help.sitevision.se hänvisar alltid till senaste versionen av Sitevision

Konfigurera SAML

SAML står för Security Assertion Markup Language och är en XML-baserad öppen standard för att utbyta autentisering och behörigheter.

SAML är en federerad inloggningsmetod som möjliggör inloggning på en webbplats i Sitevision med konton från den egna katalogtjänsten, utan att den behöver vara direkt kopplad mot Sitevision. Förenklat går det att säga att en inloggning med hjälp av SAML består av tre delar, en användare, en Identity Provider (IdP), och en eller flera Service Providers (SP).

Läs mer om grunderna för SAML.

OBS! Om du har flera webbplatser så behöver SAML-konfigurationen sätts upp för samtliga webbplatser.

Konfigurera SAML i Sitevision

Innan du börjar göra inställningar i Sitevision, är det viktigt att du ha ett fungerande idP-metadata.

Läs mer om idP-metadata och vad Sitevision förväntar sig.

Certifikat

I och med konfigurationen skapar Sitevision ett SHA 256-certifikat som läggs i en keystore i roten på filarkivet. Keystoren är lösenordsskyddad med ett genererat lösenord som är sparat i filterkonfigurationen.

Så här gör du

I Sitevision hittar du inställningarna för SAML via Panelen Inloggning under Webbplatsinställningar.

Bilden nedan visar den dialog som dyker upp om du klickar på knappen "Konfigurera SAML". Observera att det inte går att använda funktionen "Konfigurera SAML" för att lägga till extra SAML2-filter. Dessa behöver läggas till manuellt då en ny konfiguration kommer skriva över befintlig inloggnings-konfiguration till default.

Konfiguration SAML

1. Lägg till en Federationsidentifierare (Entity ID)

Skriv in den domän som används för inloggning, ett så kallat Entity ID.

2. Lägg till Organisationsinformation

Ange följande information om organisationen:

  • Organisationsnamn - namnet på Organisationen
  • Organisationswebbaddress - URL till organisationens webbplats
  • Organsiations e-postadress - den generella e-postadressen till organisationen

3. Lägg till IDP-information

Välj mellan att hämta idP-metadata via en URL eller att skriva in idP-metadatat som text. En stor fördel med att hämta idP-metadata via en URL är att informationen kommer uppdateras automatiskt en gång per dygn. Information om kan förändras i idP-metadatat är till exempel certifikat med tidsbestämd livslängd. idP-metadata som skrivs in direkt är däremot statisk och kommer inte uppdateras automatiskt.

Hämta IDP metadata från adress

Fyll i den adress som idP-metadata hämtas från. Det autoamtiska uppdateringen av idP-metadata i Sitevision sker kl 05.00 varje dygn. Om den automatiska uppdateringen av någon anledning inte kan genomföras, så kommer idP-metadata från dagen innan användas.

Ange IDP metadata som text

Välj det här alternativet för att klistra in idP-metadatat direkt i Sitevision. Informationen är statisk och kommer inte uppdateras automatiskt vid eventuella förändringar. Istället behöver du gå in och manuellt ändra i idP-metadatat vid förändringar, som till exempel om certifikatet behöevr uppdateras.

4. Avsluta konfigurationen

Klicka på Ok för att avsluta konfigurationen.

Efter konfigurationen

När konfigurationen av SAML är klar kommer Sitevision automatiskt skapa ett konfigurerat SAML-filter och en SAML-modul. All övrig inloggningskonfiguration är oförändrad.

Det innebär att du själv behöver ändra ordning på inloggningsmodulerna så att filtret och modul har ordningen som på bilden nedan.

SAML ordning

Anledningen till att det inte sker direkt är att du på det här viset måste välja när du vill aktivera SAML, trots att konfigurationen finns på webbplatsen.
Om SAML-aktiveras för tidigt i processen så kan det innebära att användare inte längre kan logga in med till exempel LDAP-inloggning.

Metadatan från Sitevision som behöver importeras till idP:n finns tillgänglig under SAML-filtret i textform. Ni finner samma text via <webbplatsadress>/saml/metadata

Inloggning

SAML-inloggningen triggas av en ej publik inloggningssida. Beroende på om det är ett ej publikt intranät eller en extern webbplats, öppen för allmänheten, så sätter du upp inloggningen på olika sätt.

Extern webbplats


1. Skapa en inloggningssida som är ej publik.

2. Peka ut inloggningsidan som landningssida för inloggning under Webbplatsinställningar -> Landningssidor.

3. Skapa ytterliagare en inloggningssida som används för formulärinloggning, om SAML-konfigurationen av någon anledning inte fungerar. Sätt den andra inloggningssidan som publik och skapa ett alias för den, till exempel /systemlogin

Ej publik webbplats (ex intranät)


Eftersom samtliga sidor ofta är ej publika på ett intranät, det vill säga användaren måste logga in för att komma åt sidorna, så behövs ingen specifik inloggningssida som är ej publik. Samliga ej publika sidor kommer fungera som trigger för SAML.

Du behöver, trots det ha en inloggningssida med formulärinloggning, som du pekar ut via Webbplatsinställningar -> Landsningssida. Den sidan behöver vara publik, men du kan dölja den för allmänheten via en extern lösning (till exempel VPN, intern dns osv).

Denna sida publicerades:

 Skriv ut sida
Hjälpte informationen dig?