Ställa in Single Sign-On med OpenID Connect (OIDC)

  • Uppdaterad

Initial konfiguration

Om ni använder OpenID Connect (OIDC) som metod för Single Sign-On (SSO), ger följande steg information som hjälper till vid implementeringen.

Börja med att förse er Onboarding-konsult eller Service Desk med följande:

  1.  En länk till er OIDC-konfiguration. 

    Länken slutar vanligtvis med /.well-known/openid-configuration

  2. Ett client ID och en secret för att konfigurera klienten.

    Inspera använder token-path för OIDC.

På er sida behöver ni göra följande: 

  1. Registrera callback-path för Inspera-klienten: https://sso.inspera.com/oidc/login

    Inspera stöder för närvarande endast automatisk skapande av kandidatanvändare. Administratörsanvändare behöver ha registrerat den e-postadress som Inspera tar emot i user-info-fältet för OIDC-autentiseringstypen. Detta beror på att Inspera inte har definierat den specifika platsen i OIDC-datan för å hitta rollerna för den nya administratörsanvändaren.
  2. Ange Redirect-URL:er dit identitetsleverantören (IdP) ska skicka användaren efter autentisering. Detta bör matcha callback-URL:en i Inspera-applikationen.

  • Svaret från identitetsleverantörens (IdP) token-API i OpenID Connect (OIDC) inkluderar vanligtvis access-tokens, ID-tokens och eventuellt refresh-tokens. Följande är ett förenklat exempel på hur ett OIDC IdP token-API-svar kan se ut:

    {

      "access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",

      "token_type": "Bearer",

      "expires_in": 3600,

      "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",
      "refresh_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

    }

    id-token avkodat -

    Inspera möjliggör mappning av data från antingen id-token eller user-info till valfritt fält i externaluser-objektet, vilket bildar basen för inloggnings- och användarskapandeprocesserna.

    Om alla fält mappas från id-token finns det inget behov av att anropa user-info-slutpunkten.

    Till exempel, i en OIDC-inloggning med Google, kommer endast ett användbart värde, 'pid', att skickas tillbaka, vilket kommer att användas som externalid. Mappningskonfigurationen för ett sådant fall skulle se ut så här:

    "mappings" : [

    "email:noMap",

    "firstName:noMap",

    "lastName:noMap",

    "externalId:idToken:pid",

    ]

    Inspera är inte begränsat till att endast använda e-postadressen som externalid. Inspera har flexibiliteten att välja valfri unikt identifierande sträng från antingen id-token eller userinfo-svaret som externalid. externalId kan ha olika former, såsom e-post, användarnamn, användar-id, personnummer eller någon annan unik identifierare. Om ni önskar ett annat ID än standardvärdet, vänligen informera er Inspera-representant eller Service Desk i god tid innan konfigurationen påbörjas.

    Standardmappningar, enligt Google-inställningen, är följande:

    • mail = userinfo:email
    • first name = userinfo:given_name
    • last name = userinfo:family_name
    • externalid = userinfo:email

    Men om id-tokenet innehåller all denna information rekommenderas det att skriva över dessa mappningar för att undvika behovet av ett anrop för att hämta användarinformation. Vänligen kontrollera detta i er konfiguration och förse Inspera med denna information.

Inspera föreslår att ni också inkluderar minst båda namnen för kandidatanvändare, eftersom dessa används för att visa kandidatnamn (given_name & family_name) efter att de har loggat in i Inspera Assessment.  Om så önskas kan kandidatnamn även användas för att de-anonymisera kandidaterna före provet eller efter rättningen. Se följande artiklar för mer information om att de-anonymisera kandidater:

Anpassning på inloggningssidan

När er Single Sign-On (SSO)-integration är konfigurerad i Inspera, kommer en generisk SAML-inloggningsknapp att visas på er inloggningssida.

Ni kan anpassa både texten i den knappen och lägga till en logotyp. Ni hittar de tekniska begränsningarna specificerade i artikeln Anpassningar inom Inspera.

Ni kan skicka önskad text och logotyp till Inspera vid den initiala konfigurationen, eller när som helst efteråt.

Efter konfiguration - ansluta administratörsanvändare

För att slutföra SSO-konfigurationen för administrativa användare behöver ni logga in med era registrerade användaruppgifter, gå till Användarhantering och uppdatera administratörsanvändarna i Inspera Assessment genom att ange den identifierare ni har angett på er sida i fältet SSO external userid.

Identifieraren är det värde ni har angett i attributet email tillgängligt i user-info-svaret. Detta gäller såvida ni inte har begärt att en annan sträng ska användas som externalid i er konfiguration.

Detta måste göras för varje administratörsanvändare för att de ska kunna logga in med SSO.

Kandidatinställningar 

Inspera rekommenderar att ni har teststudenter/kandidater för att testa Single Sign-On (SSO)-inställningen på kandidaternas inloggningssida. 

Kandidater kan läggas till på provnivå antingen genom att använda CSV-import eller genom att använda en provkod. För mer information om hur man lägger till kandidater till prov, se artiklarna Kandidatinställningar - CSV-import (SSO) och Tilldela lärande via provkod.

FAQ

  • Detta innebär vanligtvis att ni inte har angett SSO external userid i den motsvarande administratörens profil som beskrivs i Efter konfiguration - ansluta administratörsanvändare. Följ stegen i det avsnittet och försök logga in igen.

    Om ni fortfarande får felmeddelandet innebär det vanligtvis att det ID som angetts är felaktigt. Observera att detta fält är skiftlägeskänsligt.

Var denna artikel till hjälp?

0 av 0 tyckte detta var till hjälp