Naar de hoofdinhoud

SSO logt me elk uur uit — gebruik de One-time login link om SSO over te slaan

Je logt in via SSO, komt in TenderB binnen, werkt een tijdje door — en wordt dan (soms al binnen het uur) teruggegooid naar het inlogscherm. Vervelend midden in een document, helemaal vlak voor een deadline.

E
Geschreven door Eden Noelle

Wat SSO is en waarom TenderB-sessies soms vroeg eindigen

Met Single Sign-On (SSO) log je in op TenderB via de identity provider van je organisatie — voor de meeste klanten is dat Microsoft Entra ID (voorheen Azure AD), af en toe Google Workspace. Je identity provider authenticeert je en geeft een token af aan TenderB. TenderB vertrouwt dat token tot het verloopt en stuurt je dan terug naar de identity provider om opnieuw in te loggen.

De levensduur van dat token — en dus hoe lang je TenderB-sessie loopt voordat SSO je opnieuw vraagt in te loggen — wordt bepaald door jouw Microsoft-tenant, niet door TenderB. De Microsoft-defaults (gedocumenteerd op de Microsoft Learn-pagina over token lifetimes) zijn ongeveer:

  • Access tokens duren 60–90 minuten, gerandomiseerd, met een default rond de 75 minuten.

  • Conditional Access sign-in frequency-policies kunnen heraanmelding op een veel kortere cadans afdwingen — desnoods minuten, als je beheerder dat zo instelt.

  • Continuous Access Evaluation (CAE) kan de sessieduur verlengen, maar kan ook directe heraanmelding afdwingen wanneer er iets verandert (netwerkwissel, verhoogd inlogrisico, wachtwoordwijziging, wijziging van groepslidmaatschap, enz.).

Referentie: Microsofts documentatiepagina Configurable token lifetimes in Microsoft Entra ID.

Word je vaker dan één keer per uur gevraagd opnieuw in te loggen, dan zit het bijna altijd in één van deze drie:

  1. Je IT-afdeling heeft een Conditional Access-policy waarin sign-in frequency voor cloud-apps lager dan 60 minuten staat.

  2. CAE schiet in actie — meestal omdat je laptop van netwerk wisselt (wifi ↔ VPN ↔ ethernet) of je beveiligingscontext verandert.

  3. De gerandomiseerde default-tokenlevensduur valt aan de korte kant van het 60–90-minutenvenster.

Waarom TenderB hier aan onze kant niets aan kan doen

TenderB weet over jouw sessie alleen wat je identity provider ons vertelt. Zegt Microsoft "dit token is verlopen" of "deze gebruiker moet opnieuw authenticeren", dan honoreren wij dat — aan de TenderB-kant is er geen instelling die Microsofts tokenpolicy kan overrulen. De oplossing moet uit één van twee richtingen komen:

  • Je Entra-beheerder versoepelt de policy, óf

  • Jij omzeilt SSO via de eenmalige inloglink.

Optie A — vraag je Entra-beheerder de policy aan te passen

De juiste fix zit in je Microsoft-tenant. Houden de uitlogmomenten je team op, stuur dan je IT- of Entra-beheerder iets in deze richting:

"Ons team gebruikt TenderB (een SaaS-applicatie die via SSO bereikbaar is vanuit onze Entra-tenant). De huidige Conditional Access sign-in frequency-policy logt ons meer dan één keer per uur uit tijdens actief gebruik. Kun je sign-in frequency voor TenderB ophogen naar 8 uur, of TenderB uitsluiten van de persistente heraanmeldingspolicy, passend bij de productiviteitsbehoefte van het team?"

Je beheerder kan dit per applicatie instellen zonder het algehele beveiligingsniveau te verlagen — Microsofts referentie is de hierboven genoemde Configurable token lifetimes-pagina. Dit is de juiste structurele oplossing.

Optie B — gebruik de One-time login link om SSO over te slaan

Kun je niet wachten op een policywijziging (deadline, beheerder onbereikbaar, organisatie wil niet aanpassen)? Log dan in zonder SSO met een magic link.

  1. Ga naar het TenderB-inlogscherm.

  2. Vul je e-mailadres in bij het veld Email.

  3. Klik onderaan het inlogformulier op One-time login link (naast Reset password).

  4. Check je mail — je krijgt een bericht van TenderB met een eenmalige inloglink.

  5. Klik op de link. Je bent direct ingelogd in TenderB met een sessie die onafhankelijk is van de levensduur van je Entra-token.

Die sessie blijft even lang geldig als een normale TenderB-sessie — meestal meerdere dagen — en wordt niet onderbroken door Microsofts token-redirects, omdat er geen SSO-token in het spel is.

Wanneer de One-time login link de juiste keuze is

  • Je hebt een aanbestedingsdeadline en kunt geen redirects gebruiken midden in het schrijven.

  • Je laptop wisselt vaak van netwerk (woon-werk, flexplek, VPN ↔ direct).

  • Je geeft een presentatie of demo en wilt geen inlogscherm tussendoor.

Wanneer SSO toch beter blijft

  • Je wilt dat je TenderB-toegang automatisch wordt ingetrokken zodra je de organisatie verlaat. (SSO doet dat; de magic link niet, totdat je e-mailadres uit de workspace wordt verwijderd.)

  • Je beveiligingsbeleid eist dat elke inlog via Entra loopt (audit/compliance).

  • Je bent beheerder en wilt MFA bij elke login afdwingen.

De One-time login link is een productiviteits-workaround, geen security-bypass. Je hebt nog steeds toegang tot je e-mailbox nodig, maar je slaat de Conditional Access-policies van je organisatie over. Merk je dat je hem dagelijks gebruikt, dan is dat een sterk signaal om je Entra-beheerder te vragen de sign-in frequency voor TenderB te versoepelen, in plaats van te leunen op de link.

Komt de link niet aan?

  • Check je spam-/junkmap.

  • Controleer of het ingevulde e-mailadres exact overeenkomt met dat in je TenderB-workspace.

  • Sommige organisaties strippen "magic link"-mails op de mailgateway. Doet die van jou dat, dan is Optie A (aanpassing beheerderspolicy) de enige route — een SSO-bypass die niet afhankelijk is van mailbezorging bestaat niet.

  • Workspace-beheerders kunnen e-mailinloggen om beveiligingsredenen uitschakelen. Heeft jouw beheerder dat gedaan, dan blijft de One-time login link wel zichtbaar op het formulier, maar wordt de mail niet verstuurd. Neem contact op met je TenderB-workspace-beheerder.

Was dit een antwoord op uw vraag?