IDP-innstillinger

Identitetsleverandøren, også kjent som idP, lagrer all informasjon om brukerkontoer og passord. IdP-ens jobb er å autentisere brukere og utstede en såkalt «SAML-billett» som viser at brukeren er logget inn. Eksempler på idP-tjenester er Azure, ADFS, Portwise og Mobilityguard.

idP-metadata

Før du begynner å konfigurere SAML i Sitevision (SP), må du ha fungerende idP-metadata. Nedenfor finner du et eksempel på en fungerende idP-metadata.

idp metadataForstørr bildet

SAML-billett

SAML-billetten inneholder informasjon om brukeren og er nødvendig for autentisering. Det er gjennom SAML-billetten at brukeren bekreftes og kan tilordnes medlemskap i virtuelle grupper for fullmaktshåndtering

Følgende inkluderes i SAML-billetten når brukeren ankommer Sitevision:

  • Et emne som heter "NameID". Verdien bør settes til brukerens unike identitet*.
    Her er det også viktig at du spesifiserer formatet på informasjonen.
    Se eksempel på SAML-billett nedenfor der vi setter formatet "vedvarende".

GDPR-loven
I lys av den nye og strengere tilnærmingen til lagring av personopplysninger, anbefaler vi at du ikke bruker en identifikator som inneholder informasjon som kan knyttes til den enkelte bruker. Dette gjelder spesielt hvis du bruker Sitevision Cloud.

Finn ut mer om upassende identifikatorer her.

* Pass på at du velger en unik identifikator for brukeren som ikke endres. Hvis det endres, vil en ny bruker bli opprettet på nettstedet. I tilfeller der du bruker Social Collaboration, vil det også bli opprettet en ny tom sosial brukeridentitet.

For å kunne presentere data om brukeren, er det vår anbefaling at du også inkluderer følgende attributter/krav. Vær oppmerksom på at navnet på attributtet må skrives nøyaktig som nedenfor for at Sitevision skal kunne kartlegge informasjonen riktig.

  • givenName = Fornavn
  • sn = Etternavn
  • mail = e-postadresse

Eksempel

Her kan du se et eksempel på en fungerende SAML-billett med informasjon fra den lokale katalogtjenesten. En billett inneholder vanligvis mer informasjon, men for å gjøre det lettere å lese har vi erstattet noen deler med prikker.

<samlp:Response ID="_8df09hh876-5klh-7ef0-cc88907dss09" .......... >
...........
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
...........
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:persistent">850101-charlie</NameID>
..........
</Subject>
<AudienceRestriction>
<Audience>https://www.sitevision.se</Audience>
</AudienceRestriction>
..........
<AttributeStatement>

<Attribute Name="givenName">
<AttributeValue>Charlie</AttributeValue>
</Attribute>

<Attribute Name="sn">
<AttributeValue>Ask</AttributeValue>
</Attribute>

<Attribute Name="mail">
<AttributeValue>charlie.ask@foretaget.se</AttributeValue>
</Attribute>

<Attribute Name="title">
<AttributeValue>Webansvarlig</AttributeValue>
</Attribute>

<Attribute Name="groups">
<AttributeValue>Administratör-Sitevision</AttributeValue>
<AttributeValue>Redaktør-Sitevision</AttributeValue>
<AttributeValue>Sitevision-HQ</AttributeValue>
<AttributeValue>SV-CustomerSuccess</AttributeValue>
</Attribute>

</AttributeStatement>
..........
</samlp:Response>

SAML-biljett exempelForstørr bildet

Bilden visas samma information som ovan men med färg för enklare läsning. Klicka på bilden för att göra den större.

Groups-attributtet i SAML-billetten

Attributtet Groups er ikke obligatorisk. Men hvis du vil kunne kontrollere fullmaktene til nettstedet på forskjellige grupper i katalogtjenesten, er det et must.

I groups-attributtet inkluderer du gruppene brukeren tilhører, i katalogtjenesten. Deretter oppretter du virtuelle grupper i Sitevision som de matches mot. De virtuelle gruppene er i sin tur knyttet til fullmaktsroller på nettstedets sider. Finn ut mer om virtuelle grupper her.

Andre innstillinger i idP

  • Hash-algoritmen, SHA256/SHA1, må samsvare med innstillingen som finnes i SAML2-filteret på nettstedet.
  • Sitevisions krypteringssertifikat er ikke offentlig og kan i noen tilfeller derfor måtte importeres til trusted root.
    • Krypteringssertifikatet finner du i leverandørens metadata i taggen <ds:X509Certificate> som finnes under <md:KeyDescriptor use="encryption">

Ved hjelp av "SAML Tracer"-tillegget i Firefox kan du enkelt gjennomgå en SAML-billett etter at brukeren logger på idP. Veldig god på feilsøking! Tilsvarende er også tilgjengelig for Chrome i form av SAML Message Decoder.

Hjelp med konfigurasjon av idP er ikke inkludert i Sitevision Support.

Denne siden ble publisert:

 Skriv ut siden
Hjalp informasjonen deg?

help.sitevision.no henviser alltid til den nyeste versjonen av Sitevision