Instructie voor beheerders: SSO (Microsoft) + SharePoint instellen
Deze pagina is voor IT-beheerders van een klantorganisatie. Eindgebruikers hebben deze stappen niet nodig — voor hen zijn Inloggen & productkeuze en SharePoint bedoeld.
Doel: Microsoft Entra ID (voorheen Azure AD) koppelen aan Prudai zodat:
- gebruikers met hun Microsoft-account via SSO kunnen inloggen, en
- projecten documenten uit SharePoint kunnen importeren en synchroniseren.
Beide integraties lopen via dezelfde Entra-app-registratie en dezelfde Keycloak Identity Provider. Je configureert ze dus één keer.
Stap 1 — App-registratie in Microsoft Entra ID
Section titled “Stap 1 — App-registratie in Microsoft Entra ID”In de Entra-portal (entra.microsoft.com):
- App registrations → New registration
- Naam: bijv.
Prudai Platform. - Supported account types: Single tenant (aanbevolen), tenzij je meerdere tenants wilt toestaan.
- Redirect URI (Web):
https://login.prudai.com/realms/<realm>/broker/microsoft/endpointVervang<realm>door de Keycloak-realm van jouw organisatie. Prudai levert deze waarde aan.
- Naam: bijv.
- Noteer na registratie:
- Application (client) ID
- Directory (tenant) ID
- Certificates & secrets → New client secret
- Zet een vervaldatum (max. 24 maanden) en noteer de secret value direct — hij is later niet meer leesbaar.
API-permissies
Section titled “API-permissies”Onder API permissions → Add a permission → Microsoft Graph → Delegated permissions:
| Scope | Waarvoor |
|---|---|
openid, profile, email, offline_access | SSO-login |
User.Read | Profielgegevens bij eerste login |
Sites.Read.All | SharePoint-sites lezen |
Files.Read.All | Bestanden importeren |
Klik daarna op Grant admin consent for <tenant>. Zonder admin consent krijgt elke gebruiker bij eerste login een consent-scherm of een weigering.
Gebruik géén
*.Write.*-scopes. Prudai schrijft niet terug naar SharePoint.
Stap 2 — Gegevens aan Prudai doorgeven
Section titled “Stap 2 — Gegevens aan Prudai doorgeven”Stuur via een veilig kanaal (bijv. Prudai-support ticket met bijlage, of je accountmanager) door:
- Tenant ID
- Client ID
- Client secret
- E-maildomein(en) van gebruikers die toegang krijgen (bijv.
@klantnaam.nl) - Optioneel: lijst van toegestane SharePoint-sites als je de scope wilt beperken
Prudai configureert op basis hiervan:
- de Microsoft Identity Provider in Keycloak (alias:
microsoft) in de realm van jouw organisatie, - token-mappers voor e-mail, naam en (optioneel) groepslidmaatschap,
- de SharePoint-integratie-vlaggen voor jouw organisatie (enabled, configured),
- desgewenst een IdP-filter per applicatieclient, zodat bijvoorbeeld alleen Microsoft-login is toegestaan voor specifieke apps en gebruikers niet per ongeluk op een ander loginpad terechtkomen.
Je ontvangt een bevestiging wanneer de koppeling staat.
Stap 3 — SharePoint activeren per organisatie
Section titled “Stap 3 — SharePoint activeren per organisatie”Zodra de back-end-koppeling staat, moet de SharePoint-integratie aan de kant van jouw organisatie nog connected worden:
- Log in als OWNER of ADMIN van de organisatie.
- Ga naar Instellingen → Integraties → SharePoint.
- Klik Verbind met Microsoft en doorloop de consent-flow met een account dat leesrechten heeft op de SharePoint-sites.
De drie statusvlaggen moeten nu alle drie op groen staan:
- enabled — Prudai heeft SharePoint voor deze org aangezet.
- configured — client-id/secret aanwezig en geldig.
- connected — OAuth-refresh token succesvol opgeslagen.
Werkt dit niet, zie Troubleshooting onderaan.
Stap 4 — Verificatie
Section titled “Stap 4 — Verificatie”Doe na setup minimaal deze twee checks:
SSO-login
- Open de webapp-URL van jouw organisatie (standaard
https://app.prudai.com, of de tenant-specifieke URL die je van Prudai hebt gekregen) in een incognito-venster. - Kies Login met Microsoft.
- Controleer dat je als eindgebruiker in het gebruikersmenu rechtsboven staat.
SharePoint-import
- Maak een testproject aan via Importeer vanuit SharePoint.
- Selecteer een kleine site of één top-level folder.
- Wacht tot de importjob klaar is en open een geïmporteerd document.
Lukt beide → klaar.
Troubleshooting
Section titled “Troubleshooting”| Symptoom | Oorzaak | Oplossing |
|---|---|---|
| Gebruiker krijgt “AADSTS50011: redirect URI mismatch” | Redirect URI in Entra is niet exact gelijk aan Keycloak broker endpoint | Kopieer de URI precies uit stap 1, inclusief realm-naam. Geen trailing slash. |
| ”Consent required” bij elke login | Admin consent ontbreekt | Ga in Entra naar API permissions en klik Grant admin consent. |
| SharePoint-knop blijft “Not connected” | OAuth refresh token ontbreekt of is verlopen (bijv. na secret-rotatie) | Herhaal stap 3 (opnieuw verbinden via Instellingen). |
Permission denied op specifieke site | Het verbindingsaccount heeft geen rechten op die site | Geef het account SharePoint-leesrechten of verbind met een account dat die rechten al heeft. |
| SSO werkt, maar gebruiker krijgt geen product-toegang | E-maildomein staat nog niet op de allow-list van de organisatie, of entitlements ontbreken | Stuur het domein door aan Prudai-support; zie Inloggen & productkeuze. |
| Client secret verlopen | Secret heeft een end-date bereikt | Maak in Entra een nieuwe secret, stuur door aan Prudai. Herhaal daarna stap 3. |
Onderhoud
Section titled “Onderhoud”- Client secret: noteer de vervaldatum in je eigen agenda. Plan rotatie ruim vóór de vervaldatum; een verlopen secret blokkeert zowel SSO als SharePoint-sync.
- Scope uitbreiden: extra Graph-scopes vereisen opnieuw admin consent.
- Offboarden gebruiker: uitschakelen in Entra volstaat. Een intrekking van
offline_accessstopt ook de SharePoint-sync voor die gebruiker.
Meer algemene informatie: Privacy & beveiliging · Problemen oplossen & support.