Configureer SAML SSO

  • Gepubliceerd op Jan 24, 2025
  • 7 Gelezen minuut(en)
Prev Next

Met de SAML 2.0 (SSO) plugin kunnen gebruikers inloggen op Totara met een account van een Identity Provider (IdP). In dit geval is Totara je Service Provider (SP).

Als je overstapt van een externe SAML-plugin naar de native Totara-plugin, is het misschien niet mogelijk om dezelfde gebruikersidentificator te gebruiken voor het koppelen. In deze documentatie hebben we beschreven hoe je SAML configureert met Okta, Microsoft Azure AD en Microsoft AD FS, maar voor andere identiteitsproviders moet je de documentatie van die provider controleren.

SAML SSO inschakelen

Je kunt de SAML authenticatiemethode inschakelen door de volgende stappen te volgen:

  1. Ga naar Snelmenu > Plugins > Authenticatie Authenticatie > beheren
  2. Klik op het oogicoontje (oog_sluiten) naast de SAML 2.0 (SSO) plugin  om het in te schakelen (het oog zal open zijn zodra de authenticatiemethode is ingeschakeld).

Configureer een identiteitsprovider (IdP)

Zodra je de SAML 2.0 authenticatieplugin hebt ingeschakeld, moet je een IdP configureren, die beschikbaar zal zijn als inlogoptie voor gebruikers. In het SAML-protocol vindt communicatie plaats tussen een IdP en een SP over specifieke eindpunten. De IdP levert de volgende eindpunten voor communicatie:

  • SingleSignOnService
  • SingleLogout-service

De SP geeft de volgende eindpunten voor communicatie:

  • AssertionConsumerService
  • SingleLogout-service

Om een IdP met Totara te configureren, moet je Totara informeren over de IdP-eindpunten. Dit wordt gedaan door Totara te voorzien van de metadata van de IdP (een XML-bestand dat alle vereiste eindpunten bevat en een openbare sleutel). Je kunt de metagegevens leveren door een URL in te voeren om de metagegevens op te halen of door de inhoud van het XML-bestand rechtstreeks in Totara in te voeren.

Een identiteitsprovider configureren.

Je moet de IdP ook informeren over de eindpunten van Totara. Hoe dit wordt gedaan, verschilt voor individuele IdP's. We hebben gedocumenteerd hoe je de volgende IdP's met Totara configureert:

  • Okta
  • Microsoft Azure AD
  • Microsoft AD FS
Voor andere IdP's, raadpleeg de documentatie van de identiteitsprovider over hoe je een SP configureert.

Zodra zowel de IdP als de SP zijn voorzien van elkaars eindpunten, kunnen ze correct communiceren. Voor een succesvol loginverzoek geeft de IdP een lijst met attributen die moeten worden gebruikt om de gebruiker te identificeren. Deze attributen moeten gekoppeld worden aan Moodle gebruikersvelden om de gebruiker in je Moodle instantie te authenticeren.

Maak een IdP-verbinding

Volg deze stappen om een IdP-verbinding te maken:

  1. Ga naar Snelmenu > Plugins > Authenticatie > SSO SAML > Instellingen.
  2. Klik op Identiteitsprovider  toevoegen.
  3. Geef je IdP een naam. Dit is de naam die aan gebruikers wordt getoond op het inlogscherm.
  4. Geef een link naar de metadata of plak de metadata XML van de IdP in het IdP metadata  veld.
  5. Geef een gebruikers-ID  en het Moodle-veld waarnaar je het wil koppelen. Unieke aangepaste velden zijn ook beschikbaar als optie.
  6. Om de extra instellingen en veldkoppelingen te configureren, klik je op Toon geavanceerde instellingen:
    • Koppel op het  tabblad Veldkoppelingen gebruikersattributen die door de IdP zijn verstrekt aan je Moodle instantiegebruiker. Let op dat gebruikersattributen volledige URL's kunnen zijn.
    • Het  tabblad Geavanceerde instellingen bevat de volgende opties om Totara-specifiek gedrag te wijzigen bij interactie met de IdP:
      • Nieuwe gebruikers: Selecteer hoe nieuwe gebruikers behandeld moeten worden.
      • Bestaande gebruikers: Selecteer hoe bestaande gebruikers behandeld moeten worden. 
      • NaamID-formaat: Selecteer het formaat dat je wil gebruiken.
      • Entiteit ID: Overschrijf de entiteit ID die wordt gebruikt in de SP Metadata.
      • Uitloggedrag: Afmelden afdwingen bij IdP wanneer de gebruiker zich afmeldt bij Totara.
      • Omleiding na afmelden: Geef een omleidings-URL op na afmelden.
      • Kenmerkscheidingsteken: Kenmerkscheidingsteken dat wordt gebruikt voor IdP-veldkoppelingen met meerdere waarden.
      • Handtekeningen: Deze instellingen zijn niet nodig voor een veilige werking, maar kunnen in sommige gevallen nuttig zijn. Kies uit de volgende opties:
        • Metadata ondertekenen
        • Authenticatieverzoeken ondertekenen
        • Vereis IdP om individuele beweringen te ondertekenen
      • Verberg op inlogpagina: Indien ingeschakeld zal de IdP niet getoond worden op de inlogpagina.
      • Foutopsporing: Leg communicatie en de IdP vast voor foutopsporing.
  7. Klik op Opslaan.
  8. Zorg ervoor dat de  statusschakelaar is ingeschakeld om ervoor te zorgen dat de IdP zichtbaar is op het inlogscherm.
  9. Klik op het  icoontje van drie puntjes (drie_punten(1)) naast de IdP en selecteer Test  om je nieuwe IdP-verbinding te testen.
We hebben specifieke instructies gegeven voor het opzetten van SAML met Okta, Microsoft Entra ID en Microsoft AD FS.

Migreren van gebruikers naar SAML 2.0 (SSO)

Gebruikers moeten hun authenticatiemethode hebben ingesteld op SAML 2.0 (SSO) om via SAML in te kunnen loggen. Bij het importeren van gebruikers via HR-import kun je de optie Autheren  op 'ssosaml' zetten.

Je kunt ook de  instelling Automatisch linken voor een IDP instellen voor bestaande gebruikers en optioneel de optie E-mailverificatie vereist selecteren. Met deze instellingen ingeschakeld, kunnen bestaande niet-SAML-gebruikers inloggen via SAML als ze aan de voorwaarden voldoen (terwijl ze nog steeds hun bestaande inlogmethodes kunnen gebruiken).

Stel SAML SSO in met Okta

Doe het volgende om SAML SSO in te stellen met Okta:

  1. Meld je aan bij Okta met je inloggegevens.
  2. Klik op Beheer.
  3. Ga naar Aanvragen > Aanvragen.
  4. Klik op App-integratie maken en selecteer vervolgens SAML 2.0.
  5. Geef een naam en klik op Volgende.
  6. Ga in Totara naar Snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen.
  7. Maak een IdP.
  8. Kopieer de volgende informatie en voer deze in Okta:
    • ACS URL -> Single sign-on URL
    • Entiteit ID -> Doelgroep URI
  9. Vouw de geavanceerde instellingen uit en upload het certificaat vervolgens vanuit Totara.
  10. Single Logout inschakelen.
  11. Kopieer de Single Logout URL  van Totara naar Okta.
  12. Kopieer de entiteits-ID  van Totara naar het SP- uitgeversveld in Okta.
  13. Vul de volgende attributen in:
    • first_name -> user.firstName
    • last_name -> user.lastName
    • e-mail -> user.email
  14. Klik op Volgende, selecteer een van beide opties en klik vervolgens op Voltooien.
  15. Kopieer de Metadata URL van Okta en plak deze in Totara.
  16. Ga terug naar Okta, ga naar het  tabblad Opdrachten en selecteer de  groep Iedereen.
  17. In Totara, onder Gebruikers ID, vul je 'e-mail' in als IdP-veld en kies je E-mailadres als Totara-veld.
  18. Voeg de volgende koppelingen toe onder Veldkoppelingen:
    • Voornaam -> first_name, bij elke aanmelding
    • Achternaam -> last_name, bij elke login
  19. Klik op Opslaan.
  20. Klik op het icoon van drie puntjes (drie_punten(1)) en klik op Test  om te controleren of de integratie werkt.

Stel SAML SSO in met Microsoft Entra ID

Om SAML in te stellen met Microsoft Entra ID (voorheen Microsoft Azure Active Directory), heb je een gebruikersaccount nodig met Application Administrator privileges. Log in op uw Azure-portaal en volg deze stappen:

  1. Ga in je Moodle-instantie naar Snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen en maak een IdP.
  2. Zoek en selecteer Microsoft Entra ID in Azure.
  3. Klik in de zijbalk op Enterprise Applications.
  4. Klik op + Nieuwe aanvraag.
  5. Klik op + Maak je eigen aanvraag.
  6. Geef de aanvraag een naam.
  7. Selecteer Integreren met een andere aanvraag die je niet in de galerij vindt (niet-galerij)
  8. Klik op Maken. Je wordt dan naar de nieuw gemaakte bedrijfstoepassing gebracht.
  9. Klik op Single sign-on  in de zijbalk van de nieuwe bedrijfstoepassing.
  10. Klik op SAML.
  11. Klik op Bewerken  op de basis SAML- configuratiekaart en geef het volgende op van je nieuw gemaakte Totara IdP:
    • ID (Entiteit ID)
    • Antwoord-URL (Assertion Consumer Service URL)
    • URL voor afmelden 
    • Je kunt ook je Moodle-metadata downloaden en uploaden door te klikken op Metadata-bestand uploaden
  12. Klik op Opslaan.
  13. Klik op de SAML Certificaten kaart op de download link naast Federation Metadata XML.
  14. Kopieer de inhoud van het XML-bestand naar het IdP metadataveld in je Totara IdP (zorg ervoor dat XML  is geselecteerd).
  15. Klik op Gebruikers en groepen  in de zijbalknavigatie.
  16. Klik op + Voeg gebruiker/groep toe  en wijs een gebruiker toe waartoe je toegang hebt.
  17. Ga op je Moodle-site naar je Moodle-instantie en test de instellingen.
  18. Koppel de attributen die de IdP geeft aan je Moodle instantie zoals vereist. Zie IdP-verbinding maken voor meer informatie. Om de te gebruiken veldnamen te zien:
    1. Navigeer naar de lijst met identiteitsproviders.
    2. Klik op het icoon van drie puntjes (drie_punten(1)) op de IdP en selecteer Test.
    3. Selecteer Login (AuthnRequest) en klik op Test.
    4. Log in op de IdP.
    5. Zie de  kolom Veldnamen op de  pagina Testinstellingen om te zien wat de IdP levert:
      De Test IdP-pagina toont de veldnamen en de bijbehorende waarden.
      Kopieer de volledige string van de kolom 'Veldnamen' voor het veld dat je wil gebruiken in het IdP-veld tekstveld.
  19. Om IdP-geïnitieerde login te testen, ga je naar https://myapplications.microsoft.com/.
  20. Zoek naar de onderneming die je gemaakt hebt en klik erop om in te loggen.

Stel SAML SSO in met Microsoft AD FS

Doe het volgende om SAML SSO in te stellen met Microsoft AD FS:

  1. Installeer en configureer AD DS en AD FS op een Windows Server instantie.
  2. In Totara (zorg ervoor dat je https gebruikt en je cache hebt opgeschoond), ga je naar het snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen en maak je een IdP. Haal de federatie metadata XML uit AD FS. 
  3. Voeg de metadata toe in Moodle als XML.
  4. Koppel 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' aan  gebruikerscode.
  5. Configureer de volgende koppelingen:
    • E-mailadres → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Voornaam → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Achternaam → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Klik op Opslaan.
  7. Download de metadata van Totara.
  8. Maak verbinding met de AD FS-server.
  9. Open de AD FS management tool (Server Manager > Tools > AD FS).
  10. Selecteer Relying Party Trusts in de linker zijbalk en kies Vertrouwen van de vertrouwende partij toevoegen.
  11. Selecteer Beweringsbewust.
  12. Upload de metadata van Totara.
  13. Geef het een naam zodat het gemakkelijk geïdentificeerd kan worden.
  14. Selecteer Iedereen toestaan.
  15. Klik op Voltooien.
  16. Het is mogelijk dat de ACS/SLO URL's niet geïmporteerd worden, dus klik met de rechtermuisknop op het onderdeel dat je toegevoegd hebt en ga dan naar Eigenschappen > Eindpunten. Als het leeg is, volg dan deze stappen:
    1. Klik op SAML toevoegen  en selecteer Assertatie consumer.
    2. Kopieer de ACS-URL van Totara naar de vertrouwde URL, stel binding in op POST  en controleer Standaard en klik op Opslaan.
    3. Doe hetzelfde voor SLO.
    4. Eigenschappen sluiten
  17. Klik met de rechtermuisknop op het onderdeel en klik op Bewerk het beleid voor het indienen van claims.
  18. Voeg een regel toe en selecteer LDAP-attributen als claims verzenden.
  19. Vul een naam in.
  20. Kies Active Directory als opslag voor attributen.
  21. Koppel de volgende velden (LDAP → Uitgaand):
    • Gebruiker-Principal-Name → Naam ID (dit is belangrijk, alsof Naam ID niet gekoppeld is, AD FS zal SessionIndex niet verzenden)
    • E-mailadres → E-mailadres
    • Voornaam → Voornaam
    • Achternaam → Achternaam

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2025 Totara Learning Solutions. All rights reserved.