Ställa in Single Sign-On med SAML 2.0

  • Uppdaterad

Initial konfiguration

Om ni använder SAML 2.0 som metod för Single Sign-On (SSO), ger följande steg information som hjälper till vid implementeringen.

1. Importera värden från Insperas metadatafil till din IdP-lösning

Först behöver du importera/extrahera värden från Insperas metadatafil till din IdP-lösning när du skapar "appen" Inspera Assessment. Denna metadatafil finns på <din-subdomän>.inspera.com/saml/metadata, t.ex. demo.inspera.com/saml/metadata

Du kan behöva justera claims/attribut för SAML-assertionen. De korrekta namnen för dessa attribut/assertions finns inuti metadatafilen. Som standard accepterar Inspera attributet eduPersonPrincipalName som externalUserId

Inspera har flexibilitet att använda valfritt unikt användarattribut från assertionen. Till exempel har du möjlighet att begära att Inspera konfigurerar SAML-inställningarna för att använda det attributfält där du vanligtvis lagrar e-post (urn:oid:0.9.2342.19200300.100.1.3 eller mail).  Om du vill använda ett annat attribut än eduPersonPrincipalName som externalUserId, måste du informera din Onboarding-konsult eller Inspera Service Desk under SAML-konfigurationen.

Namnen på attributen/assertionerna måste matcha exakt (inga prefix eller suffix) med vad metadatafilen anger. Det enda obligatoriska attributtet, eduPersonPrincipalName, bör innehålla samma värde som du vill identifiera kandidatanvändarna med i Inspera Assessment (SSO användar-ID).

Vi föreslår också att ni inkluderar minst båda namnen för kandidatanvändarna, eftersom dessa används för att visa kandidatnamn (givenName och surName) på kandidatens instrumentpanel och i spelaren efter att de har loggat in i Inspera Assessment. Om så önskas kan kandidatnamn även användas för att de-anonymisera kandidaterna före provet eller efter rättningen. Se följande artiklar för mer information om att de-anonymisera kandidater:

2. Förse Inspera med webblänk till IDP-xml

När du har importerat Insperas metadatafil/extraherat de nödvändiga värdena, förse din Onboarding-konsult eller Service Desk med en webblänk där din IDP-xml kan hittas. Inspera kommer att använda denna för att ställa in integrationen på vår sida.

Om du redan har hittat Insperas metadata hos eduGAIN är den enda informationen du behöver lämna till din Onboarding-konsult eller Service Desk din entityID.
Viktigt: För att kunna ställa in integrationen behöver vi ha ett attribut för användar-ID. Om inget annat har ställts in i konfigurationen krävs attributet eduPersonPrincipalName. Vi behöver inte namn (givenName och surName) om ni inte vill att vi ska lagra namn eller visa dem på kandidatens instrumentpanel eller i kandidatspelaren.

Anpassning på inloggningssidan

När din Single Sign-On (SSO)-integration är konfigurerad i Inspera kommer en generisk SAML-inloggningsknapp att visas på din inloggningssida.

Du kan anpassa både texten i den knappen och lägga till en logotyp. Du hittar de tekniska begränsningarna specificerade i artikeln Anpassningar inom Inspera.

Du kan skicka önskad text och logotyp till Inspera vid den initiala konfigurationen, eller när som helst efteråt.

Efter konfiguration - ansluta administratörsanvändare

För att slutföra Single Sign-On (SSO)-konfigurationen för administrativa användare, logga in med dina registrerade användaruppgifter, gå till Användarhantering och uppdatera administratörsanvändarna i Inspera Assessment genom att ange den identifierare/det attribut du har angett på din sida i textfältet SSO external userid

Identifieraren är det värde du har angett i attributet eduPersonPrincipalName. Inspera accepterar urn:oid:1.3.6.1.4.1.5923.1.1.1.6 eller det vänliga namnet eduPersonPrincipleName som standardattributnamn för externalUserId i SAML-svaret. Detta gäller såvida du inte har begärt ett annat attributfält i din konfiguration.

Detta måste göras för varje administratörsanvändare för att de ska kunna logga in med SSO.

Kandidatinställningar 

Inspera rekommenderar att du har teststudenter/kandidater för att testa Single Sign-On (SSO)-inställningen på kandidaternas inloggningssida. 

Kandidater kan läggas till på provnivå antingen genom att använda CSV-import eller genom att använda en provkod. För mer information om hur man lägger till kandidater till prov, se artiklarna Kandidatinställningar - CSV-import (SSO) och Tilldela lärande via provkod.

FAQ

  • Detta innebär vanligtvis att du inte har angett SSO external userid i den motsvarande administratörens profil som beskrivs i Efter konfiguration - ansluta administratörsanvändare. Följ stegen i det avsnittet och försök logga in igen.

    Om du fortfarande får felmeddelandet innebär det vanligtvis att det ID som angetts är felaktigt. Observera att detta fält är skiftlägeskänsligt.

  • Detta betyder vanligtvis att attributen inte är mappade/inställda korrekt i din Active Directory/SSO-konfiguration. Se din metadatafil, t.ex. <subdomän>.inspera.com/saml/metadata. Där kan du se vilka attribut som behövs för att hämta förnamn och efternamn: 

    Dessa fält är skiftlägeskänsliga, så var noga med detta – t.ex. kan "givenname" vara inställt, men vår fil visar att man ska använda givenName, vilket inte är samma sak. Detsamma gäller för surName och sn.

  • entityID är inte en URL. Istället är det en ID-sträng som inte har något värde som länk, så den är säker att använda.

Var denna artikel till hjälp?

0 av 0 tyckte detta var till hjälp