Bra att veta om SAML

• SAML-biljetten är i grunden i XML-format och där finns både attribut som måste finnas och attribut som ni väljer och styr helt själva över. Mer info om SAML-biljett och SAML-uppsättning.
  
  
• Ett av de attribut som måste finnas med är NameID som vi brukar referera till som identifieraren. Detta attribut ligger till grund för hur Sitevision identifierar användaren och kopplar ihop denne med ett användarobjekt i Sitevision.
  
  
• När du har en federerad inloggning kan Sitevision varken läsa eller skriva till katalogen. Det enda Sitevision får ”veta” om användare är det som skickas i SAML-biljetten och som genom SAML-uppsättningen är konfigurerat att det tas emot. Läs mer om detta under rubriken Enkelriktad kommunikation.

Val av SAML-identifierare

Vad som skickas som identifierare i SAML-biljetten väljer ni själva vid uppsättningen av idP och SAML-lösning. Ni kan välja mellan de olika unika fält som finns tillgängliga för en användare i den egna katalogen. Vi rekommenderar att ni väljer en stabil identifierare utan direkta personuppgifter. Identifieraren i SAML-biljetten behöver inte vara samma som användarnamn för inloggningen. Identifieraren är skiftlägeskänslig; ”kallekula” är med andra ord inte alls samma som ”KalleKula".

Rekommenderade identifierare

• Identifieraren måste vara unik för användaren och beständig. Exempel på beständiga identifierare är UUID, GUID eller id-nummer (observera att dessa är olämpliga om de innehåller personuppgifter).

Olämpliga identifierare

• E-postadress är olämplig som identifierare eftersom det dels innehåller en direkt personuppgift men också är att betrakta som instabilt. Exempelvis så kanske personer gifter sig och byter efternamn och därmed mailadress - då förändras identifieraren.
• Anställningsnummer, cn, användarnamn, personnummer och övriga personuppgifter är inte lämpliga med hänvisning till GDPR.

Ändring av SAML-idenitifierare

Identifieraren i SAML-biljetten utgör basen för kopplingen mellan en användare i den federerade katalogtjänsten och Sitevision. Ändringar av identifieraren leder därför till att Sitevision inte kan koppla ihop användaren med användarobjektet.

Vissa moduler, till exempel bokning, lista favoriter och webbanmälan, är beroende av användarobjektet och dessa moduler påverkas av en ändring av identifieraren.

Social Collaboration

Alla förändringar av identifieraren leder till att ett nytt användarobjekt skapas i Sitevision. Om identifieraren ändras kommer alltså användaren fortfarande kunna logga in i Sitevision med SAML-biljetten, men nu få ytterligare ett användarobjekt. På webbplatser där Social Collaboration är aktiverat kommer därmed det nya användarobjektet skapa upp en ny social användaridentitet.

Det finns ett par olika scenarion för när identifieraren ändras.

• Man vill medvetet ändra vad som skickas som identifierare och byter ut värdet som katalogtjänsten ska skicka i IDP:n
• Man justerar identifieraren utan att känna till att det kommer ha effekter
• Man gör förändringar i katalogtjänsten där det fält som används som identifierare förändras för en eller flera användare. Det kan till exempel handla om att man vill ändra alla versaler till gemener, för att uppnå en standard.

I det första fallet kan man vara proaktiv och genom ett beställningsjobb från Sitevisions Produktsupport få hjälp att byta identifierare på befintligt användarobjekt så att användarna behåller sin gamla användaridentitet och sina inställningar.

I de två andra fallen är ”skadan” redan skedd. Sitevision Produktsupport kan hjälpa till att genomföra omkopplingar även då, men eftersom beställningsjobb behöver viss framförhållning kan man få leva med att en del eller alla användare under en period inte har sina gamla användaridentiteter och saknar inställningar.

Enkelriktad kommunikation

När er webbplats har SAML som inloggningsmetod kommer kopplingen mellan Sitevision och er katalogtjänsten vara enkelriktad. Med det menas att om ändringar skett i katalogtjänsten kommer Sitevision får information om det i samband med att användaren loggar in på nytt. Informationen* färdas via den SAML-biljett som följer med användaren vid inloggning.

* Vilken information som följer med beror på hur SAML är konfigurerat på idP-sidan.

Vad händer om en användare tas bort från katalogtjänsten?

Användaren kommer som standard att ligga kvar på webbplatsen eftersom Sitevision endast får information om uppdateringar vid inloggning. Du kan inaktivera användaren genom att högerklicka på användaren under Panelen Användare och välja "Inaktivera".

Går det att skapa en automatisk synkning mellan vår katalogtjänst och Sitevision?

Ja, det går att använda webbplatsens REST-API för att uppdatera Sitevision med förändringar som sker på katalogsidan, förutsatt att katalogtjänsten har stöd för att lyssna efter förändringar.

Metoder som kan vara av intresse:

• SimpleUser: Används för att skapa upp en ny användare innan denne hunnit logga in.
  
  
• EnableSimpleUser - Används för att antingen inaktivera eller aktivera en användare. En inaktiverad användaren syns inte längre under Webbplatsinställningar > Användare men finns kvar i Sitevision och aktiveras på nytt vid inloggning. Det finns även en kryssruta att använda för att lista inaktiverade användare under Webbplatsinställningar > Användare.
  
  
• UserIdentity - Används för att skapa upp en social profil innan dess SimpleUser hunnit logga in.
  
  
• EnableUserIdentity - Används för att antingen inaktivera eller aktivera en social profil. En inaktiverad profil dyker inte upp vid sökning men går att söka fram via modulen Sök person om kryssrutan "Sök efter inaktiva eller dolda användare" är i-kryssad.
  
  
• ShowUserIdentity - Används för att dölja eller visa en social profil (vid sökning). Samtliga användare visas som standard. En dold profil dyker inte upp vid sökning men går att söka fram via modulen Sök person om kryssrutan "Sök efter inaktiva eller dolda användare" är i-kryssad.
  
  
• Properties - Används för att hämta, redigera och radera information om en SimpleUser. Det är denna metod ni ska använda för att uppdatera till exempel telefonnummer och e-postadresser.
  
  
• AnonymizeUser - Används för att radera en användare och dess information. Observera att en anonymisering inte går att backa. Om det endast rör sig om ett fåtal användare som ni har behov av att anonymisera rekommenderar vi funktionen som finns under Webbplatsinställningar istället. Där har ni bättre översikt och det är mindre risk att fel användare anonymiseras.

Användarobjekt i Sitevision

I Sitevision finns två typer av användarobjekt.

• User - användarobjekt som skapas vid en direkt kopppling mellan katalogtjänsten och Sitevision, exempelvis vid egen serverdrift.
• SimpleUser - användarobjekt av typen webbanvändare eller en användare som skapas vid federerad inloggning med SAML eller OpenID Connect.

På användarobjektet sparas information om användaren.

• Mina favoriter.
• Inställningar för hur redigeringsläget ska se ut (språk, textstorlek mm).
• Eventuell data från tredjepartsfunktioner (tex lösningar skapade av våra partners).

Social användaridentitet i Social Collaboration

Om Social Collaboration är aktiverat på webbplatsen kommer en social användaridentitet (UserIdentity) skapas av Sitevision för varje användarobjekt som loggar in. Det går även att skapa en användaridentitet genom att antingen högerklicka på en användare under Panelen Användare och välja alternativet "Skapa användaridentitet" eller genom att använda metoden UserIdentity i REST-API:et.

Användarobjektet och den sociala användaridentitet har en dubbelriktad referens och är alltså beroende av varandra.

På den sociala användaridentiteten sparas information kopplad till användaren och Social Collaboration.

• Profilbild
• Medlemskap i grupper
• Notifieringar
• Och mycket mer kopplat till Social Collaboration