Hur slår jag på SSO?
Uppsättning
och egenadministration av SSO för DirSys plattform
Underlag
DirSys AB tillhandahåller i sin plattform möjligheten till egenadministration att sätta upp och aktivera SSO (Singel Sign-On).
Förberedelser
För möjlighet till egenadministration behövs åtkomst till vyn för ”Användaradministration” samt behörigheter för SSO. Här ges åtkomst till de systeminställningar vilka behöver konfigureras att sätta i gång SSO. Att fylla i dessa inställningar kan behöva en del förberedande arbete så att allt material vilket behövs finns tillhanda. Exempel på material som behövs är tillgång till metadata för organisationens IdP.
Aktivering
Gå in i administrationen för ”Användare” och vidare till fliken för Single sign-on (SSO).
Här finns möjlighet till två val för SSO, antingen Open ID Connect eller SAML.
Här väljer du det protokoll som er organisation använder sig av genom att trycka på respektive knapp.
I detta exempel väljs ”SAML”.
I nästa steg har du möjlighet att fylla i metadata för organisationens IdP, och man har även möjlighet att fylla i allt manuellt genom att klicka på länken ”Har ej tillgång till metadata”.
Oavsett om du fyller i metadata eller klickar på länken ”Har ej tillgång till metadata” kommer du nu till en sida där övriga uppgifter fylls i.
Om metadata fylls i kommer några fält att bli förifyllda, annars är alla tomma.
Om metadata fylls i kommer några fält att bli förifyllda, annars är alla tomma.
Koppla attribut
Informationen som fylls i fälten bestäms av er identitetsleverantör (IdP). Kontrollera därför att ni har rätt uppgifter från er IdP eller er metadata.
Observera att dessa fält är förifyllda med de vanligaste anslutningslänkarna, men dessa kanske inte är korrekta för er organisation. Vänligen dubbelkolla dessa värden, annars kommer det inte att fungera.
Efter att tryckt
“Spara” för att lagra inställningarna ges en länk tillbaka. Denna skall klistras in hos er
IdP-leverantör.
SSO är nu konfigurerat i
er DirSys-miljö och klar att testas.
Efter det konstaterats att inloggning via SSO fungerar finns ytterligare två val av inställningar att beakta.
- Tillåt skapa
Vid aktivering av “Tillåt skapa”, kommer användare inom ert IdP kunna logga in utan att först ha ett konto. Kontot kommer då skapas vid första inloggning.
Detta kräver dock att det först definierats en standardgrupp, en applikationsroll och en behörighetsroll vilken användaren vid uppskapande av sitt konto kommer tilldelas.
- Inloggning endast via SSO
För att uppnå maximal säkerhet rekommenderar vi, efter verifiering att SSO-uppsättningen är korrekt och fungerar, att ni aktiverar ”Inloggning endas via SSO”.
Inloggning med e-post och lösenord avaktiveras då, och användare loggas in direkt via SSO utan inloggnings-sidan.
Samma tillvägagångsätt som beskrivet ovan görs för “Open Id Connect”, skillnaden är ett par extra obligatoriska fält som måste fyllas i.
Beskrivande text och förklaringar till samtliga fält under SSO-inställningar ges om du för muspekaren över frågetecknet angivet bredvid varje alternativ.
Felsökning och support
I händelse av att det vid aktivering av SSO, antingen för Open ID Connect (OIDC) eller SAML, skulle tillstöta problem, kan en första felsökning göras i fälten för IdP-metadata samt övriga inställningar vilka är obligatoriska att lämna uppgifter till.
Skulle hela formuläret för SSO av någon anledning vara i behov att raderas och göras om, påverkar detta enbart inloggning (SSO inaktiveras) men användarkonton och deras uppgifter lämnas orörda. Så snart SSO på nytt satts upp kommer inloggning för tidigare skapade användarkonton åter att fungera.
DirSys kan inte ge support när det gäller felsökning i kunders identitetslösningar (IdP) då inställningar är unika för varje leverantör. DirSys kan endast ge support för grundläggande OIDC- och SAML-funktionalitet utifrån standarden som sådan.
Beskrivningar av specifika begrepp inom SSO
entityID används för att identifiera avsändare och mottagare av meddelandet. Detta värde behöver normalt specificeras i IdP.
Beskrivningar av specifika begrepp inom SSO
entityID används för att identifiera avsändare och mottagare av meddelandet. Detta värde behöver normalt specificeras i IdP.
Endpoint används för kommunikation mellan en IdP och en Service Provider (SP).
Felaktig Attributmappning: NameID är normalt e-postadress i DirSys applikation. Om NameID inte innehåller e-postadressen kommer inloggningen att misslyckas
IdP dirigerar inte om till applikationen: entityID är troligtvis inte korrekt specificerat i IdP.
Felaktig Attributmappning: NameID är normalt e-postadress i DirSys applikation. Om NameID inte innehåller e-postadressen kommer inloggningen att misslyckas
IdP dirigerar inte om till applikationen: entityID är troligtvis inte korrekt specificerat i IdP.
FAQ
Sätta upp SSO tillsammans med 2FA/MFA
Q: Finns möjligheten att kombinera SSO med nyttjande av tvåfaktorsautentisering för ökad säkerhet?
A: DirSys lösning för 2FA/MFA (i applikationen kallad OTP) fungerar inte tillsammans med kunders egen SSO.
Det finns från DirSys sida inget som hindrar att använda båda autentiseringarna samtidigt, men när SSO är i gång tar kunden helhetsansvar över inloggningsprocessen och därav även styrningen av 2FA/MFA jämte SSO. Närmast tillhands att undersöka om slutanvändares användning av SSO fungerar tillsammans med någon form av tvåfaktorsautentisering är att ta kontakt med den egna IT-avdelningen.
Uppdatering eller ändring av mailadress vid användning av SSO
Q: Om en användare av någon anledning (exempelvis vid namnbyte) behöver uppdatera eller ändra sin mailadress vilken används för inloggning, vad behöver då tänkas på?
A: Vad som är viktigt om adressändring för en användare behöver genomföras är att detta görs både i DirSys applikation, och i den IdP som SSO-autentiseringen utförs emot.
DirSys AB 2024-09
Related Articles
Uppdatering av SSO vid befintlig uppsättning
Uppdatering av SSO i befintlig uppsättning av SAML I DirSys applikation med Release 6.5.0 lanseras en ny version gällande hantering av SAML. Denna uppdatering genomförs manuellt av en hos kunden utsedd person med administratörsrättigheter för ...Hur ändrar jag ordning på frågorna i frågeformulären?
1. Gå till Administration (kugghjulet) följt av fliken frågeformulär. 2. Välj det frågeformulär vars frågor du önskar ändra ordningen på. 3. Klicka på de gröna pilarna enligt bilden nedan: 4. Ändra ordningen på frågorna i formuläret med hjälp av drag ...Hur får jag ut en rapport på min konsekvensbedömning?
När du genomfört en konsekvensbedömning finns möjlighet att exportera den till Word. 1. Gå till konsekvensbedömning. 2. Sök efter den konsekvensbedömning som du önskar exportera till Word. 3. Exportera konsekvensbedömningen till Word genom att klicka ...Hur skapar jag en standardroll?
Vad är en Standardroll? I användaradministrationen kan ni sätta en av era roller till att vara standardroll. Denna roll kommer tilldelas användare som läggs till i grupp utan roll samt tilldelas användare om deras befintliga roll raderas. Detta ...Hur exporterar jag informationsobjekt till Excel?
Hur exporterar jag informationsobjekt till Excel? 1.Gå till Informationsobjekt. 2. Klicka på knappen ”Exportera till excel” längst upp till höger. Observera att det är antalet informationsobjekt som visas på sidan som kommer att exporteras ut till ...