Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

SSO koppeling

Uitleg hoe je een SSO-koppeling maakt op basis van SAML specificaties.

Ga je gebruik maken van SSO om jouw e-learningmodules aan te bieden binnen jouw organisatie? Dan helpen wij je graag om deze koppeling in te regelen door middel van onderstaand stappenplan.

Voorbereiding

Stel een functioneel beheerder vast die voor jullie organisatie de SSO-koppeling gaat beheren (het liefst twee, mocht er een afwezig zijn, dat er altijd nog iemand beschikbaar is). Is deze persoon nog geen deelnemer binnen Maester? Maak de deelnemer dan aan. Is de persoon al wel geregistreerd in Maester, ga dan naar zijn of haar profiel.

Zorg ervoor dat deze deelnemer de rol IT Admin aan het profiel krijgt te hangen. Dit geeft deze persoon alleen toegang tot Integratie in het beheer van Maester. Verder is alles voor deze persoon afgeschermd.

Stappenplan voor de functioneel beheerder

  1. Log in met jouw gegevens binnen de omgeving van Maester.

  2. Ga naar Mijn Profiel - Beheer.

  3. Ga naar de Integratie in het linker menu (als deze niet al open staat).

  4. Selecteer SAML Connectie (SSO).

  5. Klik op Connectie Configureren.

  6. Vul onder Metadata URL de URL in die verwijst naar de (federation) metadata xml.

  7. Klik op Configure. Indien er een error is, wordt die direct in het formulier getoond. Als men daar zelf niet uitkomt dan contact opnemen met support. De feedback hier kunnen we nog verbeteren op basis van wat er mogelijk mis gaat bij deelnemers.

Indien alles goed gaat zijn de connectiestatistieken beschikbaar in het overzicht!

Inloggen met SSO kan vervolgens via <maester_url>/authenticate/sso/saml. Indien op het login scherm een optionele SSO login keuze nodig is moet dat in de uber admin settings aangezet worden. Dit kan ik eventueel ook naar hetzelfde paneel halen.

Uitleg

Metadata URL

De Metadata URL is de URL in die verwijst naar de (federation) metadata xml. Het formaat van deze URL is afhankelijk van de gebruikte identity provider.

Fully Qualified Domain Name

Wordt automatisch ingevuld op basis van de URL van de applicatie.

Host info

Wordt automatisch ingevuld op basis van de URL van de applicatie.

Waarde van NameIDFormat

Indien NameIDFormat ingesteld staat op emailAddress, dan wordt de waarde van dit veld op de plek gebruikt van de email claim indien deze niet wordt meegestuurd. Dit betekent ook dat die waarde gebruikt kan worden om in te loggen. Mocht dit niet nodig zijn of geen NameIDFormat worden meegestuurd, zet dit veld dan op 'unspecified'.

Deelnemers aanmaken bij login toestaan

Indien aangevinkt worden nog niet bestaande deelnemers automatisch aangemaakt wanneer ze de eerste keer inloggen. In het geval dat users gemanaged worden op basis van een externe bron (bijvoorbeeld SCIM) kan het wenselijk zijn deze optie uit

te zetten.

Deelnemers heractiveren bij login toestaan

Indien aangevinkt worden al bestaande deelnemers die gemarkeerd zijn als niet actief automatisch weer geactiveerd.

Toon SSO als optie bij inloggen

Indien aangevinkt toont het standaard inlogscherm een extra knop Domein waarop deelnemers kunnen klikken om te worden doorgestuurd naar de login pagina van de identity provider.

Inloggen altijd doorverwijzen naar SSO

Indien aangevinkt wordt bij het bezoeken van het inlogscherm de deelnemer direct doorgestuurd naar de login pagina van de identity provider.

SSO-koppelingen zijn een one way verbinding

Maester maakt op dit moment geen gebruik van een two-way sync. Dit betekent dat bijvoorbeeld wanneer een deelnemer uit dienst gaat, deze handmatig uit de deelnemers verwijderd moet worden.

Claims

Ook het instellen van de beschikbare velden (claims) die worden meegestuurd in de SSO response van de Identity Provider moeten nog worden kunnen ingesteld. Maester ondersteunt de volgende claims:

Verplicht

  • Key: givenname

    Alt key: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    Verplicht: ja

    Beschrijving: Voornaam deelnemer.

  • Key: surname

    Alt key: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    Verplicht: ja

    Beschrijving: Achternaam deelnemer.

  • Key: email

    Alt key: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Verplicht: ja

    Beschrijving: Email deelnemer.

Niet verplicht

  • Key: roles

    Alt key: http://schemas.microsoft.com/ws/2008/06/identity/claims/role

    Verplicht: nee

    Beschrijving: Rollen (array of komma gescheiden lijst van namen van rollen in ons systeem).

  • Key: department

    Verplicht: nee

    Beschrijving: Naam van department in ons systeem.

  • Key: subdepartment

    Verplicht: nee

    Beschrijving: Naam van subdepartment in ons systeem.

  • Key: externalid

    Verplicht: nee

  • Beschrijving: External ID voor de deelnemer.