Sätta upp SAML

Förutsättningar

För att SAML ska kunna fungera krävs ett fungerande SSL-certifikat på webbsajten.

Identity provider (IDP): den del som man loggar in mot: oftast heter de något i stil med “adfs”, “Kerberos” eller “federate”.
Service provider (SP): den del som triggar en inloggning mot IDP, i vårat fall Sitevision. Det kan finnas en eller fler SP mot samma IDP. T.ex: en produktions- och utvecklingsmiljö.

Information

När SAML är korrekt uppsatt fungerar det på följande vis:

1. En användare försöker nå en sida i SP som kräver inloggning.
2. SP gör en förfrågan till IDP och skickar med data om bland annat varifrån anropet gjordes (bland annat information hämtad från SSL certet). Obs! Beroende på kundens miljö kan det krävas att kunden ställer in i sin IDP att anrop från särskilda adresser är tillåtna.
3. IDP returnerar en SAML-biljett till SP.
4. SP tar emot SAML-biljetten med uppgifter om vilken användare som ska loggas in (uuid), SP litar på att SAML-biljetten är betrodd och godkänd, och loggar således in användaren.

Installation

Under ‘Webbplatsinställningar -> Inloggning’:

1. Skrolla ner och klicka på “Konfigurera SAML”.
2. Fyll i fälten efter kundens önskemål.
3. Klistra in URL under “Hämta IDP metadata från URL” (kommer från IDP, troligtvis måste kunden förse dig med denna). URLen ska sluta på .xml.
4. Sitevision bör nu automatiskt skapa upp inställningar för SAML. Dessa inställningar ska innehålla information om SSL (under entityID).

SAML ska nu vara uppsatt.

Källa:
https://help4.sitevision.se/SiteVision_4_0/12705681.html

Google

Följ anvisningarna här för att slå på SAML i google admin console https://support.google.com/a/answer/6087519?hl=en

Värden du behöver fylla i:

Service provider details

• ACS URL: https://din-sitevisionserver.se/saml/SAMLAssertionConsumer
• Entity ID https://din-sitevisionserver.se
• Signed Response: off
• Name ID: Basic Information Primary Email
• Name ID Format: UNSPECIFIED

Attribute mapping

Attribut	category	user field
urn:oid:0.9.2342.19200300.100.1.1	Basic Information	Primary Email

Sitevision

• Gå till Webbplatsinställningar / Inloggning
• Tryck på Konfigurera SAML
• Fyll i en epost i fältet Organisations e-postadress
• Klicka i Ange IDP metadata som text och kopiera in metadatan ifrån Google
• Tryck på Konfigurera SAML längst ned för att spara inställningarna
• Sortera Inloggningsfilter, Inloggningsmoduler och skapa en inloggningssida enligt instruktioner här: https://help.sitevision.se/SiteVision_5_0/12709836.html

IDP metadatan hittar du här: admin.google.com > Apps > Saml Apps > din skapade app > Service Provider Details > Manage Certificates > DOWNLOAD IDP METADATA