Hjälpwebb

Bra att veta om SAML

  • SAML-biljetten är i grunden i XML-format och där finns både attribut som måste finnas och attribut som ni väljer och styr helt själva över. Mer info om SAML-biljett och SAML-uppsättning: https://help.sitevision.se/SiteVision_4_0/12705684.html)

  • Ett av de attribut som måste finnas med är det vi brukar referera till som identifieraren. Identifieraren är SAML-attributet som heter ”urn:oid:0.9.2342.19200300.100.1.1”. Detta attribut ligger till grund för hur SiteVision identifierar användaren och kopplar ihop denne med ett användarobjekt i SiteVision.

  • När du har en federerad inloggning kan SiteVision varken läsa eller skriva i katalogen. Det enda SiteVision får ”veta” om användare är det som skickas i SAML-biljetten och som genom SAML-uppsättningen är konfigurerat så att det tas emot.

Val av SAML-identifierare

Vad som skickas som identifierare i SAML-biljetten väljer ni själva vid uppsättningen av IDP och SAML-lösning. Ni kan välja mellan de olika unika fält som finns tillgängliga för en användare i den egna katalogen. Vi rekommenderar att ni väljer en stabil identifierare utan direkta personuppgifter. Identifieraren i SAML-biljetten behöver inte vara samma som användarnamn för inloggningen. Identifieraren är skiftlägeskänslig; ”kallekula” är med andra ord inte alls samma som ”KalleKula".

Rekommenderade identifierare

  • Identifieraren måste vara unik för användaren och helst beständig. Exempel på beständiga identifierare är UUID, GUID eller id-nummer.

Olämpliga identifierare

  • E-postadress är olämplig som identifierare eftersom det dels innehåller en direkt personuppgift men också är att betrakta som instabilt. Exempelvis så kanske personer gifter sig och byter efternamn och därmed mailadress - då förändras identifieraren.
  • Anställningsnummer, cn, användarnamn och personnummer är inte lämpliga med hänvisning till GDPR.

Ändring av SAML-idenitifierare

Identifieraren i SAML-biljetten utgör basen för kopplingen mellan en användare i den federerade katalogtjänsten och SiteVision. Ändringar av identifieraren leder därför till att SiteVision inte kan koppla ihop användaren med användarobjektet.

Vissa moduler, till exempel bokning, lista favoriter och webbanmälan, är beroende av användarobjektet och dessa moduler påverkas av en ändring av identifieraren.

Social Collaboration

Alla förändringar av identifieraren leder till att ett nytt användarobjekt skapas i SiteVision. Om identifieraren ändras så kommer alltså användaren fortfarande kunna logga in i SiteVision med SAML-biljetten, men nu få ytterliagre ett användarobjekt. På webbplatser där Social Collaboration är aktiverat kommer därmed det nya användarobjektet skapa upp en ny social profil.

Det finns ett par olika scenarion för när identifieraren ändras.

  • Man vill medvetet ändra vad som skickas som identifierare och byter ut värdet som katalogtjänsten ska skicka i IDP:n
  • Man justerar identifieraren utan att känna till att det kommer ha effekter
  • Man gör förändringar i katalogtjänsten där det fält som används som identifierare förändras för en eller flera användare. Det kan till exempel handla om att man vill ändra alla versaler till gemener, för att uppnå en standard.

I det första fallet kan man vara proaktiv och genom ett beställningsjobb från SiteVision Support få hjälp att både skapa upp de nya användarobjekten och koppla om sociala profiler så att användarna behåller sin gamla profil och sina inställningar.

I de två andra fallen är ”skadan” redan skedd. SiteVision Support kan hjälpa till att genomföra omkopplingar även då, men eftersom beställningsjobb behöver viss framförhållning så kan man få leva med att en del eller alla användare under en period inte har sina gamla profiler och saknar inställningar.

Användarobjekt i SiteVision

I SiteVision finns två typer av användarobjekt.

  • user - användarobjekt som skapas vid en direkt kopppling mellan katalogtjänsten och SiteVision, exempelvis vid egen serverdrift
  • simpleUser - användarobjekt som skapas vid federerad inloggning med SAML, exempelvis i SiteVision Cloud

På användarobjektet sparas information om användaren.

  • Mina favoriter
  • Inställningar för hur redigeringsläget ska se ut (språk, textstorlek mm)
  • Eventuell data från tredjepartsfunktioner (tex skriptmoduler skapade av partners)

Social profil i Social Collaboration

Om Social Collaboration är aktiverat på webbplatsen kommer en social profil skapas av SIteVision för varje användarobjekt som skapas. Användarobjektet och den sociala profilen har en dubbelriktad referens och är alltså beroende av varandra.

  • userIdentity

På den sociala profilen sparas information kopplad till användaren och Social Collaboration.

  • Profilbild
  • Medlemskap i grupper
  • Notifieringar
  • Och mycket mer kopplat till Social Collaboration

 

Denna sida publicerades: 2018-06-27

Hjälpte informationen på den här sidan dig?

Missa inga nya rön, tips och tricks! Prenumerera på insite!

Hitta till oss!

SiteVision AB (huvudkontor)
Drottninggatan 18A
702 10 Örebro

Info: 019-17 30 30
Support: 019-17 30 39

Senaste Tweets