Sette opp Single Sign-On med OpenID Connect (OIDC)

  • Oppdatert

Innledende oppsett

Hvis dere bruker OpenID Connect (OIDC) som metode for Single Sign-On (SSO), gir de følgende trinnene informasjon som hjelper med implementeringen.

Først må dere sende følgende til deres Onboarding-konsulent eller Service Desk:

  1.  En lenke til deres OIDC-konfigurasjon. 

    Lenken slutter vanligvis med /.well-known/openid-configuration

  2. En client ID og en secret for å konfigurere klienten.

    Inspera bruker token-path for OIDC.

På deres side må dere gjøre følgende: 

  1. Registrer callback-path for Inspera-klienten: https://sso.inspera.com/oidc/login

    Inspera støtter for øyeblikket bare automatisk oppretting av kandidatbrukere. Administrator-brukere må ha registrert e-postadressen Inspera mottar i user-info-feltet for OIDC-autentiseringstypen. Dette er fordi Inspera ikke har definert den spesifikke plasseringen i OIDC-dataene for å finne rollene til den nye administrator-brukeren.
  2. Angi Redirect-URL-er hvor identitetsleverandøren (IdP) skal sende brukeren etter autentisering. Dette bør samsvare med callback-URL-en i Inspera-applikasjonen.

  • Svaret fra identitetsleverandørens (IdP) token-API i OpenID Connect (OIDC) inkluderer vanligvis tilgangstokens (access tokens), ID-tokens og eventuelt refresh-tokens. Det følgende er et forenklet eksempel på hvordan et OIDC IdP token-API-svar kan se ut:

    {

      "access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",

      "token_type": "Bearer",

      "expires_in": 3600,

      "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",
      "refresh_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

    }

    id-token dekodet -

    Inspera muliggjør mapping av data fra enten id-token eller user-info til alle felt i externaluser-objektet, som danner grunnlaget for innlogging og brukeroppretting.

    Hvis alle felt mappes fra id-token, er det ikke nødvendig å kalle user-info-endepunktet.

    For eksempel, ved en OIDC-innlogging med Google, vil bare én brukbar verdi, 'pid', bli sendt tilbake, som vil bli brukt som externalid. Mapping-konfigurasjonen for et slikt tilfelle ville sett slik ut:

    "mappings" : [

    "email:noMap",

    "firstName:noMap",

    "lastName:noMap",

    "externalId:idToken:pid",

    ]

    Inspera er ikke begrenset til å bruke bare e-postadressen som externalid. Inspera har fleksibiliteten til å velge hvilken som helst unik streng fra enten id-token eller userinfo-svaret som externalid. externalId kan ha ulike former, som e-post, brukernavn, bruker-ID, personnummer eller en annen unik identifikator. Hvis dere ønsker en annen ID enn standarden, vennligst informer deres Inspera-representant eller Service Desk i god tid før oppsettet.

    Standard mapping, i henhold til Google-oppsettet, er som følger:

    • mail = userinfo:email
    • first name = userinfo:given_name
    • last name = userinfo:family_name
    • externalid = userinfo:email

    Men hvis id-tokenet inneholder all denne informasjonen, anbefales det å overstyre disse mappingene for å unngå behovet for et ekstra kall for å hente brukerinformasjon. Vennligst sjekk dette i deres oppsett og gi Inspera denne informasjonen.

Inspera foreslår at dere også inkluderer begge navnene for kandidatbrukere, da disse brukes til å vise kandidatnavn (given_name & family_name) etter at de har logget inn i Inspera Assessment.  Ved ønske kan kandidatnavn også brukes til å de-anonymisere kandidatene før prøven eller etter vurdering. Se følgende artikler for mer informasjon om de-anonymisering av kandidater:

Tilpasning på innloggingssiden

Når Single Sign-On (SSO)-integrasjonen er satt opp i Inspera, vil en generisk SAML-innloggingsknapp vises på innloggingssiden deres.

Dere kan tilpasse både teksten i knappen og legge til en logo. Dere finner de tekniske begrensningene spesifisert i artikkelen Tilpasninger i Inspera.

Dere kan sende Inspera ønsket tekst og logo ved første oppsett, eller når som helst etter oppsettet.

Etter oppsett - koble til administrator-brukere

For å fullføre SSO-oppsettet for administrative brukere, må dere logge inn med deres registrerte brukeropplysninger, gå til Brukeradministrasjon og oppdatere administrator-brukerne i Inspera Assessment ved å legge inn identifikatoren dere har satt på deres side i feltet SSO external userid.

Identifikatoren er verdien dere har satt i attributtet email som er tilgjengelig i user-info-svaret. Dette gjelder med mindre dere har bedt om at en annen streng skal brukes som externalid i deres oppsett.

Dette må gjøres for hver administrator-bruker for at de skal kunne logge inn med SSO.

Oppsett for kandidater 

Inspera anbefaler at dere har teststudenter/-kandidater for å teste Single Sign-On (SSO)-oppsettet på kandidatenes innloggingsside. 

Kandidater kan legges til på prøvenivå enten ved bruk av CSV-import eller ved bruk av en prøvekode. For mer informasjon om hvordan du legger til kandidater på prøver, se artiklene Oppsett for kandidater - CSV-import (SSO) og Meld på kandidater med prøvekode.

Ofte stilte spørsmål (FAQ)

  • Dette betyr vanligvis at dere ikke har lagt inn SSO external userid i den tilsvarende administrator-brukerens profil som beskrevet i Etter oppsett - koble til administrator-brukere. Følg trinnene i det avsnittet og prøv å logge inn på nytt.

    Hvis dere fortsatt får feilmeldingen, betyr det vanligvis at ID-en som er lagt inn er feil. Vær oppmerksom på at dette feltet skiller mellom store og små bokstaver.

Var denne artikkelen nyttig?

0 av 0 syntes dette var nyttig