Ga je gebruik maken van SSO om jouw e-learningmodules aan te bieden binnen jouw organisatie? Dan helpen wij je graag om deze koppeling in te regelen door middel van onderstaand stappenplan.
Voorbereiding
Stel een functioneel beheerder vast die voor jullie organisatie de SSO-koppeling gaat beheren (het liefst twee, mocht er een afwezig zijn, dat er altijd nog iemand beschikbaar is). Is deze persoon nog geen gebruiker binnen Maester? Maak de deelnemer dan aan. Is de persoon al wel geregistreerd in Maester, ga dan naar zijn of haar profiel.
Zorg ervoor dat deze gebruiker de rol IT Admin aan het profiel krijgt te hangen. Dit geeft deze persoon alleen toegang tot Integratie in het beheer van Maester. Verder is alles voor deze persoon afgeschermd.
Stappenplan voor de functioneel beheerder
Log in met jouw gegevens binnen de omgeving van Maester.
Ga naar Mijn Profiel - Beheer.
Ga naar de Integratie in het linker menu (als deze niet al open staat).
Selecteer SAML Connectie (SSO).
Klik op Connectie Configureren.
Vul onder Metadata URL de URL in die verwijst naar de (federation) metadata xml.
Klik op Configure. Indien er een error is, wordt die direct in het formulier getoond. Als men daar zelf niet uitkomt dan contact opnemen met support. De feedback hier kunnen we nog verbeteren op basis van wat er mogelijk mis gaat bij gebruikers.
Indien alles goed gaat zijn de connectiestatistieken beschikbaar in het overzicht!
ā
Inloggen met SSO kan vervolgens via <maester_url>/authenticate/sso/saml. Indien op het login scherm een optionele SSO loginkeuze nodig is moet dat in de uber admin settings aangezet worden. Dit kan ik eventueel ook naar hetzelfde paneel halen.
Uitleg
Metadata URL
De Metadata URL is de URL in die verwijst naar de (federation) metadata xml. Het formaat van deze URL is afhankelijk van de gebruikte identity provider.
Fully Qualified Domain Name
Wordt automatisch ingevuld op basis van de URL van de applicatie.
Host info
Wordt automatisch ingevuld op basis van de URL van de applicatie.
Waarde van NameIDFormat
Indien NameIDFormat ingesteld staat op emailAddress, dan wordt de waarde van dit veld op de plek gebruikt van de email claim indien deze niet wordt meegestuurd. Dit betekent ook dat die waarde gebruikt kan worden om in te loggen. Mocht dit
niet nodig zijn of geen NameIDFormat worden meegestuurd, zet dit veld dan op 'unspecified'.
Gebruikers aanmaken bij login toestaan
Indien aangevinkt worden nog niet bestaande gebruikers automatisch aangemaakt wanneer ze de eerste keer inloggen. In het geval dat users gemanaged worden op basis van een externe bron (bijvoorbeeld SCIM) kan het wenselijk zijn deze optie uit
te zetten.
Gebruikers heractiveren bij login toestaan
Indien aangevinkt worden al bestaande gebruikers die gemarkeerd zijn als niet actief automatisch weer geactiveerd.
Toon SSO als optie bij inloggen
Indien aangevinkt toont het standaard inlogscherm een extra knop Domein waarop gebruikers kunnen klikken om te worden doorgestuurd naar de login pagina van de identity provider.
Inloggen altijd doorverwijzen naar SSO
Indien aangevinkt wordt bij het bezoeken van het inlogscherm de gebruiker direct doorgestuurd naar de login pagina van de identity provider.
SSO-koppelingen zijn een one way verbinding
Maester maakt op dit moment geen gebruik van een two-way sync. Dit betekent dat bijvoorbeeld wanneer een deelnemer uit dienst gaat, deze handmatig uit de deelnemers verwijderd moet worden.
Claims
Ook het instellen van de beschikbare velden (claims) die worden meegestuurd in de SSO response van de Identity Provider moeten nog worden kunnen ingesteld. Maester ondersteunt de volgende claims:
Verplicht
Key: givenname
Alt key:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Verplicht: ja
Beschrijving: Voornaam Gebruiker.
Key: surname
Alt key:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Verplicht: ja
Beschrijving: Achternaam Gebruiker.
Key: email
Alt key:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Verplicht: ja
Beschrijving: Email gebruiker.
Niet verplicht
Key: roles
Alt key:
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Verplicht: nee
Beschrijving: Rollen (array of kommagescheiden lijst van namen van rollen in ons systeem).
Key: department
Verplicht: nee
Beschrijving: Naam van department in ons systeem.
Key: subdepartment
Verplicht: nee
Beschrijving: Naam van subdepartment in ons systeem.
Key: externalid
Verplicht: nee
Beschrijving: External ID voor de gebruiker.