersnaam eindigt niet op @gmail.com.
Ga in de Admin-console naar 'Apps' > 'Web- en mobiele apps'.
Kies 'App toevoegen' > 'Aangepaste SAML-app toevoegen' en vul het volgende in:
Verplicht: vul 'Appnaam' in.
Optioneel: vul 'Beschrijving' in.
Optioneel: kies een 'App'-icoon.
Klik op 'Doorgaan'.
Kies 'Optie 1' om de IdP-metadata te downloaden, sla het XML-bestand op en klik op 'Doorgaan'.
Vul bij 'Details van serviceprovider' het volgende in:
Plak bij 'ACS-URL' de waarde uit MailBlue uit 'Single Sign-On-URL'.
Plak bij 'Entity ID' de waarde uit MailBlue uit 'Audience URI (SP Entity ID)'.
Kies bij 'Naam-ID-indeling' voor 'EMAIL'.
Controleer dat bij 'Naam-ID' de waarde 'Basisinformatie > Primair e-mailadres' staat.
Klik op 'Doorgaan'.
Voeg bij 'Attributen' optioneel, maar aanbevolen, mappings toe via 'Mapping toevoegen':
'First name' - FirstName
'Last name' - LastName
'Primary email' - Email
'Phone number' - Phone
Klik op 'Voltooien'.
Ga terug naar MailBlue, vul bij 'Naam van beveiligde loginprovider' bijvoorbeeld 'Google SAML SSO' in, plak de 'SAML-metadata' uit het gedownloade XML-bestand en klik op 'Instellingen opslaan'.
Zorg daarna in Google dat gebruikers voor de SAML-app zijn ingeschakeld.
MailBlue voert op dit moment user provisioning uit tijdens de eerste SSO-login. Daardoor wordt gebruikersdata verzameld wanneer een gebruiker voor het eerst probeert in te loggen.
Is het e-mailadres al bekend in MailBlue? Dan blijven de bestaande groepsgegevens en rechten behouden.
Is het e-mailadres nog niet bekend in MailBlue? Dan wordt de gebruiker toegevoegd aan de groep 'SSO-gebruikers' met rechten die accountbeheerders kunnen configureren.
Google-foutmeldingen
'Error: app_not_configured_for_user' (HTTP 403)
Probleem: deze fout kan tijdens SSO-login optreden wanneer de gebruiker Google Chrome gebruikt met een ander account dan het account dat gemachtigd is voor de SAML-app.
Oplossing: ga naar myaccount.google.com, klik rechtsboven op het profielpictogram en voeg de juiste gebruiker toe of selecteer die voordat je SSO in MailBlue opnieuw gebruikt.
Controle: probeer het in een incognitovenster of in een andere browser.Raadpleeg bij andere fouten de pagina met SAML-appfoutmeldingen van Google.
Hoe stel ik SSO in met JumpCloud?
Deze configuratie voer je uit in zowel je MailBlue-account als in JumpCloud.
Log als beheerder in op je MailBlue-account.
Klik op 'Instellingen' (tandwielicoon) > 'Beveiliging'.
Zet de schakelaar 'Single Sign-On' op 'Aan'.
Kies via de dropdown je 'Inlogmethode'.
Kopieer de vooraf ingevulde waarden voor 'Aanmeld-URL' en 'SP Entity ID'. Die heb je nodig voor de configuratie in JumpCloud.
Laat de overige instellingen bij voorkeur voorlopig op de standaardwaarden staan totdat je eerste SSO-verbinding is gecontroleerd:
'Inlogmethode' - 'Hybride' laat gebruikers inloggen met gebruikersnaam en wachtwoord of met SSO. 'Single Sign-On afdwingen' vereist SSO en toont geen optie voor gebruikersnaam en wachtwoord.
'Gebruikersprovisioning' - 'Automatisch' maakt gebruikers in MailBlue aan als het via SSO aangeleverde e-mailadres nog niet bestaat. 'Handmatig' voorkomt inloggen als het e-mailadres nog niet bekend is.
'Aangewezen gebruikersgroep voor automatische provisioning' - dit is de MailBlue-gebruikersgroep waaraan nieuwe gebruikers worden toegevoegd wanneer 'Automatisch' provisioning is ingeschakeld.
Open een nieuw tabblad of venster en log in op je JumpCloud-account. Mogelijk heb je hierbij hulp van je IT-beheerder nodig.
Maak in JumpCloud een nieuwe applicatie aan of wijzig een bestaande.
Klik links op 'SSO'.
Klik bovenaan op 'Nieuwe applicatie toevoegen'.
Klik onderaan op 'Aangepaste SAML-applicatie'.
Vul op het tabblad 'Algemene informatie' het volgende in:
Gebruik bij 'Weergavelabel' bijvoorbeeld 'MailBlue' of een vergelijkbare naam om de applicatie te herkennen. Dit kun je later wijzigen.
Optioneel: kies een logo of kleur.
Controleer dat 'Deze applicatie tonen in gebruikersportaal' is aangevinkt.
Vul op het tabblad 'SSO' het volgende in:
Plak de waarde uit MailBlue uit 'Audience URI (SP Entity ID)' in JumpCloud in het veld 'SP Entity ID'. Deze URL begint met https://XXX.activehosted.com/auth/saml2/service-provider-metadata/ZZZ.
Plak de waarde uit MailBlue uit 'Single Sign-On-URL' in JumpCloud in het veld 'ACS-URL'. Deze URL begint met https://XXX.activehosted.com/auth/saml2/ZZZ.
Laat 'SAML Subject NameID' op de standaardwaarde 'email' staan.
Laat 'SAML Subject NameID-indeling' op de standaardwaarde staan.
Laat 'Handtekeningalgoritme' op de standaardwaarde 'RSA-SHA256' staan.
Laat 'Assertion ondertekenen' uitgeschakeld.
Laat 'Standaard RelayState' leeg.
Laat 'Login-URL' leeg.
Laat 'Redirect-endpoint declareren' uitgeschakeld.
'IdP-URL' is alleen voor eigen gebruik en kan na de eerste configuratie niet meer worden gewijzigd. Aanbevolen waarde: https://sso.jumpcloud.com/saml2/activecampaign.
Gebruik bovenaan 'Metadata exporteren', download de XML-inhoud en plak die in MailBlue in het veld 'SAML-metadata'.
Aanbevolen, maar niet verplicht, attributen:
email → email
FirstName → firstname
LastName → lastname
Phone → phoneNumbers.mobile
Klik op 'Opslaan'.
Controleer tot slot of de juiste gebruikers en groepen aan de applicatie zijn toegewezen.
Veelgestelde vragen
Kan ik na het instellen van SSO ook nog inloggen met e-mailadres en wachtwoord?
Kan ik na het instellen van SSO ook nog inloggen met e-mailadres en wachtwoord?
Dat hangt af van de gekozen 'Inlogmethode'. Bij 'Hybride login' blijft inloggen met e-mailadres en wachtwoord beschikbaar. Bij 'Single sign-on afdwingen' verdwijnt die optie.
Heeft SSO invloed op tweefactorauthenticatie?
Heeft SSO invloed op tweefactorauthenticatie?
Nee. Het inschakelen van SSO heeft geen invloed op tweefactorauthenticatie voor je account.
Wie kan SSO instellen in MailBlue?
Wie kan SSO instellen in MailBlue?
Iedere gebruiker in de beheerdersgroep kan SSO instellen.
Wat gebeurt er als mijn SAML-instellingen niet correct zijn?
Wat gebeurt er als mijn SAML-instellingen niet correct zijn?
Onjuiste instellingen kunnen ervoor zorgen dat je account wordt vergrendeld. Test je configuratie daarom altijd voordat je uitlogt.