Sette opp Single Sign-On med SAML 2.0

  • Oppdatert

Innledende oppsett

Hvis dere har SAML 2.0 som metode for Single Sign-On (SSO), gir de følgende trinnene informasjon som hjelper med implementeringen.

1. Importer verdier fra Insperas metadata-fil til din IdP-løsning

Først må du importere/hente ut verdier fra Insperas metadata-fil til din IdP-løsning når du oppretter 'appen' Inspera Assessment. Denne metadata-filen finner du på <dittsubdomene>.inspera.com/saml/metadata, f.eks. demo.inspera.com/saml/metadata

Det kan hende du må justere claims/attributter for SAML-assertion. De korrekte navnene for disse attributtene/assertionene finnes i metadata-filen. Som standard godtar Inspera attributtet eduPersonPrincipalName som externalUserId

Inspera har fleksibilitet til å benytte ethvert unikt brukerattributt fra assertionen. For eksempel har du muligheten til å be om at Inspera konfigurerer SAML-oppsettet til å bruke attributtfeltet der du vanligvis lagrer e-post (urn:oid:0.9.2342.19200300.100.1.3 eller mail).  Hvis du ønsker å bruke et annet attributt enn eduPersonPrincipalName som externalUserId, må du informere din Onboarding-konsulent eller Inspera Service Desk i løpet av SAML-oppsettet.

Navnene på attributtene/assertionene må samsvare nøyaktig (ingen prefikser eller suffikser) med det metadata-filen oppgir. Det eneste obligatoriske attributtet, eduPersonPrincipalName, bør inneholde den samme verdien som du ønsker å identifisere kandidatbrukerne med i Inspera Assessment (SSO bruker-ID).

Vi foreslår også at dere inkluderer minst begge navnene for kandidatbrukerne, da disse brukes til å vise kandidatnavn (givenName og surName) på kandidatens dashbord og i prøve-verktøyet etter at de har logget inn i Inspera Assessment. Ved ønske kan kandidatnavn også brukes til å de-anonymisere kandidatene før prøven eller etter vurdering. Se følgende artikler for mer informasjon om de-anonymisering av kandidater:

2. Gi Inspera nettlenke til IDP-xml

Når du har importert Insperas metadata-fil/hentet ut de nødvendige verdiene, må du gi din Onboarding-konsulent eller Service Desk en nettlenke der din IDP-xml er tilgjengelig. Inspera vil bruke denne til å sette opp integrasjonen på vår side.

Hvis du allerede har funnet Insperas metadata hos eduGAIN, er den eneste informasjonen du trenger å oppgi til din Onboarding-konsulent eller Service Desk din entityID.
Viktig: For å kunne sette opp integrasjonen trenger vi ett attributt for bruker-ID. Hvis ingenting annet er satt opp i konfigurasjonen, er attributtet eduPersonPrincipalName påkrevd. Vi trenger ikke navn (givenName og surName) hvis dere ikke ønsker at vi skal lagre navn, eller vise dem på kandidatens dashbord eller i kandidatens prøve-verktøy.

Tilpasning på innloggingssiden

Når Single Sign-On (SSO)-integrasjonen er satt opp i Inspera, vil en generisk SAML-innloggingsknapp vises på innloggingssiden deres.

Dere kan tilpasse både teksten i knappen og legge til en logo. Dere finner de tekniske begrensningene spesifisert i artikkelen Tilpasninger i Inspera.

Dere kan sende Inspera ønsket tekst og logo ved første oppsett, eller når som helst etter oppsettet.

Etter oppsett - koble til administrator-brukere

For å fullføre Single Sign-On (SSO)-oppsettet for administrative brukere, logg inn med dine registrerte brukeropplysninger, gå til Brukeradministrasjon og oppdater administrator-brukerne i Inspera Assessment ved å legge inn identifikatoren/attributtet dere har satt på deres side i tekstfeltet SSO external userid

Identifikatoren er verdien dere har satt i attributtet eduPersonPrincipalName. Inspera godtar urn:oid:1.3.6.1.4.1.5923.1.1.1.6 eller det vennlige navnet eduPersonPrincipleName som standard attributtnavn for externalUserId i SAML-svaret. Dette gjelder med mindre dere har bedt om et annet attributtfelt i oppsettet deres.

Dette må gjøres for hver administrator-bruker for at de skal kunne logge inn med SSO.

Oppsett for kandidater 

Inspera anbefaler at dere har teststudenter/-kandidater for å teste Single Sign-On (SSO)-oppsettet på kandidatenes innloggingsside. 

Kandidater kan legges til på prøvenivå enten ved bruk av CSV-import eller ved bruk av en prøvekode. For mer informasjon om hvordan du legger til kandidater på prøver, se artiklene Oppsett for kandidater - CSV-import (SSO) og Meld på kandidater med prøvekode.

Ofte stilte spørsmål (FAQ)

  • Dette betyr vanligvis at dere ikke har lagt inn SSO external userid i den tilsvarende administrator-brukerens profil som beskrevet i Etter oppsett - koble til administrator-brukere. Følg trinnene i det avsnittet og prøv å logge inn på nytt.

    Hvis dere fortsatt får feilmeldingen, betyr det vanligvis at ID-en som er lagt inn er feil. Vær oppmerksom på at dette feltet skiller mellom store og små bokstaver.

  • Dette betyr vanligvis at attributtene ikke er mappet/satt riktig i deres Active Directory/SSO-oppsett. Se din metadata-fil, f.eks. <subdomene>.inspera.com/saml/metadata. Der kan du se attributtene som trengs for å hente fornavn og etternavn: 

    Disse feltene skiller mellom store og små bokstaver, så vær forsiktig med dette. F.eks. kan "givenname" være satt, men vår fil viser at man skal bruke givenName, som ikke er det samme. Det samme gjelder for surName og sn.

  • entityID er ikke en URL. I stedet er det en ID-streng som ikke har noen funksjon som lenke, så den er trygg å bruke.

Var denne artikkelen nyttig?

0 av 0 syntes dette var nyttig