Konfigurera SAML SSO

  • Publicerad Oct 9, 2024
  • 6 minut(er) lästa
Prev Next

Plugin SAML 2.0 (SSO) tillåter användare att logga in på Totara med ett konto från en identitetsleverantör (IdP). I detta fall är Totara din tjänsteleverantör (SP).

Aktivera SAML SSO

Du kan aktivera SAML-autentiseringsmetoden genom att följa dessa steg:

  1. Gå till snabbåtkomstmenyn > Plugins > Authentication > Manage authentication.
  2. Klicka på ögonikonen (öga_stäng) bredvid SAML 2.0 (SSO) plugin för att aktivera den (ögat kommer att vara öppet när autentiseringsmetoden är aktiverad).

Konfigurera en identitetsleverantör (IdP)

När du har aktiverat SAML 2.0-autentiseringsplugin måste du sedan konfigurera en IdP, som kommer att vara tillgänglig som en inloggningsmöjlighet för användare. I SAML-protokollet sker kommunikation mellan en IdP och en SP över specifika slutpunkter. IdP:n tillhandahåller följande slutpunkter för kommunikation:

  • SingleSignOnService
  • SingleLogoutService

SP:n tillhandahåller följande ändpunkter för kommunikation:

  • AssertionConsumerService
  • SingleLogoutService

För att konfigurera en IdP med Totara, behöver du informera Totara om IdP:ns ändpunkter. Detta görs genom att tillhandahålla metadata från IdP:n till Totara (en XML-fil som innehåller alla nödvändiga ändpunkter och en publik nyckel). Du kan tillhandahålla metadata genom att ange en URL för att hämta metadata från eller genom att direkt skriva in innehållet i XML-filen i Totara.

Konfigurera en identitetsleverantör.

Du behöver också informera IdP:n om Totaras ändpunkter. Hur detta görs varierar för varje enskild IdP. Vi har dokumenterat hur man konfigurerar följande IdP:er med Totara:

  • Okta
  • Microsoft Azure AD
  • Microsoft AD FS
För andra IdP:er, vänligen se identitetsleverantörens dokumentation för hur man konfigurerar en SP.

När både IdP och SP har fått varandras ändpunkter, kan de kommunicera korrekt. För en lyckad inloggningsförfrågan, tillhandahåller IdP:n en lista med attribut som används för att identifiera användaren. Dessa attribut behöver mappas till Totara-användarfält för att autentisera användaren i din Totara-instans.

Skapa en IdP-anslutning

Följ dessa steg för att skapa en IdP-anslutning:

  1. Gå till Snabbåtkomstmeny > Pluginer > Autentisering > SSO SAML > Inställningar.
  2. Klicka på Lägg till identitetsleverantör.
  3. Ge din IdP ett namn. Detta blir namnet som visas för användarna på inloggningsskärmen.
  4. Ge en länk till metadata eller klistra in IdP:ns metadata XML i fältet IdP-metadata .
  5. Specificera en Användaridentifierare och det Totara-fält du vill mappa den till. Unika användarspecifika fält är också tillgängliga som ett alternativ.
  6. För att konfigurera de ytterligare inställningarna och fältmappningarna, klicka på Visa avancerade inställningar:
    • På fliken Fältmappning  kartlägg användar-attribut som tillhandahålls av IdP till din Totara-instansanvändare. Notera att användarattribut kan vara fullständiga URL:er.
    • Fliken Avancerade inställningar  innehåller följande alternativ för att ändra Totara-specifikt beteende vid interaktion med IdP:
      • Nya användare: Välj hur nya användare ska hanteras.
      • Befintliga användare: Välj hur befintliga användare ska hanteras. 
      • NameID-format: Välj formatet du önskar använda.
      • Entity ID: Åsidosätt Entity ID som används i SP Metadata.
      • Utloggningsbeteende: Genomdriv utloggning på IdP när användaren loggar ut från Totara.
      • Omdirigera efter utloggning: Ange en omdirigerings-URL efter utloggning.
      • Attributavgränsare: Attributavgränsare används för IdP-fältkartläggningar med flera värden.
      • Signaturer: Dessa inställningar är inte nödvändiga för säker drift, men kan vara användbara i vissa fall. Välj bland följande alternativ:
        • Signera metadata
        • Signera autentiseringsförfrågningar
        • Kräv att IdP signerar enskilda försäkringar
      • Dölj på inloggningssidan: Om aktiverat kommer IdP inte att visas på inloggningssidan.
      • Debugga: Fånga kommunikationer och IdP för felsökningsändamål.
  7. Klicka på Spara .
  8. Säkerställ att Status omkopplaren är aktiverad för att säkerställa att IdP kommer att vara synlig på inloggningsskärmen.
  9. Från Hantera identitetsleverantörer sidan, klicka på ikonen med tre prickar (tre_punkter(1)) bredvid IdP och välj Testa för att testa din nya IdP-anslutning.
Vi har tillhandahållit specifika instruktioner för att ställa in SAML med Okta, Microsoft Azure AD och Microsoft AD FS.

Migrera användare till SAML 2.0 (SSO)

Användare måste ha sin autentiseringsmetod inställd på SAML 2.0 (SSO) för att kunna logga in via SAML. När du importerar användare via HR-import kan du ställa in Auth alternativet till 'ssosaml'.

Alternativt kan du ställa in Automatiskt länka inställningen för en IdP till Befintliga användare, och valfritt markera alternativet Kräv e-postverifiering. Med dessa inställningar aktiverade kommer befintliga icke-SAML-användare kunna logga in via SAML om de uppfyller villkoren (medan de fortfarande kan använda sina nuvarande inloggningsmetoder).

Ställ in SAML SSO med Okta

För att ställa in SAML SSO med Okta, följ dessa steg:

  1. Logga in på Okta med dina inloggningsuppgifter.
  2. Klicka på Admin.
  3. Gå till Applications > Applications.
  4. Klicka på Create App Integration, och välj sedan SAML 2.0.
  5. Ange ett namn och klicka på Next.
  6. I Totara, gå till Snabbåtkomstmeny > Plugins > Autentisering > SAML 2.0 (SSO) > Inställningar.
  7. Skapa en IdP.
  8. Kopiera följande information och ange den i Okta:
    • ACS URL -> Single sign-on URL
    • Entity ID -> Audience URI
  9. Utöka Avancerade inställningar, och ladda sedan upp certifikatet från Totara.
  10. Aktivera Single Logout.
  11. Kopiera Single Logout URL från Totara till Okta.
  12. Kopiera Entity ID från Totara till fältet SP Issuer i Okta.
  13. Fyll i följande attributsatser:
    • first_name -> user.firstName
    • last_name -> user.lastName
    • email -> user.email
  14. Klicka Nästa, välj något av alternativen och klicka sedan på Slutför.
  15. Kopiera Metadata URL från Okta och klistra in den i Totara.
  16. Återvänd till Okta, gå till fliken Assignments  och välj gruppen Alla .
  17. I Totara, under Användaridentifierare, ange 'email' som IdP-fält och välj E-postadress som Totara-fält.
  18. Under Fältmappningar, lägg till följande mappningar:
    • Förnamn -> first_name, vid varje inloggning
    • Efternamn -> last_name, vid varje inloggning
  19. Klicka på Spara .
  20. Klicka på ikonen med tre punkter (tre_punkter(1)) och klicka Test för att kontrollera att integrationen fungerar.

Ställ in SAML SSO med Microsoft Entra ID

För att ställa in SAML med Microsoft Entra ID (tidigare Microsoft Azure Active Directory), behöver du ett användarkonto med Applikationsadministratör behörigheter. Logga in på din Azure-portal och följ dessa steg:

  1. I din Totara-instans, gå till Snabbåtkomstmeny > Plugins > Autentisering > SAML 2.0 (SSO) > Inställningar och skapa en IdP.
  2. I Azure, sök efter och välj Microsoft Entra ID.
  3. I sidopanelens navigering, klicka på Företagsapplikationer.
  4. Klicka på + Ny applikation.
  5. Klicka på + Skapa din egen applikation.
  6. Ge applikationen ett namn.
  7. Välj Integrera vilken annan applikation som helst som du inte hittar i galleriet (Icke-galleri).
  8. Klicka på Skapa . Du kommer sedan att tas till den nyss skapade företagsapplikationen.
  9. På den nyss skapade företagsapplikationen, klicka Single sign-on i sidofältnavigeringen.
  10. Klicka SAML.
  11. Klicka Redigera på kortet Grundläggande SAML-konfiguration  och ange följande från din nyss skapade Totara IdP:
    • Identifierare (Entity ID)
    • Svar URL (Assertion Consumer Service URL)
    • Logout Url 
    • Alternativt kan du ladda ner din Totara-metadata och ladda upp den genom att klicka på Ladda upp metadatafil
  12. Klicka på Spara .
  13. På kortet SAML-certifikat, klicka på nedladdningslänken bredvid Federationsmetadata XML.
  14. Kopiera innehållet i XML-filen till fältet IdP metadata i din Totara IdP (se till att XML  är valt).
  15. Klicka på Användare och grupper  i sidofältets navigering.
  16. Klicka på + Lägg till användare/grupp  och tilldela en användare du har tillgång till.
  17. Gå till din Totara-sajt, gå till din Totara-instans och testa inställningarna.
  18. Kartlägg attributen som tillhandahålls av IdP till din Totara-instans enligt behov. För att se fältnamnen att använda:
    1. Navigera till listan över id-providrar.
    2. Klicka på ikonen med tre prickar (tre_punkter(1)) på IdP, välj sedan Testa.
    3. Välj Inloggning (AuthnRequest)  och klicka på Testa.
    4. Logga in på IdP.
    5. Se Fältnamn kolumnen på Testinställningar sidan för att se vad IdP tillhandahåller:
      Test IdP-sidan visar fältnamn och deras tillhörande värden.
      Kopiera hela strängen från 'Fältnamn' kolumnen för det fält du vill använda till IdP-fält textfältet.
  19. För att testa IdP-initierad inloggning, gå till https://myapplications.microsoft.com/.
  20. Sök efter det företag du skapade och klicka på det för att logga in.

Ställ in SAML SSO med Microsoft AD FS

För att ställa in SAML SSO med Microsoft AD FS, följ dessa steg:

  1. Installera och konfigurera AD DS och AD FS på en Windows Server-instans.
  2. I Totara (se till att du använder https, och har rensat din cache), gå till Snabbåtkomstmeny > Plugin > Autentisering > SAML 2.0 (SSO) > Inställningar och skapa en IdP. Skaffa federation metadata XML från AD FS. 
  3. Lägg till metadatan i Totara som XML.
  4. Mappa 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' till Användar identifierare.
  5. Konfigurera följande mappningar:
    • E-postadress → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Förnamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Efternamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Klicka på Spara .
  7. Ladda ner metadatan från Totara.
  8. Anslut till AD FS-servern.
  9. Öppna AD FS-hanteringsverktyget (Serverhanteraren > Verktyg > AD FS).
  10. Välj Relying Party Trusts i den vänstra sidomenyn, och välj Lägg till relying party-trust.
  11. Välj Claims aware.
  12. Ladda upp metadatan från Totara.
  13. Ge det ett namn så det enkelt kan identifieras.
  14. Välj Tillåt alla.
  15. Klicka Avsluta.
  16. Det kan hända att ACS/SLO-URL:erna inte importeras, så högerklicka på posten du lade till, gå sedan till Egenskaper > Slutpunkter. Om den är tom, följ dessa steg:
    1. Klicka på Lägg till SAML och välj Assertion consumer.
    2. Kopiera ACS-URL:en från Totara till Betrodd URL, ställ in bindning till POST och markera Standard, klicka sedan på Spara.
    3. Gör samma sak för SLO.
    4. Stäng Egenskaper.
  17. Högerklicka på posten och klicka på Redigera utfärdandepolicy för krav.
  18. Lägg till en regel och välj Skicka LDAP-attribut som krav.
  19. Ange ett namn.
  20. Välj Active Directory som attributbutik.
  21. Mappa följande fält (LDAP → Utgående):
    • Användarens huvudnamn → Namn-ID (detta är viktigt, eftersom om Namn-ID inte är kopplat kommer AD FS inte att skicka SessionIndex)
    • E-Postadress → E-Postadress
    • Förnamn → Förnamn
    • Efternamn → Efternamn

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2025 Totara Learning Solutions. All rights reserved.

relaterade artiklar
  • Inloggningssida
    Använda plattformsfunktioner > Backend/inställning > Teman och utseende