Inställningar idP (utanför Sitevision)
Identity Provider, även kallad idP, lagrar all information om användarkonton och lösenord. Idp:ns uppgift är att autentisera användare och utfärda en så kallad “SAML-biljett” som visar att användaren är inloggad. Exempel på idP-tjänst är Azure, ADFS, Portwise och Mobilityguard.
idP-metadata
Innan du börjar ställa in SAML i Sitevision (SP) behöver du ha fungerande idP-metadata. Här nedanför hittar du ett exempel på ett fungerande idP-metadata.
SAML-biljett
SAML-biljetten innehåller information om användaren och behövs för autentisering. Det är med hjälp av SAML-biljetten som användaren verifieras och kan tilldelas medlemsskap i Virtuella grupper för behörighetshantering, i de fall groups-attributet används.
Följande måste finnas med i SAML-biljetten när användaren kommer till Sitevision:
- Ett Subject med namn "NameID". Värdet ska sättas till användarens unika identitet*.
Här är det också viktigt att du anger format på informationen.
Se exempel på SAML-biljett nedan där vi satt formatet "persistent".
GDPR-lagen
Med hänsyn till den nya strängare synen på lagring av personuppgifter så avråder vi er från att använda en identiferare som innehåller information som kan kopplas till den enskilda användaren. Detta gäller särskilt om ni använder Sitevision Cloud.
* Tänk på att välja en unik identifierare för användaren som inte förändras. Förändras den kommer en ny användare att skapas upp på Webbplatsen. I de fall ni använder Social Collaboration kommer även en ny tom social användaridentitet att skapas.
För att kunna presentera data om användaren är det vår rekommendation att du även skickar med följande attribut/claims. Observera att namnet på attributet behöver vara skrivet exakt som nedan för att Sitevision ska mappa informationen korrekt.
- givenName = Förnamn
- sn = Efternamn
- mail = E-postadress
- title = Titel
- mobile = Mobilnummer
- telephoneNumber = Telefonnummer
- description = Beskrivning
Vilka attribut som skickas med är helt upp till er som kund att bestämma. I exemplet nedan har vi listat de attribut som finns som standard i Sitevision men det finns ingen begränsning för vilka attribut som kan skicka med.
Exempel
Här ser du ett exempel på en fungerade SAML-biljett med information från lokal katalogtjänst. En biljett innehåller vanligtvis mer information, men för att det ska bli lättare att läsa har vi ersatt vissa delar med punkter.
<samlp:Response ID="_8df09hh876-5klh-7ef0-cc88907dss09" .......... > ........... <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </samlp:Status> ........... <Subject> <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:persistent">850101-charlie</NameID> .......... </Subject> <AudienceRestriction> <Audience>https://www.sitevision.se</Audience> </AudienceRestriction> .......... <AttributeStatement> <Attribute Name="givenName"> <AttributeValue>Charlie</AttributeValue> </Attribute> <Attribute Name="sn"> <AttributeValue>Ask</AttributeValue> </Attribute> <Attribute Name="mail"> <AttributeValue>charlie.ask@foretaget.se</AttributeValue> </Attribute> <Attribute Name="title"> <AttributeValue>Webbansvarig</AttributeValue> </Attribute>
<Attribute Name="mobile"> <AttributeValue>07xxxxxxxx</AttributeValue> </Attribute>
<Attribute Name="telephoneNumber"> <AttributeValue>019xxxxxx</AttributeValue> </Attribute>
<Attribute Name="description"> <AttributeValue>Tillfälligt konto för SAML-inloggning</AttributeValue> </Attribute>
<Attribute Name="groups"> <AttributeValue>Administratör-Sitevision</AttributeValue> <AttributeValue>Redaktör-Sitevision</AttributeValue> <AttributeValue>Sitevision-HQ</AttributeValue> <AttributeValue>SV-CustomerSuccess</AttributeValue> </Attribute> </AttributeStatement> ..........</samlp:Response>
Förstora bildenBilden visas samma information som ovan men med färg för enklare läsning. Klicka på bilden för att göra den större.
Attributet groups i SAML-biljetten
Attributet groups är inte obligatoriskt. Men vill du kunna behörighetsstyra webbplatsen på olika grupper i katalogtjänsten, så är det ett måste.
I attributet groups skickar du med de grupper användaren tillhör i katalogtjänsten. Du skapar sedan Virtuella grupper i Sitevision som de matchas mot. De virtuella grupperna kan du sedan koppla till behörighetsroller på webbplatsens sidor. Lär mer om Virtuella grupper här.
Övriga inställningar i idP
- Hashalgoritm, SHA256/SHA1, behöver matcha inställningen som finns i SAML2-filtret på webbplatsen.
- Sitevisions krypteringscert är inte publikt och kan i vissa fall därför behöva importeras till trusted root.
- Krypteringscertifikatet finns i providermetadatat innanför taggen <ds:X509Certificate> som finns under <md:KeyDescriptor use="encryption">
Med hjälp av Firefoxs tillägg "SAML Tracer" kan du på ett enkelt sätt granska en SAML-biljett efter att användaren logggat in i sin idP. Mycket bra vid felsökning! Motsvarande finns också till Chrome i form av SAML Message Decoder.
SAML-konfigurationen på idP-sidan hanteras av er som kund, alternativt om ni har en partner/driftpartner som hanterar dessa bitar. Sitevision Produktsupport kan vara med att stötta vid behov men utför inte konfigurationen.
Skriv ut sida
help.sitevision.se hänvisar alltid till senaste versionen av Sitevision