help.sitevision.se hänvisar alltid till senaste versionen av Sitevision
Inställningar idP
Identity Provider, även kallad idP, lagrar all information om användarkonton och lösenord. Idp:ns uppgift är att autentisera användare och utfärda en så kallad “SAML-biljett” som visar att användaren är inloggad. Exempel på idP-tjänst är ADFS, Portwise och Mobilityguard.
idP-metadata
Innan du börjar ställa in SAML i Sitevision (SP) behöver du ha fungerande idP-metadata. Här nedanför hittar du ett exempel på en fungerande idP-metadata.
SAML-biljett
SAML-biljetten innehåller information om användaren och behövs för autentisering. Det är med hjälp av SAML-biljetten som användaren verifieras och tilldelas en Virtuell grupp för behörigheter.
Följande måste finnas med i SAML-biljetten när användaren kommer till Sitevision:
- Ett attribut med namn "urn:oid:0.9.2342.19200300.100.1.1".
I attributvärdet anger du användarens unika identitet * - Ett Subject, "NameID", skall också anges. Även detta ska sättas till användarens unika identitet*. Här är det också viktigt att du anger format på informationen. Se exempel på SAML-biljett nedan.
För att kunna presentera data om användaren är det vår rekommendation att du även skickar med följande attribut:
- givenName = Förnamn
- sn = Efternamn
- mail = mailadress
GDPR-lagen
Med hänsyn till den nya strängare synen på lagring av personuppgifter så avråder vi er från att använda en identiferare som innehåller information som kan kopplas till den enskilda användaren. Detta gäller särskilt om ni använder Sitevision Cloud.
* Tänk på att välja en unik identifierare för användaren som inte förändras. Förändras den så kommer användaren att få en ny social profil i vid nyttjande av Social Collaboration.
Exempel
Här ser du ett exempel på en fungerade SAML-biljett med information från lokal katalogtjänst. En biljett innehåller vanligtvis mer information, men för att det ska bli lättare att läsa har vi ersatt vissa delar med punkter.
Attributet Groups i SAML-biljetten
Attributet groups är inte obligatoriskt. Men vill du kunna behörighetsstyra webbplatsen på olika grupper i katalogtjänsten, så är det ett måste.
I attributet groups skickar du med de grupper användaren tillhör i katalogtjänsten. Du skapar sedan Virtuella grupper i SiteVision som de matchas mot. De virtuella grupperna är i sin tur kopplade till behörighetsroller på webbplatsens sidor. Lär mer om Virtuella grupper här.
Övriga inställningar i idP
- Hashalgoritm skall vara satt till SHA256.
- Sitevisions krypteringscert är inte publikt och måste kanske därför importeras till trusted root.
Med hjälp av Firefoxs tillägg "SAML Tracer" kan du på ett enkelt sätt granska en SAML-biljett efter att användaren logggat in i sin idP. Mycket bra vid felsökning! Motsvarande finns också till Chrome i form av SAML Message Decoder.
Hjälp med konfiguration av idP ingår inte i Sitevision Support.