Het instellen van SAML-authenticatie in FastComments vereist zowel configuratie in uw beheerdersdashboard als configuratie bij uw identiteitsprovider.

Vereisten

Voordat u SAML configureert, zorgt u ervoor dat u:

• Een FastComments Flex- of Pro-plan (SAML is niet beschikbaar op het Creators-plan)
• Administratieve toegang tot uw FastComments-account
• Administratieve toegang tot uw identiteitsprovider
• De SAML-metadata of certificaatgegevens van uw IdP

Toegang tot SAML-configuratie

1. Log in op uw FastComments-beheerdersdashboard
2. Navigeer naar API/SSO-instellingen in de linkerzijbalk
3. Klik op de knop SAML-configuratie

Als u de knop SAML-configuratie niet ziet, controleer dan of:

• Uw account het vereiste pakket heeft (Flex of Pro)
• U administratieve rechten heeft
• Uw gebruiker de rollen API Admin of Admin Admin heeft

Basis SAML-configuratie

SAML-authenticatie inschakelen

1. Vink het selectievakje SAML-authenticatie inschakelen aan
2. Hiermee activeert u SAML voor uw tenant en worden de configuratievelden beschikbaar

Vereiste velden

IdP Single Sign-On URL (Vereist)

• De URL waar gebruikers naartoe worden omgeleid voor authenticatie
• Wordt meestal door uw identiteitsprovider geleverd
• Example: https://your-company.okta.com/app/fastcomments/sso/saml

IdP X.509 Certificate (Vereist)

• Het openbare certificaat van uw identiteitsprovider
• Wordt gebruikt om de authenticiteit van SAML-responses te verifiëren
• Moet het volledige certificaat met BEGIN/END-markeringen bevatten
• Example format: ```
• ----BEGIN CERTIFICATE----- MIICXjCCAcegAwIBAgIBADANBgkqhkiG9w0BAQsFADA...
• ----END CERTIFICATE-----

Optionele velden

IdP Entity ID / Issuer

• Identificeert uw identiteitsprovider
• Als het leeg blijft, wordt standaard uw FastComments-URL gebruikt
• Moet overeenkomen met de issuer die in uw IdP is geconfigureerd

Geavanceerde configuratie

Beveiligingsinstellingen

Signature Algorithm

• Standaard SHA-256 (aanbevolen)
• Opties: SHA-1, SHA-256, SHA-512
• Moet overeenkomen met de configuratie van uw IdP

Digest Algorithm

• Standaard SHA-256 (aanbevolen)
• Wordt gebruikt voor de digest-berekening in SAML-responses
• Moet overeenkomen met de configuratie van uw IdP

Name ID Format

• Standaard: e-mailadresformaat
• Bepaalt hoe gebruikersidentificaties worden opgemaakt
• Veelvoorkomende opties: Email Address, Persistent, Transient

Encryptie (optioneel)

Private Key for Decryption

• Alleen nodig als uw IdP SAML-asserties versleutelt
• Plak uw privésleutel die wordt gebruikt voor ontsleuteling
• De meeste implementaties vereisen geen encryptie van assertions

Configuratie opslaan

1. Controleer alle instellingen op juistheid
2. Klik op SAML-configuratie opslaan
3. Het systeem zal uw configuratie valideren
4. Als het succesvol is, ziet u een bevestigingsbericht

Volgende stappen

Nadat u uw FastComments SAML-configuratie hebt opgeslagen:

1. Configureer uw identiteitsprovider met behulp van de Service Provider-informatie
2. Test de authenticatiestroom
3. Stel gebruikersrollen en machtigingen in indien nodig

De Service Provider-informatie die nodig is voor de configuratie van uw IdP wordt weergegeven zodra SAML is ingeschakeld.

Nadat u SAML in FastComments hebt geconfigureerd, moet u FastComments instellen als Service Provider in uw identiteitsprovider.

Algemene IdP-configuratie

De meeste identiteitsproviders vereisen de volgende informatie om FastComments toe te voegen als een SAML-applicatie:

Vereiste Service Provider-informatie

Deze waarden worden automatisch gegenereerd en weergegeven op uw FastComments SAML-configuratiepagina:

SP Entity ID / Audience

• Format: https://fastcomments.com/saml/{your-tenant-id}
• Dit identificeert uw FastComments-instantie op unieke wijze

Assertion Consumer Service (ACS) URL

• Format: https://fastcomments.com/saml/callback/{your-tenant-id}
• Waar uw IdP SAML-responses na authenticatie naartoe stuurt

SP Metadata URL (indien ondersteund door uw IdP)

• Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
• Biedt volledige SAML-configuratie in XML-formaat

SAML Login URL

• Format: https://fastcomments.com/saml/login/{your-tenant-id}
• Directe link om SAML-authenticatie te starten

Vereiste SAML-attributen

Configureer uw identiteitsprovider zodat deze deze attributen meestuurt in SAML-responses:

Essentiële attributen

E-mailadres (Vereist)

• Attribuurnaam: email, emailAddress, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
• Doel: Unieke gebruikersidentificatie en meldingen
• Formaat: Geldig e-mailadres

Optionele attributen

Voornaam

• Attribuurnamen: firstName, givenName, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
• Doel: Weergavenaam van de gebruiker

Achternaam

• Attribuurnamen: lastName, surname, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
• Doel: Weergavenaam van de gebruiker

Rollen (Belangrijk voor toegangscontrole)

• Attribuurnamen: roles, groups, memberOf, or custom attribute names
• Doel: Toewijzing van FastComments-rollen en machtigingen
• Formaat: Array van rol-strings of door komma's gescheiden waarden

Veelvoorkomende configuraties van identiteitsproviders

Microsoft Azure AD

1. Enterprise-applicatie toevoegen

   • Zoek naar "FastComments" of maak een aangepaste SAML-applicatie
   • Gebruik de SP-informatie die door FastComments wordt geleverd

2. Configureer attributen

   • E-mail: user.mail of user.userprincipalname
   • Voornaam: user.givenname
   • Achternaam: user.surname
   • Rollen: user.assignedroles of groepen uit de directory

Okta

1. Maak SAML-app aan

   • Gebruik "Create New App" en selecteer SAML 2.0
   • Configureer met FastComments SP-informatie

2. Attribuutverklaringen

   • E-mail: user.email
   • Voornaam: user.firstName
   • Achternaam: user.lastName
   • Rollen: user.groups of aangepaste attributen

Google Workspace

1. Voeg SAML-applicatie toe

   • Ga naar Apps > Web- en mobiele apps > App toevoegen > Aangepaste SAML-app toevoegen
   • Configureer met FastComments SP-informatie

2. Attribuuttoewijzing

   • E-mail: Primair e-mailadres
   • Voornaam: Voornaam
   • Achternaam: Achternaam
   • Rollen: Groepen of aangepaste attributen

Active Directory Federation Services (ADFS)

1. Relying Party Trust toevoegen

   • Gebruik de FastComments-metadata-URL of handmatige configuratie
   • Configureer SP-informatie zoals geleverd

2. Claim-regels

   • E-mail: E-mailadres-claim
   • Naam: Name ID-claim
   • Rollen: Groepslidmaatschap of aangepaste claims

Flexibiliteit van attribuutnamen

FastComments accepteert rolinformatie van meerdere attribuutnamen om verschillende IdP-configuraties te ondersteunen:

• roles
• groups
• memberOf
• role
• group
• http://schemas.microsoft.com/ws/2008/06/identity/claims/role
• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

Deze flexibiliteit zorgt voor compatibiliteit met verschillende identiteitsproviders zonder specifieke naamgevingsconventies voor attributen te vereisen.

Het testen van uw configuratie

Na het configureren van uw identiteitsprovider:

1. Sla de IdP-configuratie op
2. Test met een speciale testgebruikersaccount
3. Controleer of attributen correct worden verzonden
4. Controleer of rollen correct zijn toegewezen
5. Zorg dat de authenticatiestroom succesvol wordt voltooid

De meeste identiteitsproviders bieden SAML-testtools om de configuratie te valideren voordat u deze voor productgebruikers in gebruik neemt.

Wanneer SAML is ingeschakeld in FastComments, genereert het systeem automatisch Service Provider (SP)-informatie die u moet configureren in uw identiteitsprovider.

Toegang tot Service Provider-informatie

De SP-informatie wordt weergegeven op uw SAML-configuratiepagina nadat SAML-authenticatie is ingeschakeld. Deze informatie bevat alle details die uw identiteitsprovider nodig heeft om de SAML-trustrelatie tot stand te brengen.

Service Provider-eindpunten

SP Entity ID / Audience

Doel: Identificeert uw FastComments-instantie als serviceprovider Formaat: https://fastcomments.com/saml/{your-tenant-id} Gebruik: Configureer dit als de Entity ID of Audience in uw IdP

Deze identifier zorgt ervoor dat SAML-antwoorden bedoeld zijn voor uw specifieke FastComments-tenant en voorkomt dat SAML-antwoorden door andere instanties worden geaccepteerd.

Assertion Consumer Service (ACS) URL

Doel: Het eindpunt waar uw IdP SAML-antwoorden na gebruikersauthenticatie naartoe stuurt Formaat: https://fastcomments.com/saml/callback/{your-tenant-id} Gebruik: Configureer dit als de ACS-URL of Reply URL in uw IdP

Hier worden gebruikers na succesvolle authenticatie bij uw identiteitsprovider naartoe doorgestuurd, samen met de SAML-assertion die gebruikersinformatie bevat.

SP Metadata URL

Doel: Biedt volledige SAML-configuratie in standaard XML-formaat Formaat: https://fastcomments.com/saml/metadata/{your-tenant-id} Gebruik: Sommige IdP's kunnen configuratie automatisch importeren met deze URL

De metadata-URL bevat alle benodigde SP-informatie in XML-formaat, wat het eenvoudig maakt om compatibele identiteitsproviders automatisch te configureren.

SAML Login URL

Doel: Directe link om SAML-authenticatie voor uw tenant te starten Formaat: https://fastcomments.com/saml/login/{your-tenant-id} Gebruik: Leid gebruikers rechtstreeks naar SAML-authenticatie of test de flow

U kunt deze URL gebruiken om SAML-authenticatie te testen of gebruikers een directe link te geven om zich via SAML aan te melden.

Ondersteunde SAML-bindings

FastComments ondersteunt de volgende SAML-bindings:

HTTP-POST-binding

• Primaire methode: Meest voorkomende binding voor SAML-antwoorden
• Beveiliging: SAML-antwoord wordt via HTTP POST naar de ACS-URL verzonden
• Gebruik: Aanbevolen voor productie-implementaties

HTTP-Redirect-binding

• Alternatieve methode: SAML-antwoord verzonden via HTTP-redirect
• Beperkingen: Beperkte payloadgrootte door URL-lengtebeperkingen
• Gebruik: Ondersteund maar HTTP-POST heeft de voorkeur

Name ID-beleid

FastComments configureert het volgende Name ID-beleid in SAML-verzoeken:

• Standaardformaat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Alternatieve formaten: Persistent, Transient, Unspecified (configureerbaar)
• Vereiste: Het e-mailadres wordt gebruikt als de primaire gebruikersidentificator

SAML-verzoekattributen

Bij het initiëren van SAML-authenticatie stuurt FastComments verzoeken met deze eigenschappen:

Ondertekening van verzoeken

• Status: Optioneel (configureerbaar)
• Algoritme: Komt overeen met het geconfigureerde handtekeningalgoritme
• Certificaat: Gebruikt tenant-specifiek certificaat als ondertekening van verzoeken is ingeschakeld

Gevraagde attributen

FastComments vraagt de volgende attributen op in SAML AuthnRequests:

• Email: Vereist voor gebruikersidentificatie
• First Name: Optioneel voor weergave
• Last Name: Optioneel voor weergave
• Roles/Groups: Optioneel voor toegangscontrole en permissies

SP-informatie kopiëren

De SAML-configuratiepagina biedt klikbare velden die SP-informatie automatisch naar uw klembord kopiëren:

1. Klik op een SP-informatief veld (Entity ID, ACS URL, enz.)
2. De waarde wordt automatisch naar uw klembord gekopieerd
3. Plak de waarde in de configuratie van uw identiteitsprovider
4. Een korte markering geeft aan dat het kopiëren succesvol was

Dit maakt het eenvoudig om de SP-informatie nauwkeurig over te dragen naar uw IdP zonder typefouten.

SP-certificaata informatie

Gebruik van certificaten

• Doel: Versleutelt communicatie en verifieert SP-identiteit
• Rotatie: Certificaten worden automatisch beheerd door FastComments
• Toegang: Publieke certificaten zijn beschikbaar via de metadata-URL

Certificaatdetails

• Algoritme: RSA-2048 of hoger
• Geldigheid: Certificaten worden automatisch vernieuwd vóór expiratie
• Distributie: Beschikbaar via standaard SAML-metadata

Problemen oplossen bij SP-configuratie

Als uw identiteitsprovider problemen meldt met SP-informatie:

1. Controleer URL's: Zorg dat alle URL's HTTPS gebruiken en het juiste tenant-ID bevatten
2. Controleer metadata: Gebruik de metadata-URL om de configuratie te verifiëren
3. Test connectiviteit: Zorg dat uw IdP de FastComments-eindpunten kan bereiken
4. Valideer formaat: Bevestig dat uw IdP het SP-informatieformaat ondersteunt

Veelvoorkomende problemen zijn onder andere:

• Onjuist tenant-ID in URL's
• Netwerkconnectiviteitsproblemen tussen IdP en FastComments
• IdP verwacht andere URL-formaten of aanvullende configuratieopties

Testing van uw SAML-configuratie zorgt ervoor dat authenticatie correct werkt voordat u deze voor productgebruiker inzet.

Pre-Testcontrolelijst

Voordat u SAML-authenticatie test, controleer:

• ✅ SAML is ingeschakeld in FastComments
• ✅ Alle vereiste velden zijn ingevuld (IdP URL, Certificaat)
• ✅ Identiteitsprovider is geconfigureerd met FastComments SP-informatie
• ✅ Er bestaat een testgebruikersaccount in uw IdP
• ✅ Testgebruiker heeft de juiste rollen toegewezen gekregen

Testmethoden

Methode 1: Directe SAML-login-URL

1. Verkrijg SAML-login-URL:

   • Kopieer vanaf uw SAML-configuratiepagina
   • Formaat: https://fastcomments.com/saml/login/{your-tenant-id}

2. Authenticatie testen:

   • Open de SAML-login-URL in een incognito-/privébrowservenster
   • U zou worden doorgestuurd naar uw identiteitsprovider
   • Meld u aan met testgegevens
   • Controleer of u succesvol terug wordt doorgestuurd naar FastComments

Methode 2: Toegang via Admin-dashboard

1. Navigeer naar FastComments:

   • Ga naar FastComments admin dashboard
   • Zoek naar de SAML-aanmeldoptie of gebruik de SAML-login-URL

2. Voltooi de authenticatiestroom:

   • Authenticateer via uw identiteitsprovider
   • Controleer toegang tot de juiste adminfuncties op basis van toegewezen rollen

Methode 3: Widget-integratietesten

Voor het testen van SAML met comment-widgets:

1. Widget insluiten: Gebruik de FastComments-widget op een testpagina
2. Authenticatie: Klik op aanmelden en selecteer de SAML-optie (indien beschikbaar)
3. Verificatie: Bevestig dat de gebruiker als geauthenticeerd verschijnt in de widget

Wat te controleren tijdens het testen

Authenticatiestroom

Succesvolle omleiding:

• Gebruiker wordt doorgestuurd naar de IdP-aanmeldpagina
• De IdP-aanmeldpagina wordt correct geladen
• Er treden geen certificaat- of SSL-fouten op

IdP-authenticatie:

• Gebruiker kan inloggen met hun IdP-referenties
• Multi-factor-authenticatie werkt (als geconfigureerd)
• Geen authenticatiefouten van de IdP

Terugkeer naar FastComments:

• Gebruiker wordt na succesvolle IdP-aanmelding teruggeleid naar FastComments
• Geen validatiefouten van de SAML-assertie
• Gebruiker krijgt toegang tot de juiste FastComments-functies

Gebruikersinformatie

Basisprofielgegevens:

• E-mailadres wordt correct vastgelegd
• Voor- en achternaam verschijnen indien opgegeven
• Gebruikersprofiel wordt aangemaakt of bijgewerkt

Roltoewijzing:

• Administratieve rollen zijn correct toegewezen
• Gebruiker heeft toegang tot verwachte adminfuncties
• Rechten komen overeen met de toegewezen rollen

Validatie van SAML-respons

Certificaatverificatie:

• Handtekening van de SAML-respons wordt succesvol gevalideerd
• Geen certificaatvalidatiefouten in logs
• Respons wordt als authentiek geaccepteerd

Attribuutverwerking:

• Vereiste attributen (email) zijn aanwezig
• Optionele attributen worden correct verwerkt
• Rolattributen worden correct geparseerd en toegepast

Testen van verschillende scenario's

Standaard gebruikersstroom

1. Nieuwe gebruiker:

   • Eerste SAML-aanmelding
   • Accountaanmaak
   • Toewijzing van basisrechten

2. Bestaande gebruiker:

   • Terugkerende gebruiker meldt zich aan
   • Profielupdates
   • Rolwijzigingen

Testen van administratieve toegang

1. Admin-rollen:

   • Test gebruikers met fc-admin-admin rol
   • Controleer toegang tot het admin-dashboard
   • Bevestig administratieve mogelijkheden

2. Gespecialiseerde rollen:

   • Test fc-moderator toegang tot moderatiefuncties
   • Test fc-analytics-admin toegang tot analytics
   • Test fc-billing-admin toegang tot factureringsfuncties

Foutscenario's

1. Ongeldige certificaten:

   • Test met verlopen of onjuiste certificaten
   • Controleer juiste foutafhandeling

2. Ontbrekende attributen:

   • Test SAML-responsen zonder het vereiste e-mailattribuut
   • Controleer dat fouten netjes worden afgehandeld

3. Netwerkproblemen:

   • Test bij connectiviteitsproblemen
   • Controleer time-outafhandeling

Problemen oplossen bij tests

Veelvoorkomende authenticatieproblemen

Omleidingslus:

• Controleer of de SP Entity ID overeenkomt met de IdP-configuratie
• Controleer of de ACS-URL correct is geconfigureerd
• Bevestig dat de SAML-bindinginstellingen overeenkomen

Certificaatfouten:

• Zorg dat het certificaat BEGIN/END-markeringen bevat
• Controleer of het certificaat niet is verlopen
• Controleer op extra witruimte of opmaakproblemen

Attributenproblemen:

• Bevestig dat het e-mailattribuut wordt verzonden
• Controleer of rolattributen de juiste naamgeving gebruiken
• Controleer attribuutformaat (array vs. komma-gescheiden)

Foutopsporingshulpmiddelen

Ontwikkelaarstools van de browser:

• Monitor netwerkverzoeken tijdens de SAML-stroom
• Controleer op HTTP-fouten of omleidingen
• Onderzoek SAML POST-gegevens (indien zichtbaar)

IdP-testhulpmiddelen:

• De meeste IdP's bieden SAML-testinterfaces
• Gebruik IdP-hulpmiddelen om het SAML-responsformaat te valideren
• Test attribuutconfiguratie voordat u naar FastComments verzendt

FastComments-ondersteuning:

• Schakel debuglogging in tijdens het testen
• Sla foutmeldingen en tijdstempels op
• Neem contact op met de ondersteuning met specifieke foutdetails

Beste praktijken voor testen

Testomgeving instellen

1. Specifieke testgebruikers:

   • Maak specifieke testaccounts aan in uw IdP
   • Wijs verschillende rolcombinaties toe
   • Gebruik gemakkelijk identificeerbare test-e-mailadressen

2. Geïsoleerd testen:

   • Gebruik incognito-/privébrowservensters
   • Wis cookies tussen tests
   • Test met verschillende gebruikersaccounts

3. Documentatie:

   • Leg testsituaties en resultaten vast
   • Documenteer eventuele benodigde configuratiewijzigingen
   • Noteer details van succesvolle configuraties

Validatie vóór productie

1. Uitgebreid testen:

   • Test alle rolcombinaties
   • Controleer randgevallen en foutcondities
   • Bevestig dat de prestaties acceptabel zijn

2. Gebruikersacceptatie:

   • Laat eindgebruikers de authenticatiestroom testen
   • Verzamel feedback over de gebruikerservaring
   • Controleer of de workflow aan de vereisten voldoet

3. Beveiligingsreview:

   • Bevestig dat certificaatvalidatie werkt
   • Controleer of roltoewijzingen veilig zijn
   • Test afdwinging van toegangscontrole

Productie-implementatie

Na succesvol testen:

1. Geleidelijke uitrol: Overweeg SAML eerst aan een subset gebruikers uit te rollen
2. Monitoring: Houd authenticatiesuccesspercentages en foutlogs in de gaten
3. Ondersteuningsvoorbereiding: Bereid het ondersteuningsteam voor op SAML-gerelateerde vragen
4. Documentatie: Voorzie gebruikersdocumentatie voor het SAML-aanmeldproces

Deze gids behandelt veelvoorkomende SAML-authenticatieproblemen en hun oplossingen.

Certificaat- en beveiligingsproblemen

Ongeldig certificaatfout

Symptomen:

• "Certificate validation failed" fout
• Gebruikers kunnen SAML-authenticatie niet voltooien
• SAML-responses worden afgewezen

Veelvoorkomende oorzaken:

• Certificaatformaat is onjuist
• Certificaat is verlopen
• Verkeerd certificaat is geleverd
• Extra tekens of witruimte in certificaat

Oplossingen:

1. Controleer certificaatformaat:

   • Zorg dat het certificaat de -----BEGIN CERTIFICATE----- en -----END CERTIFICATE----- markeringen bevat
   • Verwijder eventuele extra witruimte of regeleinden
   • Kopieer het certificaat rechtstreeks uit IdP-metadata of configuratie

2. Controleer certificaatgeldigheid:

   • Controleer of het certificaat niet is verlopen
   • Bevestig dat het certificaat voor de juiste IdP is
   • Gebruik online certificaatvalidators om het formaat te controleren

3. Download certificaat opnieuw:

   • Download een nieuw certificaat van de IdP
   • Gebruik de IdP-metadata-URL indien beschikbaar
   • Bevestig dat het certificaat overeenkomt met de huidige IdP-configuratie

Handtekeningverificatie mislukt

Symptomen:

• Fouten bij validatie van SAML-assertatiehandtekeningen
• Authenticatie mislukt na IdP-aanmelding
• "Invalid signature" foutmeldingen

Oplossingen:

1. Algoritme-onverenigbaarheid:

   • Controleer of het handtekeningsalgoritme in FastComments overeenkomt met de IdP
   • Probeer verschillende handtekeningsalgoritmen (SHA-256, SHA-1, SHA-512)
   • Verifieer dat het digest-algoritme overeenkomt met de IdP-configuratie

2. Certificaatproblemen:

   • Zorg dat het juiste ondertekeningscertificaat is geconfigureerd
   • Verifieer dat het certificaat overeenkomt met de privésleutel die door de IdP wordt gebruikt
   • Controleer op certificaatstrotatie in de IdP

Configuratieproblemen

Verkeerde Entity ID of ACS-URL

Symptomen:

• IdP meldt "Unknown Service Provider"
• SAML-responses gaan naar verkeerde endpoint
• Authenticatie wordt niet voltooid

Oplossingen:

1. Controleer SP-informatie:

   • Kopieer de exacte Entity ID uit de FastComments-configuratie
   • Zorg dat de ACS-URL het volgende formaat heeft: https://fastcomments.com/saml/callback/{tenant-id}
   • Controleer op typefouten in tenant-ID

2. IdP-configuratie:

   • Werk de IdP bij met de juiste SP Entity ID
   • Configureer de juiste ACS/Reply URL
   • Controleer IdP-bindinginstellingen (HTTP-POST heeft de voorkeur)

Ontbrekende of onjuiste attributen

Symptomen:

• Gebruikers worden aangemaakt zonder juiste rollen
• Ontbrekende gebruikersprofielinformatie
• "Email required" fouten

Oplossingen:

1. E-mailattribuut:

   • Zorg dat de IdP het e-mailattribuut verzendt
   • Controleer de naam van het attribuutmapen (email, emailAddress, etc.)
   • Verifieer dat de e-mailwaarde een geldig e-mailadres is

2. Rolattributen:

   • Bevestig dat de IdP rol-/groepsinformatie verzendt
   • Controleer of de rolattribuutnamen overeenkomen met de verwachtingen van FastComments
   • Verifieer dat rolwaarden exact overeenkomen met de rolnamen in FastComments

3. Attribuutformaat:

   • Test zowel array- als komma-gescheiden rolformaten
   • Zorg dat attribuutwaarden geen extra witruimte bevatten
   • Controleer hoofdlettergevoeligheid in rolnamen

Problemen met de authenticatiestroom

Redirect-lus

Symptomen:

• Browser wordt eindeloos doorgestuurd tussen FastComments en IdP
• Authenticatie wordt nooit voltooid
• Meerdere redirects zichtbaar in de developer tools van de browser

Oplossingen:

1. Controleer SP-configuratie:

   • Verifieer dat de Entity ID exact overeenkomt met de IdP-configuratie
   • Zorg dat de ACS-URL correct is geconfigureerd in de IdP
   • Controleer op eind-slashes in URL's

2. Sessiekwesties:

   • Wis browsercookies en probeer opnieuw
   • Test in een incognito/private browservenster
   • Controleer instellingen voor sessieverlooptijd

Toegang geweigerd na authenticatie

Symptomen:

• SAML-authenticatie is succesvol
• Gebruiker wordt doorgestuurd naar FastComments
• "Access denied" of permissiefout weergegeven

Oplossingen:

1. Roltoewijzing:

   • Verifieer dat de gebruiker de juiste rollen heeft in de IdP
   • Controleer of het rolattribuut wordt verzonden in de SAML-response
   • Bevestig dat rolnamen exact overeenkomen met de vereisten van FastComments

2. Pakketbeperkingen:

   • Controleer of het account een Flex- of Pro-plan heeft
   • Controleer of de SAML-functie is ingeschakeld voor het pakket
   • Neem contact op met support als het pakket SAML bevat maar de functie niet beschikbaar is

IdP-specifieke problemen

Microsoft Azure AD

Veelvoorkomende problemen:

• App-roltoewijzingen worden niet in tokens weergegeven
• Claims worden niet correct verzonden
• Vereisten voor gebruikers toewijzing

Oplossingen:

• Controleer gebruikers toewijzing aan de FastComments-applicatie
• Verifieer dat app-rollen correct zijn geconfigureerd
• Zorg dat claimsmapping de vereiste attributen bevat

Okta

Veelvoorkomende problemen:

• Groepsfilters werken niet correct
• Attribuutverklaringen verkeerd geconfigureerd
• Problemen met applicatietoewijzing

Oplossingen:

• Bekijk de configuratie van attribuutverklaringen
• Controleer groeps-toewijzing en filterregels
• Verifieer dat de applicatie is toegewezen aan de juiste gebruikers/groepen

Google Workspace

Veelvoorkomende problemen:

• Aangepaste attributen worden niet correct gemapt
• Groepslidmaatschap wordt niet verzonden
• Fouten in SAML-applicatieconfiguratie

Oplossingen:

• Configureer een aangepast schema voor rolattributen
• Controleer de doorstroming van groepslidmaatschap
• Verifieer de attribuutmapping van de SAML-applicatie

Netwerk- en verbindingsproblemen

Time-outfouten

Symptomen:

• Authenticatieproces loopt vast door time-out
• "Request timeout" of soortgelijke fouten
• Trage authenticatiestroom

Oplossingen:

1. Netwerkconnectiviteit:

   • Controleer of firewallregels FastComments-communicatie toestaan
   • Verifieer DNS-resolutie voor fastcomments.com
   • Test netwerkconnectiviteit van IdP naar FastComments

2. Prestatieproblemen:

   • Controleer reactietijden van de IdP
   • Verifieer dat validatie van certificaatketens niet traag is
   • Houd rekening met netwerkvertraging tussen IdP en gebruikers

SSL/TLS-problemen

Symptomen:

• Certificaatwaarschuwingen tijdens authenticatie
• SSL-handshakefouten
• "Secure connection failed" fouten

Oplossingen:

• Zorg dat alle SAML-endpoints HTTPS gebruiken
• Controleer certificaatgeldigheid voor alle betrokken domeinen
• Verifieer TLS-versiecompatibiliteit

Debugging en logging

Debug-informatie inschakelen

1. Browser Developer Tools:

   • Bewaak het Network-tabblad tijdens de SAML-stroom
   • Controleer de Console op JavaScript-fouten
   • Onderzoek SAML POST-verzoeken (indien zichtbaar)

2. IdP-logging:

   • Schakel SAML-debugging in je IdP in
   • Bekijk IdP-logs voor details van SAML-aanvragen/responses
   • Controleer op problemen met attribuutmapping

Veelvoorkomende logmeldingen

FastComments Logs:

• "SAML config not found" - SAML niet ingeschakeld of verkeerd geconfigureerd
• "Invalid certificate" - Certificaatvalidatie mislukt
• "Missing email attribute" - Vereiste e-mail niet verstrekt in SAML-response

IdP Logs:

• "Unknown service provider" - Entity ID komt niet overeen
• "Invalid ACS URL" - Assertion Consumer Service URL onjuist
• "User not assigned" - Gebruiker heeft geen toegang tot SAML-applicatie

Hulp krijgen

Informatie om te verzamelen

Wanneer je contact opneemt met support, verstrek:

• Exacte foutmeldingen en tijdstempels
• SAML-configuratiedetails (zonder gevoelige gegevens)
• IdP-type en versie
• Stappen om het probleem te reproduceren
• Browser- en netwerkinformatie

FastComments Support

Voor SAML-gerelateerde problemen:

1. Gebruik het support portal
2. Voeg tenant-ID en e-mailadressen van getroffen gebruikers toe
3. Geef foutmeldingen en configuratiedetails
4. Specificeer IdP-type en configuratiebenadering

IdP Support

Voor IdP-specifieke problemen:

• Raadpleeg de IdP-documentatie voor SAML-troubleshooting
• Gebruik de supportkanalen van de IdP voor configuratieproblemen
• Maak gebruik van IdP-communityforums voor veelvoorkomende problemen

Preventietips

Best practices

1. Grondig testen:

   • Test configuratiewijzigingen in een niet-productieomgeving
   • Verifieer met meerdere testgebruikers
   • Documenteer werkende configuraties

2. Regelmatig monitoren:

   • Stel monitoring in voor SAML-authenticatiefouten
   • Controleer certificaatvervaldata
   • Houd IdP-configuratiewijzigingen in de gaten

3. Documentatie:

   • Houd documentatie bij van SAML-configuratie
   • Documenteer eventuele aangepaste configuraties of workarounds
   • Bewaar contactgegevens van IdP-beheerders

Proactief onderhoud

1. Certificaatbeheer:

   • Houd certificaatvervaldata in de gaten
   • Plan procedures voor certificaatstrotatie
   • Test certificaatupdates vóór het verlopen

2. Configuratiereviews:

   • Beoordeel regelmatig de SAML-configuratie
   • Verifieer dat IdP-configuratie actueel blijft
   • Werk documentatie bij wanneer wijzigingen worden aangebracht