Eenvoudige handleiding voor het instellen van Single Sign-On (SSO) op WordPress 

Het beheren van meerdere gebruikersnamen en wachtwoorden voor verschillende tools is een behoorlijke uitdaging. Of je nu een ledensite, een teamintranet of een groot WordPress-netwerk beheert, het constant wisselen van inloggegevens zorgt voor wrijving en brengt tegelijkertijd beveiligingsrisico's met zich mee. WordPress Single Sign-On (SSO) lost beide problemen in één keer op. In deze handleiding leggen we stap voor stap uit hoe SSO werkt, waarom het belangrijk is en hoe je het op je site kunt instellen.

Kort samengevat: SSO instellen in WordPress

• Met WordPress SSO kunnen gebruikers één keer inloggen en toegang krijgen tot meerdere tools zonder steeds opnieuw wachtwoorden te hoeven invoeren.

• SAML 2.0 is het veiligste en meest gebruikte SSO-protocol voor WordPress, ideaal voor teams en grote bedrijven.

• SSO vermindert het hergebruik van wachtwoorden, centraliseert het gebruikersbeheer en vereenvoudigt compliance-audits aanzienlijk.

• Je hebt een zelfgehoste WordPress.org-site met HTTPS nodig voordat je SSO kunt instellen.

• De miniOrange SAML SSO-plugin is de eenvoudigste manier om WordPress te verbinden met providers zoals Google Workspace, Okta of Microsoft Azure AD.

• Op een WordPress-multisite-netwerk hoeft u SSO slechts één keer op de hoofdsite te configureren.

• Test je configuratie altijd eerst in de testomgeving voordat je deze naar de productieomgeving doorvoert.

• Stel de standaard gebruikersrol in op Abonnee, niet op Redacteur of Beheerder.

Wat is Single Sign-On (SSO) op WordPress?

Single Sign-On is een authenticatiemethode waarmee gebruikers zich één keer kunnen aanmelden en toegang krijgen tot meerdere tools, apps of websites zonder hun inloggegevens opnieuw te hoeven invoeren.

In plaats van dat WordPress zelf elk wachtwoord opslaat en verifieert, delegeert het die taak aan een vertrouwd extern systeem, een zogenaamde identiteitsprovider (IdP).

Zie het als een hoofdsleutelkaart. In plaats van aparte sleutels voor elke deur, opent één kaart alles. Voor teams die Google Workspace, Microsoft Azure AD of Okta gebruiken, betekent dit dat medewerkers toegang hebben tot WordPress met hetzelfde account dat ze gebruiken voor e-mail, projecttools en al het andere.

SSO is met name waardevol voor organisaties, ledenplatformen, e-learningwebsitesen elke WordPress-installatie waar meerdere gebruikers toegang nodig hebben tot verschillende systemen.

Hoe werkt SAML SSO met WordPress?

SAML staat voor Security Assertion Markup Language. Het is een open standaard die de veilige uitwisseling van authenticatiegegevens tussen twee partijen regelt: de identiteitsaanbieder (IdP) en de serviceaanbieder (SP).

Bij een WordPress SSO-configuratie fungeert uw WordPress-site als de serviceprovider. Zo werkt het in de praktijk:

• Een gebruiker probeert toegang te krijgen tot uw WordPress-site.
• WordPress stuurt ze door naar de inlogpagina van de identiteitsprovider.
• De gebruiker voert daar zijn of haar inloggegevens in.
• De identiteitsprovider (IdP) verifieert de identiteit en stuurt een ondertekende SAML-verklaring terug naar WordPress.
• WordPress leest die bewering en logt de gebruiker automatisch in.

WordPress slaat het wachtwoord op geen enkel moment direct op en valideert het ook niet. Dat maakt SAML SSO aanzienlijk veiliger dan standaard WordPress-aanmeldingen.

SAML versus OAuth versus OpenID Connect

Deze drie protocollen maken alle drie SSO mogelijk, maar dienen verschillende gebruiksdoelen.

• SAML 2.0 is de voorkeurskeuze voor bedrijfsomgevingen, intranetten en B2B-portals. Het is robuust, zeer veilig en wordt ondersteund door vrijwel alle belangrijke identiteitsproviders (IdP's).

• OAuth 2.0 is beter geschikt voor apps die rechtstreeks door consumenten worden gebruikt en die een inlogfunctie via sociale media nodig hebben.

• OpenID Connect bouwt voort op OAuth en is een solide tussenoplossing voor lidmaatschapssites en SaaS-producten met veel gebruikersverkeer.

Voor de meeste WordPress-sites met teamtoegang, zakelijke klanten of interne tools is SAML de juiste keuze.

Waarom zou je SSO op je WordPress-site moeten instellen?

Voordat je met de installatie begint, is het handig om te begrijpen wat je er precies mee wint. SSO is niet zomaar een handige functie. Het verandert de manier waarop toegangsbeheer binnen je hele organisatie werkt.

Betere beveiliging, minder wachtwoorden

Wanneer gebruikers één sterk wachtwoord gebruiken in plaats van meerdere, voorkomen ze dat ze zwakke inloggegevens hergebruiken op verschillende platforms. Wachtwoordhergebruik is een van de meest voorkomende oorzaken van diefstal van inloggegevens. SSO elimineert die kwetsbaarheid door WordPress-wachtwoorden volledig uit te sluiten.

Vereenvoudigd gebruikersbeheer

Als beheerder kunt u via uw identiteitsprovider toegang verlenen of intrekken, en de wijzigingen worden direct doorgevoerd op alle gekoppelde platforms. Wanneer een medewerker vertrekt, deactiveert u één account en verliest hij of zij de toegang tot alles. Het is niet nodig om handmatig accounts op verschillende systemen op te sporen en uit te schakelen.

Minder wrijving voor uw team

Snellere toegang tot tools betekent een productiever team. Minder vergeten wachtwoorden betekent ook minder supporttickets. Voor bureaus die meerdere klantwebsites beheren of bedrijven met grote WordPress-netwerken, loopt dit snel op. Gebruikers hoeven maar één keer in te loggen en kunnen meteen aan de slag.

Compliance en auditgereedheid

SSO centraliseert authenticatielogboeken op één locatie. Dit maakt van GDPR- en HIPAA-regelgeving aanzienlijk eenvoudiger. Elke inloggebeurtenis is gekoppeld aan de identiteitsprovider (IdP), waardoor u een duidelijk auditspoor hebt zonder dat u op elk platform aparte logboekregistratie hoeft in te stellen.

Hoe kan Seahawk Media u helpen bij het instellen van WordPress SSO?

Het instellen van SSO omvat meer dan alleen het doorlopen van een plugin-wizard. Een correcte IdP-configuratie, attribuuttoewijzing, rolbeheer en productietesten vereisen allemaal zorgvuldige aandacht. Een verkeerde configuratie in welke stap dan ook kan leiden tot inlogfouten of ongewenste toegang.

Bij Seahawk Mediawerken we samen met bureaus, bedrijven en groeiende WordPress-ondernemingen om veilige en betrouwbare SSO-oplossingen te implementeren die aansluiten op de manier waarop uw team daadwerkelijk werkt.

Of u nu een bestaande website migreert naar SSO of een nieuw, geauthenticeerd portaal vanaf nul opbouwt, ons team neemt de technische details voor zijn rekening, zodat u zich kunt concentreren op uw bedrijf.

Neem contact met ons op om uw behoeften op het gebied van WordPress-beveiliging en toegangsbeheer te bespreken.

Wat heb je nodig voordat je begint?

Door deze checklist door te nemen voordat je begint, bespaar je later tijd.

• Je hebt een zelfgehoste WordPress.org-installatie nodig. WordPress.com ondersteunt geen aangepaste SAML-plugins, dus deze configuratie werkt alleen op sites die je zelf host.

• HTTPS moet op uw site ingeschakeld zijn. SAML vereist versleutelde communicatie, dus een geldig SSL-certificaat is niet optioneel.

• Je hebt ook beheerdersrechten nodig voor zowel WordPress als de door jou gekozen identiteitsprovider.

In deze handleiding als voorbeeld gebruikt, maar dezelfde principes zijn van toepassing op Okta, Microsoft Azure AD, OneLogin en andere identiteitsproviders.

Stappen om Single Sign-On (SSO) in te stellen op WordPress

De eenvoudigste manier om Single Sign-On (SSO) in WordPress in te schakelen is met de miniOrange SAML SSO-plugin. Deze ondersteunt meer dan 50 identiteitsproviders, werkt met WordPress multisite-netwerken en heeft een gratis versie die de meeste standaardconfiguraties dekt.

Stap 1: Installeer de SAML SSO-plugin op WordPress

Log in op je WordPress-dashboard en ga naar Plugins, vervolgens naar Nieuwe toevoegen. Zoek naar "miniOrange SAML Single Sign On" en installeer deze. Zodra de plugin is geactiveerd, ga je naar miniOrange SAML 2.0 SSO in je zijbalk. Hier vind je alle configuratie-opties.

Deze plugin transformeert je WordPress-site in een SAML-compatibele serviceprovider. Dit betekent dat je site SAML-assertions kan ontvangen en valideren van elke compatibele identiteitsprovider waarmee je de site verbindt.

Stap 2: Zoek de metadata van uw serviceprovider

Klik in de plugin op het tabblad Pluginconfiguratie en open vervolgens het tabblad Serviceprovidermetadata. Hier ziet u twee belangrijke waarden: de ACS-URL (Assertion Consumer Service URL) en de entiteits-ID.

Houd deze pagina open. U moet deze waarden in de volgende stap kopiëren naar uw identiteitsprovider. De ACS-URL geeft aan waar de IdP de SAML-assertie na een succesvolle aanmelding naartoe stuurt. De entiteits-ID identificeert uw WordPress-site uniek voor de IdP.

Stap 3: Verbind uw identiteitsprovider (voorbeeld: Google Workspace)

Log in bij uw Google Admin Console via admin.google.com. Ga in de zijbalk naar Apps en klik vervolgens op Web- en mobiele apps. Open het vervolgkeuzemenu 'App toevoegen' en selecteer 'Aangepaste SAML-app toevoegen'.

• Geef je app een duidelijke naam, bijvoorbeeld 'WordPress SSO', en klik op Doorgaan. Klik op het volgende scherm op Metagegevens downloaden. Hiermee download je een XML-bestand met de gegevens van je identiteitsprovider. Sla dit bestand op, je hebt het straks nodig.

• Scroll naar beneden en klik op Doorgaan om het formulier met de serviceprovidergegevens te openen. Ga terug naar je WordPress-dashboard en kopieer de ACS-URL en de entiteits-ID van de miniOrange-plugin. Plak deze in de overeenkomstige velden in Google Admin Console. Vergeet niet het vakje 'Ondertekend antwoord' aan te vinken.

• Selecteer bij de naam-ID-indeling EMAIL en stel de naam-ID in op Basisgegevens, vervolgens Primair e-mailadres. Klik op Doorgaan, voeg eventuele attribuuttoewijzingen toe die u nodig hebt, zoals voornaam en achternaam, en klik vervolgens op Voltooien.

• De laatste stap in Google Admin Console is het activeren van de app. Zoek de schakelaar die 'UIT' voor iedereen aangeeft en zet deze op 'AAN' voor iedereen. Sla je wijzigingen op.

Houd er rekening mee dat Okta, Azure AD en OneLogin een zeer vergelijkbaar proces volgen. De documentatie van de plugin beschrijft de specifieke stappen voor elke identiteitsprovider als u iets anders dan Google Workspace gebruikt.

Stap 4: Upload uw IdP-metadata naar WordPress

Ga terug naar de miniOrange-plugin in WordPress.

• Ga naar Serviceproviderinstellingen en selecteer Google Apps als uw identiteitsprovider (IdP). Ga vervolgens naar het tabblad IDP-metagegevens uploaden.

• Geef een naam op voor uw identiteitsprovider en upload vervolgens het XML-bestand dat u hebt gedownload van de Google Admin Console. Klik op Uploaden.

De plugin analyseert de metadata en vult automatisch de IdP-gegevens in. Gebruik de knop 'Testconfiguratie' om te controleren of de verbinding werkt voordat u verdergaat. Los eventuele fouten op die hier worden aangegeven voordat u verdergaat.

Stap 5: Gebruikerskenmerken in kaart brengen en rollen toewijzen

Ga in de plugin naar het tabblad 'Attribuut-/roltoewijzing'. Hier geef je WordPress aan hoe de gebruikersinformatie van de identiteitsprovider (IdP) aan de gebruikersvelden van WordPress moet worden gekoppeld.

• Koppel de velden voor voornaam, achternaam en e-mailadres aan de overeenkomstige WordPress-attributen.

• Scrol omlaag naar het gedeelte 'Roltoewijzing' en kies een standaardrol voor nieuwe gebruikers die zich aanmelden via SSO. Stel dit zorgvuldig in.

• 'Abonnee' is de veiligste standaardoptie voor de meeste configuraties. Je kunt individuele gebruikers altijd handmatig een hogere rol geven.

• Het toewijzen van de rol 'Editor' of 'Administrator' als standaardrol vormt een aanzienlijk beveiligingsrisico. Klik op 'Bijwerken' om uw instellingen op te slaan.

Vanaf nu zien gebruikers die uw inlogpagina bezoeken een knop 'Inloggen met' die hen doorverwijst naar uw identiteitsprovider voor authenticatie.

SSO instellen op WordPress Multisite

Als je een WordPress-multisitenetwerk , is de configuratie veel eenvoudiger dan het klinkt. Configureer SSO één keer op de hoofdsite van het netwerk en de authenticatie wordt automatisch uitgebreid naar elke subsite in het netwerk. Je hoeft de configuratie niet op elke afzonderlijke site te herhalen.

Dit maakt SSO bijzonder nuttig voor bureaus die meerdere klantlocaties beheren binnen één netwerk, of voor grote organisaties met afdelingsspecifieke subwebsites. Gebruikers loggen in op de hoofdsite en behouden hun sessie op alle subwebsites waartoe ze toegang hebben.

Veelvoorkomende fouten bij het instellen van SSO die u moet vermijden

De meeste SSO-problemen zijn terug te voeren op een paar vermijdbare fouten. Weten waar je op moet letten, bespaart veel tijd bij het oplossen van problemen.

Niet-overeenkomende e-maildomeinen

Het e-mailadres dat aan een WordPress-gebruiker is gekoppeld, moet exact overeenkomen met het e-mailadres dat is geregistreerd bij de identiteitsprovider (IdP). Als een teamlid een persoonlijk Gmail-adres gebruikt in WordPress, maar inlogt via een zakelijk Google Workspace-account, zal de single sign-on (SSO) de accounts niet correct koppelen. Zorg er altijd voor dat de e-mailadressen overeenkomen voordat u SSO inschakelt voor bestaande gebruikers.

De test overslaan voordat je live gaat

De knop 'Testconfiguratie' in de plugin is er niet voor niets. Gebruik deze in een testomgeving voordat u SSO in de productieomgeving inschakelt. Een verkeerd geconfigureerde assertie of een onjuiste ACS-URL kan ervoor zorgen dat u en uw gebruikers volledig de toegang tot de site verliezen. Test altijd eerst.

De verkeerde standaardrol toewijzen

Nieuwe gebruikers die via SSO worden aangemaakt, krijgen automatisch de standaardrol die u in de plugin configureert. Als u deze instelt op Editor of Beheerder, krijgt iedereen in uw IdP die uw site bezoekt automatisch verhoogde machtigingen. Begin met de rol Abonnee en wijs handmatig hogere rollen toe aan specifieke gebruikers.

SSO versus sociale login op WordPress: wat is het verschil?

Sociale login en SSO zijn verwant, maar ontworpen voor verschillende doelgroepen.

Inloggen via sociale media stelt bezoekers in staat om in te loggen met hun bestaande accounts op platforms zoals Google of Facebook. Dit werkt goed voor websites die zich richten op consumenten, blogs en webwinkels waar het belangrijkste doel is om de aanmelddrempel te verlagen.

SAML SSO is ontworpen voor organisaties die behoefte hebben aan gecentraliseerde toegangscontrole en beveiligingsbeleid.

Het integreert met bedrijfsidentiteitsproviders zoals Azure AD en Okta, ondersteunt op rollen gebaseerd toegangsbeheer en biedt de auditsporen die vereist zijn in gereguleerde sectoren.

Als u een openbare ledensite beheert, is inloggen via sociale media wellicht voldoende. Beheert u echter interne teamtoegang of zakelijke klantportalen, dan is SAML SSO de juiste keuze.

Afronding

WordPress Single Sign-On vereenvoudigt het leven voor alle betrokkenen. Gebruikers hoeven niet meer met wachtwoorden te jongleren, beheerders beheren de toegang vanuit één centrale plek en uw website wordt daardoor aanzienlijk veiliger.

Begin met de SAML SSO-plugin, verbind uw identiteitsprovider, test de configuratie grondig en voeg 2FA voor extra bescherming.

Als u hulp nodig heeft om dit in één keer goed te doen, staat Seahawk Media voor u klaar. Wij zijn gespecialiseerd in WordPress-beveiliging, -prestaties en maatwerkoplossingen voor bureaus en bedrijven die zich geen fouten kunnen veroorloven.

Veelgestelde vragen over SSO op WordPress