help.sitevision.se hänvisar alltid till senaste versionen av Sitevision

Bra att veta om SAML

  • SAML-biljetten är i grunden i XML-format och där finns både attribut som måste finnas och attribut som ni väljer och styr helt själva över. Mer info om SAML-biljett och SAML-uppsättning.

  • Ett av de attribut som måste finnas med är det vi brukar referera till som identifieraren. Identifieraren är SAML-attributet som heter ”urn:oid:0.9.2342.19200300.100.1.1”. Detta attribut ligger till grund för hur SiteVision identifierar användaren och kopplar ihop denne med ett användarobjekt i SiteVision.

  • När du har en federerad inloggning kan Sitevision varken läsa eller skriva i katalogen. Det enda Sitevision får ”veta” om användare är det som skickas i SAML-biljetten och som genom SAML-uppsättningen är konfigurerat så att det tas emot. Läs mer om detta under rubriken Enkelriktad kommunikation.

Val av SAML-identifierare

Vad som skickas som identifierare i SAML-biljetten väljer ni själva vid uppsättningen av IDP och SAML-lösning. Ni kan välja mellan de olika unika fält som finns tillgängliga för en användare i den egna katalogen. Vi rekommenderar att ni väljer en stabil identifierare utan direkta personuppgifter. Identifieraren i SAML-biljetten behöver inte vara samma som användarnamn för inloggningen. Identifieraren är skiftlägeskänslig; ”kallekula” är med andra ord inte alls samma som ”KalleKula".

Rekommenderade identifierare

  • Identifieraren måste vara unik för användaren och beständig. Exempel på beständiga identifierare är UUID, GUID eller id-nummer (observera att dessa är olämpliga om de innehåller personuppgifter).

Olämpliga identifierare

  • E-postadress är olämplig som identifierare eftersom det dels innehåller en direkt personuppgift men också är att betrakta som instabilt. Exempelvis så kanske personer gifter sig och byter efternamn och därmed mailadress - då förändras identifieraren.
  • Anställningsnummer, cn, användarnamn, personnummer och övriga personuppgifter är inte lämpliga med hänvisning till GDPR.

Ändring av SAML-idenitifierare

Identifieraren i SAML-biljetten utgör basen för kopplingen mellan en användare i den federerade katalogtjänsten och Sitevision. Ändringar av identifieraren leder därför till att Sitevision inte kan koppla ihop användaren med användarobjektet.

Vissa moduler, till exempel bokning, lista favoriter och webbanmälan, är beroende av användarobjektet och dessa moduler påverkas av en ändring av identifieraren.

Social Collaboration

Alla förändringar av identifieraren leder till att ett nytt användarobjekt skapas i Sitevision. Om identifieraren ändras kommer alltså användaren fortfarande kunna logga in i Sitevision med SAML-biljetten, men nu få ytterligare ett användarobjekt. På webbplatser där Social Collaboration är aktiverat kommer därmed det nya användarobjektet skapa upp en ny social användaridentitet.

Det finns ett par olika scenarion för när identifieraren ändras.

  • Man vill medvetet ändra vad som skickas som identifierare och byter ut värdet som katalogtjänsten ska skicka i IDP:n
  • Man justerar identifieraren utan att känna till att det kommer ha effekter
  • Man gör förändringar i katalogtjänsten där det fält som används som identifierare förändras för en eller flera användare. Det kan till exempel handla om att man vill ändra alla versaler till gemener, för att uppnå en standard.

I det första fallet kan man vara proaktiv och genom ett beställningsjobb från Sitevision Support få hjälp att både skapa upp de nya användarobjekten och koppla om sociala användaridentiteter så att användarna behåller sin gamla användaridentitet och sina inställningar.

I de två andra fallen är ”skadan” redan skedd. Sitevision Support kan hjälpa till att genomföra omkopplingar även då, men eftersom beställningsjobb behöver viss framförhållning så kan man få leva med att en del eller alla användare under en period inte har sina gamla användaridentiteter och saknar inställningar.

Läs om hur Sitevision Support kan hjälpa dig

Enkelriktad kommunikation

När er webbplats har SAML som inloggningsmetod kommer kopplingen mellan Sitevision och er katalogtjänsten vara enkelriktad. Med det menas att om ändringar skett i katalogtjänsten kommer Sitevision får information om det i samband med att användaren loggar in på nytt. Informationen* färdas via den SAML-biljett som följer med användaren vid inloggning.

* Vilken information som följer med beror på hur SAML är konfigurerat på idP-sidan.

Vad händer om en användare tas bort från katalogtjänsten?

Användaren kommer som standard att ligga kvar på webbplatsen eftersom Sitevision endast får information om uppdateringar vid inloggning. Du kan inaktivera användaren genom att högerklicka på användaren under Panelen Användare och välja "Inaktivera".

Går det att skapa en automatisk synkning mellan vår katalogtjänst och Sitevision?

Ja, det går att använda webbplatsens REST-API för att uppdatera Sitevision med förändringar som sker på katalogsidan, förutsatt att katalogtjänsten har stöd för att lyssna efter förändringar. Metoden för att inaktivera en användare heter EnableSimpleUser.

Användarobjekt i Sitevision

I Sitevision finns två typer av användarobjekt.

  • User - användarobjekt som skapas vid en direkt kopppling mellan katalogtjänsten och Sitevision, exempelvis vid egen serverdrift
  • SimpleUser - användarobjekt av typen webbanvändare eller en användare som skapas vid federerad inloggning med SAML eller OpenID Connect

Användarna i Sitevision Cloud-katalogen är av typen User. Kunder med egen katalogtjänst i Sitevision Cloud har användare av typen SimpleUser.

På användarobjektet sparas information om användaren.

  • Mina favoriter
  • Inställningar för hur redigeringsläget ska se ut (språk, textstorlek mm)
  • Eventuell data från tredjepartsfunktioner (tex skriptmoduler skapade av partners)

Social användaridentitet i Social Collaboration

Om Social Collaboration är aktiverat på webbplatsen kommer en social användaridentitet (UserIdentity) skapas av Sitevision för varje användarobjekt som loggar in. Det går även att skapa en användaridentitet genom att antingen högerklicka på en användare under Panelen Användare och välja alternativet "Skapa användaridentitet" eller genom att använda metoden UserIdentity i REST-API:et.

Användarobjektet och den sociala användaridentitet har en dubbelriktad referens och är alltså beroende av varandra.

På den sociala användaridentiteten sparas information kopplad till användaren och Social Collaboration.

  • Profilbild
  • Medlemskap i grupper
  • Notifieringar
  • Och mycket mer kopplat till Social Collaboration


Denna sida publicerades:

 Skriv ut sida
Hjälpte informationen dig?