Configureer SAML SSO

Met de SAML 2.0 (SSO) plugin kunnen gebruikers inloggen op Totara met een account van een Identity Provider (IdP). In dit geval is Totara jouw serviceprovider (SP).

Schakel SAML SSO in

Je kunt de SAML authenticatiemethode inschakelen door deze stappen te volgen:

1. Ga naar Snelmenu > Plugins > Authenticatie Authenticatie > beheren
2. Klik op het oogicoontje () naast de SAML 2.0 (SSO) plugin om het in te schakelen (het oog zal open zijn zodra de authenticatiemethode is ingeschakeld).

Configureer een identiteitsprovider (IdP)

Zodra je de SAML 2.0 authenticatieplugin hebt ingeschakeld, moet je een IdP configureren, die beschikbaar zal zijn als inlogoptie voor gebruikers. In het SAML-protocol vindt communicatie plaats tussen een IdP en een SP over specifieke eindpunten. De IdP levert de volgende eindpunten voor communicatie:

• SingleSignOnService
• SingleLogout-service

De SP levert de volgende eindpunten voor communicatie:

• AssertionConsumerService
• SingleLogout-service

Om een IdP met Totara te configureren, moet je Totara informeren over de IdP-eindpunten. Dit wordt gedaan door Totara te voorzien van de metagegevens van de IdP (een XML-bestand met alle vereiste eindpunten en een openbare sleutel). Je kunt de metadata leveren door een URL in te voeren om de metadata uit te halen of door de inhoud van het XML-bestand rechtstreeks in Totara in te voeren.

Je moet de IdP ook informeren over de eindpunten van Totara. Hoe dit wordt gedaan, verschilt voor individuele IdP's. We hebben gedocumenteerd hoe je de volgende IdP's met Totara configureert:

• Azure AD
• Okta
• Auth0

Zodra zowel de IdP als de SP zijn voorzien van elkaars eindpunten, kunnen ze correct communiceren. Voor een succesvol loginverzoek geeft de IdP een lijst met attributen die moeten worden gebruikt om de gebruiker te identificeren. Deze attributen moeten gekoppeld worden aan Moodle gebruikersvelden om de gebruiker in je Moodle instantie te authenticeren.

Maak een IdP-verbinding

Volg deze stappen om een IdP-verbinding te maken:

1. Ga naar Snelmenu > Plugins > Authenticatie > SSO SAML > Instellingen .
2. Klik op Identiteitsprovider toevoegen .
3. Geef je IdP een naam. Dit wordt de naam die aan gebruikers wordt getoond op het inlogscherm.
4. Geef een link naar de metadata of plak de metadata XML van de IdP in het IdP metadata veld.
5. Geef een gebruikers-ID en het Moodle-veld waarnaar je het wil koppelen. Unieke aangepaste velden zijn ook beschikbaar als optie.
6. Om de extra instellingen en veldkoppelingen te configureren, klik je op Toon geavanceerde instellingen :
   • Koppel op het tabblad Veldkoppelingen gebruikersattributen die door de IdP zijn verstrekt aan je Moodle instantiegebruiker. Let op dat gebruikersattributen volledige URL's kunnen zijn.
   • Het tabblad Geavanceerde instellingen bevat de volgende opties om Totara-specifiek gedrag te wijzigen bij interactie met de IdP:
     • Nieuwe gebruikers: Selecteer hoe nieuwe gebruikers behandeld moeten worden.
     • Bestaande gebruikers: Selecteer hoe bestaande gebruikers behandeld moeten worden. 
     • NaamID-formaat: Selecteer het formaat dat je wil gebruiken.
     • Entiteit ID : Overschrijf de entiteit ID die gebruikt wordt in de SP Metadata.
     • Uitloggedrag: Afmelden afdwingen bij IdP wanneer de gebruiker zich afmeldt bij Totara.
     • Omleiding na afmelden: Geef een omleidings-URL na afmelden.
     • Kenmerkscheidingsteken: Kenmerkscheidingsteken dat wordt gebruikt voor IdP-veldkoppelingen met meerdere waarden.
     • Handtekeningen: Deze instellingen zijn niet nodig voor een veilige werking, maar kunnen in sommige gevallen nuttig zijn. Kies uit de volgende opties:
       • Metadata ondertekenen
       • Authenticatieverzoeken ondertekenen
       • Vereis IdP om individuele beweringen te ondertekenen
     • Verberg op inlogpagina : Indien ingeschakeld zal de IdP niet getoond worden op de inlogpagina.
     • Foutopsporing: Leg communicatie en het IdP vast voor foutopsporingsdoeleinden.
7. Klik op Opslaan.
8. Zorg ervoor dat de  statusschakelaar is ingeschakeld om ervoor te zorgen dat de IdP zichtbaar is op het inlogscherm.
9. Klik op het icoontje van drie puntjes () naast de IdP op de pagina Beheer identiteitsproviders en selecteer Test om je nieuwe IdP-verbinding te testen.

Gebruikers migreren naar SAML 2.0 (SSO)

Gebruikers moeten hun authenticatiemethode hebben ingesteld op SAML 2.0 (SSO) om via SAML in te kunnen loggen. Bij het importeren van gebruikers via HR-import kun je de optie Autheren op 'ssosaml' zetten.

Je kunt ook de instelling Automatisch linken voor een IdP instellen voor bestaande gebruikers en optioneel de optie E-mailverificatie vereist inschakelen. Met deze instellingen ingeschakeld, kunnen bestaande niet-SAML-gebruikers inloggen via SAML als ze aan de voorwaarden voldoen (terwijl ze nog steeds hun bestaande inlogmethodes kunnen gebruiken).

Stel SAML SSO in met Okta

Volg deze stappen om SAML SSO in te stellen met Okta:

1. Meld je aan bij Okta met je inloggegevens.
2. Klik op Beheer .
3. Ga naar Aanvragen > Aanvragen .
4. Klik op App-integratie maken en selecteer vervolgens SAML 2.0.
5. Geef een naam en klik op Volgende .
6. Ga in Totara naar Snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen .
7. Maak een IdP.
8. Kopieer de volgende informatie en voer deze in Okta:
   • ACS URL -> Single sign-on URL
   • Entiteit ID -> Doelgroep URI
9. Vouw de geavanceerde instellingen uit en upload het certificaat van Totara.
10. Single Logout inschakelen
11. Kopieer de Single Logout URL van Totara naar Okta.
12. Kopieer de entiteits-ID van Totara naar het SP- uitgeversveld in Okta.
13. Vul de volgende attribuutverklaringen in:
    • first_name -> user.firstName
    • last_name -> user.lastName
    • e-mail -> user.email
14. Klik op Volgende , selecteer een van beide opties en klik op Voltooien .
15. Kopieer de Metadata URL van Okta en plak deze in Totara.
16. Ga terug naar Okta, ga naar het tabblad Opdrachten en selecteer de groep Iedereen.
17. In Totara, onder Gebruikers ID , vul je 'e-mail' in als IdP-veld en kies je E-mailadres als Totara-veld.
18. Voeg de volgende koppelingen toe onder Veldkoppelingen:
    • Voornaam -> first_name, bij elke login
    • Achternaam -> last_name, bij elke aanmelding
19. Klik op Opslaan.
20. Klik op het icoon van drie puntjes () en klik op Test om te controleren of de integratie werkt.

Stel SAML SSO in met Microsoft Azure AD

Om SAML in te stellen met Microsoft Azure Active Directory, heb je een gebruikersaccount nodig met Application Administrator privileges. Log in op uw Azure-portaal en volg deze stappen:

1. Ga in je Moodle-instantie naar Snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen en maak een IdP.
2. Klik in Azure op Azure Active Directory onder Azure Services .
3. Klik in de zijbalk op Enterprise Applications .
4. Klik op + Nieuwe aanvraag .
5. Klik op + Maak je eigen aanvraag .
6. Geef de aanvraag een naam.
7. Selecteer Integreren met een andere aanvraag die je niet in de galerij vindt (niet-galerij)
8. Klik op Maken. Je wordt dan naar de nieuw gemaakte bedrijfstoepassing gebracht.
9. Klik op Single sign-on in de zijbalk van de nieuwe bedrijfstoepassing.
10. Klik op SAML .
11. Klik op Bewerken op de basis SAML- configuratiekaart en geef het volgende op van je nieuw gemaakte Totara IdP:
    • ID (Entiteit ID)
    • Antwoord-URL (URL van de consumentenservice)
    • URL voor afmelden 
    • Je kunt ook je Moodle-metadata downloaden en uploaden door te klikken op Metadata-bestand uploaden
12. Klik op Opslaan.
13. Klik op de kaart SAML Certificaten op de downloadlink naast Federation Metadata XML .
14. Kopieer de inhoud van het XML-bestand naar je Moodle IdP metadata instantie.
15. Klik op Gebruikers en groepen in de zijbalknavigatie.
16. Klik op + Voeg gebruiker/groep toe en wijs een gebruiker toe waartoe je toegang hebt.
17. Ga op je Moodle-site naar je Moodle-instantie en test de instellingen.
18. Koppel de attributen die door de IdP worden verstrekt aan je Moodle instantie (gebruik de Testinstellingen pagina om te zien wat de IdP verstrekt).
19. Om IdP-geïnitieerde login te testen, ga je naar https://myapplications.microsoft.com/.
20. Zoek naar de onderneming die je gemaakt hebt en klik erop om in te loggen.

Stel SAML SSO in met Microsoft AD FS

Doe het volgende om SAML SSO in te stellen met Microsoft AD FS:

1. Installeer en configureer AD DS en AD FS op een Windows Server instantie.
2. In Totara (zorg ervoor dat je https gebruikt en je cache hebt opgeschoond), ga je naar Snelmenu > Plugins > Authenticatie > SAML 2.0 (SSO) > Instellingen en maak je een IdP. Haal de federatie metadata XML uit AD FS. 
3. Voeg de metadata toe in Totara als XML.
4. Koppel 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' aan  gebruikerscode .
5. Configureer de volgende koppelingen:
   • E-mailadres → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Voornaam → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   • Achternaam → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
6. Klik op Opslaan.
7. Download de metadata van Totara.
8. Maak verbinding met de AD FS-server.
9. Open de AD FS management tool (Server Manager > Tools > AD FS ).
10. Selecteer Relying Party Trusts in de linkerzijbalk en kies Vertrouwen van de vertrouwende partij toevoegen .
11. Selecteer Beweringsbewust .
12. Upload de metadata van Totara.
13. Geef het een naam zodat het gemakkelijk geïdentificeerd kan worden.
14. Selecteer Iedereen toestaan .
15. Klik op Voltooien .
16. Het kan zijn dat de ACS/SLO URL's niet geïmporteerd worden, dus klik met de rechtermuisknop op het onderdeel dat je toegevoegd hebt en ga dan naar Eigenschappen > Eindpunten . Als het leeg is, volg dan deze stappen:
    1. Klik op SAML toevoegen en selecteer Assertatie consumer .
    2. Kopieer de ACS URL van Totara naar Trusted URL , stel binding in op POST en vink Standaard aan, klik dan op Opslaan .
    3. Doe hetzelfde voor SLO.
    4. Sluit Eigenschappen .
17. Klik met de rechtermuisknop op het onderdeel en klik op Bewerk claimuitgiftebeleid .
18. Voeg een regel toe en selecteer LDAP-attributen als claims verzenden .
19. Vul een naam in.
20. Kies Active Directory als opslag voor attributen.
21. Koppel de volgende velden (LDAP → Uitgaand):
    • Gebruiker - Hoofdnaam → Naam ID (dit is belangrijk, alsof Naam ID niet gekoppeld is, AD FS zal SessionIndex niet verzenden)
    • E-mailadres → E-mailadres
    • Voornaam → Voornaam
    • Achternaam → Achternaam