Onlinehjälpen

SAML

SAML står för Security Assertion Markup Language och är en XML-baserad öppen standard för att utbyta autentisering och behörigheter.

SAML är en federerad inloggningsmetod som ordnar egen inloggning mot AD utan att behöva direkt kontakt med AD. Om en besökare surfar mot en adress som kräver inloggning så skickas de vidare till kundens idP (som finns i kundens egen miljö) där loggar besökaren in. När inloggningen är klar postas ett formulär med signerad information som skickas till SiteVision.

Grunderna i SAML

SAML definierar två grundläggande roller: Identity Provider (idP) och Service Provider (SP). Identity Provider (exempelvis ADFS, Portwise) lagrar all information om användarkonton och lösenord och dess roll är att autentisera användare och utfärda en så kallad “SAML biljett” som visar att användaren är inloggad. Service Providern är den som levererar en tjänst (SiteVision) och kontrollerar biljetten och ger därmed användaren tillbörlig access till tjänsten.

Metadatat som skickas från kundens idP innehåller bland annat certifikat och en adress dit vi redirectar användaren som ska logga in (https://..idp.xml)

Läs mer om hur du gör inställningar för SAML

Efter att licens för SAML lagts på så måste servern startas om för att du ska få tillgång till inloggningsfilter och metoderna.

Lägg till inloggningsfilter

När man har utbytt idP och SP så lägger man till ett inloggningsfilter och en Jaas-modul i SiteVision. Detta gör man på Egenskaper på webbplats -> Säkerhet -> Inloggningskonfiguration - >Filter. Klicka på plusknappen för att lägga till SAML2.

Filter SAML2

Klicka på Nästa.

Lägg till SAML filter
  • Consumer Service (Binding) - Ska vara HTTP-post eller HTTP-redirect. Det vanligaste är HTTP-post.
  • Felmeddelande: Skapa eget felmeddelande om det blir eventuellt blir fel i inloggningen. Det går också att hänvisa till egen felsida, se inställningar längre ner.
  • IDP login adress: Denna ska normalt inte vara ifylld. I specifika fall ska IDP starta inloggningen, inte SiteVision. Då skickar vi informationen till IDP:n innan vi påbörjar inloggning.
  • Assurance level: 0. Vi stödjer bara nivå 0.
  • Certifikat-keystore: Bläddra fram keystore-filen som du laddat upp i filarkivet i SiteVision. Keystore-filen finns i zip-filen (som laddas hem via <adress>/saml/download.
  • Ignore certificate - Om det går bra med självsignerade certifikat så klicka i denna.Ignore certificate - Om det går bra med självsignerade certifikat så klicka i denna.
  • Certifikat-lösenord: Keystore password som angavs i konfigurationen. <adress>/saml/configure
  • Adress till felsida: Istället för felmeddelande kan du fylla i en extern adress till en egen felsida.
  • SP-metadata: Expandera detta fält och klistra in innehållet i filen SPmetadata.xml (som finns i zipfilen)
  • IdP-metadata: Expandera detta fält och klistra in innehållet i filen idPmetadata.xml (som finns i zipfilen)
SP-metadata

Klicka på texten SP/IdP-metadata eller pilen för att expandera fältet

Lägg filtret längst ner! Då kommer det fångas upp först.

Sortera filter

Lägg till inloggningsmodul

Klicka på plusknappen för att lägga till SAML 2 som en JAAS-modul.

Jaasmodul

Klicka på Nästa.

SAML 2 modul
  • Dela upp gruppattribut innehållande "," - När man får ett sammansatt gruppattribut där grupperna är separerade med komma. Normalt sett kommer attributen som separata attributvärden och då behöver man inte kryssa i denna ruta.
    OBS! Det blir fel om man kryssar i denna ruta och attributen inte är sammansatta.

  • Gruppattribut - Detta attribut kommer SiteVision att använda för att sätta upp virtuella grupper för att hantera behörigheter. Det kan vara ett namn eller en sökväg i katalogen. <saml:Attribute Name ="namnet på gruppattributet". >

    Tips! Med hjälp av Firefoxs tillägg "SAML Tracer" kan man få hjälp att hitta namnen på dessa gruppattribut.

  • Debug - Skriver ut detaljerad information i SiteVisions serverlog. Bra att slå på vid uppsättning. Men slå av denna ruta när SAML i produktion (genererar många loggutskrifter).
  • Kontrollflagga - Sufficient.
Sortering moduler

SAML ska ligga INNAN LDAP i listan. Om inte inloggning via SAML fungerar så kommer man vidare till en vanlig inloggning.

Om du misslyckas med inloggningen exemeplvis pga felaktig konfiguration så måste du starta om webbläsaren/byta webbläsare för att testa igen.

Denna funktion kräver att du har SiteVision Portal och licens för SAML.

Sidan uppdaterad:

Nästa generations publiceringsverktyg är här!

Läs mer om SiteVision 4

se-sto-pio-sv5-1.sitevision-cloud.net
18.117.182.179