help.sitevision.se hänvisar alltid till senaste versionen av Sitevision

Inställningar idP

Identity Provider, även kallad idP, lagrar all information om användarkonton och lösenord. Idp:ns uppgift är att autentisera användare och utfärda en så kallad “SAML-biljett” som visar att användaren är inloggad. Exempel på idP-tjänst är Azure, ADFS, Portwise och Mobilityguard.

idP-metadata

Innan du börjar ställa in SAML i Sitevision (SP) behöver du ha fungerande idP-metadata. Här nedanför hittar du ett exempel på ett fungerande idP-metadata.

idp metadataFörstora bilden

SAML-biljett

SAML-biljetten innehåller information om användaren och behövs för autentisering. Det är med hjälp av SAML-biljetten som användaren verifieras och kan tilldelas medlemsskap i Virtuella grupper för behörighetshantering.

Följande måste finnas med i SAML-biljetten när användaren kommer till Sitevision:

  • Ett Subject med namn "NameID". Värdet ska sättas till användarens unika identitet*.
    Här är det också viktigt att du anger format på informationen.
    Se exempel på SAML-biljett nedan där vi satt formatet "persistent".

GDPR-lagen
Med hänsyn till den nya strängare synen på lagring av personuppgifter så avråder vi er från att använda en identiferare som innehåller information som kan kopplas till den enskilda användaren. Detta gäller särskilt om ni använder Sitevision Cloud.

Läs mer om olämpliga identifierare här.

* Tänk på att välja en unik identifierare för användaren som inte förändras. Förändras den kommer en ny användare att skapas upp på Webbplatsen. I de fall ni använder Social Collaboration kommer även en ny tom social användaridentitet att skapas.

För att kunna presentera data om användaren är det vår rekommendation att du även skickar med följande attribut/claims. Observera att namnet på attributet behöver vara skrivet exakt som nedan för att Sitevision ska mappa informationen korrekt.

  • givenName = Förnamn
  • sn = Efternamn
  • mail = mailadress

Exempel

Här ser du ett exempel på en fungerade SAML-biljett med information från lokal katalogtjänst. En biljett innehåller vanligtvis mer information, men för att det ska bli lättare att läsa har vi ersatt vissa delar med punkter.

<samlp:Response ID="_8df09hh876-5klh-7ef0-cc88907dss09" .......... >
...........
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
...........
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:persistent">850101-charlie</NameID>
..........
</Subject>
<AudienceRestriction>
<Audience>https://www.sitevision.se</Audience>
</AudienceRestriction>
..........
<AttributeStatement>

<Attribute Name="givenName">
<AttributeValue>Charlie</AttributeValue>
</Attribute>

<Attribute Name="sn">
<AttributeValue>Ask</AttributeValue>
</Attribute>

<Attribute Name="mail">
<AttributeValue>charlie.ask@foretaget.se</AttributeValue>
</Attribute>

<Attribute Name="title">
<AttributeValue>Webbansvarig</AttributeValue>
</Attribute>

<Attribute Name="groups">
<AttributeValue>Administratör-Sitevision</AttributeValue>
<AttributeValue>Redaktör-Sitevision</AttributeValue>
<AttributeValue>Sitevision-HQ</AttributeValue>
<AttributeValue>SV-CustomerSuccess</AttributeValue>
</Attribute>

</AttributeStatement>
..........
</samlp:Response>

SAML-biljett exempelFörstora bilden

Bilden visas samma information som ovan men med färg för enklare läsning. Klicka på bilden för att göra den större.

Attributet groups i SAML-biljetten

Attributet groups är inte obligatoriskt. Men vill du kunna behörighetsstyra webbplatsen på olika grupper i katalogtjänsten, så är det ett måste.

I attributet groups skickar du med de grupper användaren tillhör i katalogtjänsten. Du skapar sedan Virtuella grupper i Sitevision som de matchas mot. De virtuella grupperna är i sin tur kopplade till behörighetsroller på webbplatsens sidor. Lär mer om Virtuella grupper här.

Övriga inställningar i idP

  • Hashalgoritm, SHA256/SHA1, behöver matcha inställningen som finns i SAML2-filtret på webbplatsen.
  • Sitevisions krypteringscert är inte publikt och kan i vissa fall därför behöva importeras till trusted root.
    • Krypteringscertifikatet finns i providermetadatat innanför taggen <ds:X509Certificate> som finns under <md:KeyDescriptor use="encryption">

Med hjälp av Firefoxs tillägg "SAML Tracer" kan du på ett enkelt sätt granska en SAML-biljett efter att användaren logggat in i sin idP. Mycket bra vid felsökning! Motsvarande finns också till Chrome i form av SAML Message Decoder.

Hjälp med konfiguration av idP ingår inte i Sitevision Support.

Denna sida publicerades:

 Skriv ut sida
Hjälpte informationen dig?