help.sitevision.se hänvisar alltid till senaste versionen av Sitevision
Konfigurera SAML
SAML står för Security Assertion Markup Language och är en XML-baserad öppen standard för utbyte av autentisering och behörigheter.
SAML är en federerad inloggningsmetod som gör det möjligt att logga in på en webbplats i Sitevision med konton från sin egen katalogtjänst, utan att behöva vara direkt ansluten till Sitevision. Enkelt uttryckt består en inloggning med SAML av tre delar: en användare, en identity provider (IdP) och en eller flera service providers (SP).
OBS! Om du har flera webbplatser måste SAML-konfigurationen ställas in för alla webbplatser.
Konfigurera SAML i Sitevision
Innan du börjar göra inställningar i Sitevision är det viktigt att du har fungerande IDP-metadata.
Läs mer om IDP-metadata och vad Sitevision förväntar sig.
Certifikat
I samband med konfigurationen skapar Sitevision ett SHA 256-certifikat som placeras i en keystore i roten av filarkivet. Keystore är lösenordsskyddat med ett genererat lösenord som lagras i filterkonfigurationen.
Så här gör du för att göra detta
I Sitevision hittar du inställningarna för SAML via inloggningspanelen under Site settings.
Bilden nedan visar den dialog som visas om du klickar på knappen "Konfigurera SAML". Observera att det inte går att använda funktionen "Konfigurera SAML" för att lägga till ytterligare SAML2-filter. Dessa måste läggas till manuellt, eftersom en ny konfiguration kommer att skriva över den befintliga konfigurationen.
1. Lägg till en federationsidentifierare (Entity ID)
Ange den domän som används för inloggning, ett så kallat Entity ID.
2. Lägg till organisationsinformation
Ange följande information om din organisation:
- Organisationsnamn - organisationens namn
- Organisationens URL - URL-adressen till organisationens webbplats.
- Organisationens e-postadress - organisationens allmänna e-postadress.
3. Lägg till IDP-information
Välj mellan att hämta IDP-metadata via en URL eller att ange IDP-metadata som text. En stor fördel med att hämta IDP-metadata via en URL är att informationen uppdateras automatiskt en gång per dag. Information som kan ändras i IDP-metadata är t.ex. certifikat med en fast livstid. IDP-metadata som matas in direkt är däremot statisk och uppdateras inte automatiskt.
Hämta IDP-metadata från adress
Ange den adress från vilken IDP-metadata ska hämtas. Den automatiska uppdateringen av IDP-metadata i Sitevision sker kl. 05.00 varje dag. Om den automatiska uppdateringen av någon anledning inte kan utföras kommer IDP-metadata från föregående dag att användas.
Ange IDP-metadata som text
Välj detta alternativ för att klistra in IDP-metadata direkt i Sitevision. Informationen är statisk och uppdateras inte automatiskt om några ändringar görs. Istället måste du gå in och ändra IDP-metadatan manuellt vid förändringar, till exempel om certifikatet behöver uppdateras.
4. Slutför konfigurationen
Klicka på Ok för att slutföra konfigurationen.
Efter konfigurationen
När SAML-konfigurationen är klar skapar Sitevision automatiskt ett konfigurerat SAML-filter och en SAML-modul. All övrig inloggningskonfiguration är oförändrad.
Detta innebär att du behöver ändra ordningen på inloggningsmodulerna så att filter och modul har ordningen enligt bilden nedan.
Anledningen till att det inte sker direkt är att man måste välja när SAML ska aktiveras, även om konfigurationen ligger på webbplatsen.
Om SAML aktiveras för tidigt i processen kan det leda till att användare inte längre kan logga in med exempelvis LDAP-inloggning.
De metadata från Sitevision som ska importeras till IDP finns tillgängliga i textform under SAML-filtret. Du hittar samma text via <webbplatsadress>/saml/metadata.
Inloggning
SAML-inloggningen triggas av en icke-publik inloggningssida. Beroende på om det är ett icke-publikt intranät eller en extern webbplats som är öppen för allmänheten konfigurerar du inloggningen på olika sätt.
Extern webbplats
1. Skapa en inloggningssida som inte är publik.
2. Ställ in inloggningssidan som landningssida för inloggning under Webbplatsinställningar -> Landningssidor.
3. Om SAML-konfigurationen av någon anledning inte fungerar, skapa en annan inloggningssida som används för formulärinloggning. Ställ in den andra inloggningssidan som publik och skapa ett alias för den, t.ex. /systemlogin.
Icke-offentliga webbplatser (t.ex. intranät)
Eftersom alla sidor ofta är icke-publika på ett intranät, dvs. användaren måste logga in för att komma åt sidorna, finns det inget behov av en specifik inloggningssida som inte är publik. Alla icke-publika sidor kommer att fungera som en trigger för SAML.
Du måste ändå ha en inloggningssida med ett inloggningsformulär, som du ställer in via Webbplatsinställningar -> Landningssida. Denna sida måste vara publik, men du kan dölja den från allmänheten via en extern lösning (t.ex. VPN, intern dns, etc.).
Skriv ut sida
