Godt å vite om SAML

• SAML-billetten er i utgangspunktet i XML-format og inneholder både attributter som må være til stede og attributter som du velger og kontrollerer over helt selv. Mer info om SAML-billett og SAML-sett.
  
  
• Et av attributtene som må inkluderes, er NameID, som vi vanligvis refererer til som identifikatoren. Dette attributtet er grunnlaget for hvordan Sitevision identifiserer brukeren og knytter den til et brukerobjekt i Sitevision.
  
  
• Når du har en føderert pålogging, kan Sitevision ikke lese eller skrive til katalogen. Det eneste Sitevision får «vite» om brukere er hva som sendes i SAML-billetten og konfigureres gjennom SAML-oppsettet for å bli mottatt. Les mer om dette under overskriften Enveiskommunikasjon.

Valg av SAML-identifikator

Det som sendes som identifikator i SAML-billetten velges av deg i oppsettet med IdP og SAML-løsning. Du kan velge mellom de forskjellige unike feltene som er tilgjengelige for en bruker i din egen katalog. Vi anbefaler at du velger en stabil identifikator uten direkte personopplysninger. Identifikatoren i SAML-billetten trenger ikke å være den samme som påloggingsbrukernavnet. Identifikatoren skiller mellom store og små bokstaver; med andre ord er «kallekula» slett ikke det samme som «KalleKula».

Anbefalte identifikatorer

• Identifikatoren må være unik for brukeren og vedvarende. Eksempler på vedvarende identifikatorer er UUID-er, GUID-er eller ID-numre (merk at disse er upassende hvis de inneholder personopplysninger).

Upassende identifikatorer

• E-postadresse er uegnet som identifikator fordi den delvis inneholder direkte personopplysninger, men også anses som ustabil. For eksempel kan folk gifte seg og endre etternavn og dermed e-postadresse - da endres identifikatoren.
• Ansettelsesnummer, cn, brukernavn, personnummer og andre personopplysninger er ikke hensiktsmessige med hensyn til GDPR.

Endring av SAML-identifikator

Identifikatoren i SAML-billetten danner grunnlaget for forbindelsen mellom en bruker i den fødererte katalogtjenesten og Sitevision. Endringer i identifikatoren fører derfor til at Sitevision ikke kan knytte brukeren til brukerobjektet.

Noen moduler, for eksempel Bestilling og favorittliste avhenger av brukerobjektet, og disse modulene påvirkes av en endring i identifikatoren.

Social Collaboration

Enhver endring i identifikatoren resulterer i opprettelse av et nytt brukerobjekt i Sitevision. Dermed, hvis identifikatoren endres, vil brukeren fortsatt kunne logge på Sitevision med SAML-billetten, men vil nå motta et ekstra brukerobjekt. På nettsteder der Social Collaboration er aktivert, vil det nye brukerobjektet opprette en ny sosial brukeridentitet.

Det er et par forskjellige scenarier for når identifikatoren endres.

• Du vil bevisst endre det som sendes som en identifikator og erstatte verdien som katalogtjenesten skal sende i IDP
• Du justerer identifikatoren uten å vite at det vil ha konsekvenser
• Endringer gjøres i katalogtjenesten der feltet som brukes som identifikator endres for en eller flere brukere. For eksempel vil du endre alle store bokstaver til små bokstaver, for å oppnå en standard.

I det første tilfellet kan du være proaktiv og, gjennom en bestillingsjobb fra Sitevision Product Support, bidra til å endre identifikatoren til det eksisterende brukerobjektet slik at brukerne beholder sin gamle brukeridentitet og innstillinger.

I de to andre tilfellene er «skaden» allerede gjort. Sitevision Product Support kan bidra til å gjøre bytter selv da, men siden bestilling av jobber krever litt framsyn, kan det hende noen eller alle brukere i en periode må klare seg uten å ha sine gamle brukeridentiteter og innstillinger.

Enveiskommunikasjon

Når nettstedet ditt har SAML som påloggingsmetode, vil forbindelsen mellom Sitevision og katalogtjenesten være enveis. Dette betyr at hvis det er gjort endringer i katalogtjenesten, vil Sitevision motta informasjon om den når brukeren logger på igjen. Informasjonen* reiser via SAML-billetten som følger med brukeren ved innlogging.

* Informasjonen som gis avhenger av hvordan SAML er konfigurert på idP-siden.

Hva skjer hvis en bruker blir slette fra katalogtjenesten?

Som standard forblir brukeren på nettstedet fordi Sitevision mottar informasjon om oppdateringer bare når han er logget inn. Du kan deaktivere brukeren ved å høyreklikke på brukeren under panelet Bruker og velge «Deaktiver».

Er det mulig å opprette en automatisk synkronisering mellom katalogtjenesten vår og Sitevision?

Ja, det er mulig å bruke nettstedets REST API til å oppdatere Sitevision med endringer som skjer på katalogsiden, forutsatt at katalogtjenesten støtter lytting etter endringer.

Metoder som kan være av interesse:

• SimpleUser: Brukes til å opprette en ny bruker denne har rukket å logge på.
  
  
• EnableSimpleUser - Brukes til å enten deaktivere eller aktivere en bruker. En deaktivert bruker er ikke lenger synlig under Nettstedsinnstillinger > Brukere, men forblir i Sitevision og aktiveres på nytt ved innlogging Det er også en avkrysningsboks du kan bruke til å liste opp deaktiverte brukere under Nettstedsinnstillinger > Brukere.
  
  
• UserIdentity - Brukes til å opprette en sosial profil før SimpleUser har logget inn.
  
  
• EnableUserIdentity - Brukes til å enten deaktivere eller aktivere en sosial profil. En deaktivert profil vises ikke når du søker, men kan søkes gjennom Søk etter person-modulen hvis avmerkingsboksen «Søk etter inaktive eller skjulte brukere» er merket av.
  
  
• ShowUserIdentity - Brukes til å skjule eller vise en sosial profil (når du søker). Alle brukere vises som standard. En skjult profil vises ikke når du søker, men kan søkes gjennom Finn person-modulen hvis avmerkingsboksen «Søk etter inaktive eller skjulte brukere» er merket av.
  
  
• Egenskaper - Brukes til å hente, redigere og slette informasjon om en SimpleUser. Dette er metoden du bør bruke for å oppdatere for eksempel telefonnumre og e-postadresser.
  
  
• AnonymizeUser - Brukes til å slette en bruker og dens informasjon. Vær oppmerksom på at anonymisering ikke kan reverseres. Hvis det bare er noen få brukere som du trenger å anonymisere, anbefaler vi funksjonen du finner under Nettstedsinnstillinger i stedet. Der får du bedre oversikt og det er mindre risiko for at feil bruker blir anonymisert.

Brukerobjekter i Sitevision

Det finnes to typer brukerobjekter i Sitevision.

• User - brukerobjekter som opprettes under en direkte kobling mellom katalogtjenesten og Sitevision, for eksempel under egen serverdrift.
• SimpleUser - brukerobjekt av typen Webbruker eller en bruker som opprettes under føderert innlogging ved hjelp av SAML eller OpenID Connect.

Brukerobjektet lagrer informasjon om brukeren.

• Mine favoritter.
• Innstillinger for redigeringsmodus (språk, tekststørrelse osv.)
• Eventuelle data fra tredjepartsfunksjoner (f.eks. løsninger laget av våre partnere).

Sosial brukeridentitet i Social Collaboration

Hvis Social Collaboration er aktivert på nettstedet, opprettes en sosial brukeridentitet (UserIdentity) av Sitevision for hvert brukerobjekt som logger på. Du kan også opprette en brukeridentitet ved å enten høyreklikke en bruker i panelet Brukere og velge alternativet «Opprett brukeridentitet» eller ved å bruke UserIdentity-metoden i REST API.

Brukerobjektet og den sosiale brukeridentitet har en toveis referanse og er dermed gjensidig avhengige.

På den sosiale brukeridentiteten lagres informasjon knyttet til brukeren og Social Collaboration.

• Profilbilde
• Medlemskap i grupper
• Varsler
• Og mye mer knyttet til Social Collaboration