Konfigurera SAML SSO

  • Publicerad Jan 24, 2025
  • 6 minut(er) lästa
Prev Next

Den SAML 2.0 (SSO) plugin tillåter användare att logga in på Totara med ett konto från en identitetsleverantör (IdP). I det här fallet är Totara din tjänsteleverantör (SP).

Om du byter från en tredjeparts SAML-plugin till den inhemska Totara-plugin kan det vara omöjligt att använda samma användar-ID för mappning. I denna dokumentation har vi beskrivit hur man konfigurerar SAML med Okta, Microsoft Azure AD och Microsoft AD FS, men för andra identitetsleverantörer måste du kontrollera den leverantörens dokumentation.

Aktivera SAML SSO

Du kan aktivera SAML-autentiseringsmetoden genom att följa dessa steg:

  1. Gå till snabbåtkomstmenyn > Plugins > Authentication > Manage authentication.
  2. Klicka på ögonikonen (öga_stäng) bredvid SAML 2.0 (SSO) plugin  för att aktivera den (ögat kommer att vara öppet när autentiseringsmetoden har aktiverats).

Konfigurera en identitetsleverantör (IdP)

När du har aktiverat SAML 2.0 autentiseringsplugin, måste du sedan konfigurera en IdP, som kommer att finnas tillgänglig som ett inloggningsalternativ för användare. I SAML-protokollet sker kommunikationen mellan en IdP och en SP över specifika slutpunkter. IdP tillhandahåller följande slutpunkter för kommunikation:

  • SingleSignOnService
  • SingleLogoutService

SP tillhandahåller följande slutpunkter för kommunikation:

  • AssertionConsumerService
  • SingleLogoutService

För att konfigurera en IdP med Totara, behöver du informera Totara om IdP:ns slutpunkter. Detta görs genom att ge Totara IdP:ns metadata (en XML-fil som innehåller alla nödvändiga slutpunkter och en publik nyckel). Du kan förse metadatan genom att mata in en URL för att hämta metadatan från eller genom att mata in innehållet i XML-filen direkt i Totara.

Konfigurera en identitetsleverantör.

Du måste också informera IdP om Totara:s slutpunkter. Hur detta görs varierar för individuella IdP:er. Vi har dokumenterat hur man konfigurerar följande IdP:er med Totara:

  • Okta
  • Microsoft Azure AD
  • Microsoft AD FS
För andra IdP:er, vänligen se identitetsleverantörens dokumentation om hur man konfigurerar en SP.

När både IdP och SP har fått varandras endpoints kan de kommunicera korrekt. För en lyckad inloggningsbegäran tillhandahåller IdP en lista med attribut för att identifiera användaren. Dessa attribut behöver mappas till Totara-användarfält för att autentisera användaren i din Totara-instans.

Skapa en IdP-anslutning

Följ dessa steg för att skapa en IdP-anslutning:

  1. Gå till Snabbåtkomstmeny > Insticksmoduler > Autentisering > SSO SAML > Inställningar.
  2. Klicka på Lägg till identitetsleverantör.
  3. Ge din IdP ett namn. Detta kommer att vara namnet som visas för användare på inloggningsskärmen.
  4. Ge en länk till metadata eller klistra in IdP:ns metadata-XML i IdP metadata fältet.
  5. Ange ett användaridentifierare och det Totara-fält du vill koppla det till. Unika användarspecifika fält finns också som ett alternativ.
  6. För att konfigurera de ytterligare inställningarna och fältkopplingarna, klicka på Visa avancerade inställningar:
    • Fältkopplingar fliken, koppla användarattribut som tillhandahålls av IdP till din Totara-instans användare. Observera att användarattributen kan vara fullständiga webbadresser.
    • Avancerade inställningar fliken innehåller följande alternativ för att ändra Totara-specifikt beteende när du interagerar med IdP:
      • Nya användare: Välj hur nya användare ska hanteras.
      • Befintliga användare: Välj hur befintliga användare ska hanteras. 
      • NameID format: Välj det format du vill använda.
      • Entity ID: Åsidosätt enhets-ID som används i SP-metadata.
      • Utloggningsbeteende: Tvinga utloggning vid IdP när användaren loggar ut från Totara.
      • Omdirigera efter utloggning: Ange en omdirigerings-URL efter utloggning.
      • Attribuavgänsare: Attribuavgänsare som används för IdP-fältmappningar med flera värden.
      • Signaturer: Dessa inställningar är inte nödvändiga för säker drift, men kan vara användbara i vissa fall. Välj bland följande alternativ:
        • Signera metadata
        • Signera autentiseringsförfrågningar
        • Kräv att IdP signerar individuella påståenden
      • Dölj på inloggningssida: Om aktiverad kommer IdP inte att visas på inloggningssidan.
      • Debug: Fånga kommunikation och IdP för felsökningsändamål.
  7. Klicka på Spara .
  8. Säkerställ att Status omkopplaren är aktiverad för att säkerställa att IdP kommer att vara synlig på inloggningsskärmen.
  9. Från sidan Hantera identitetsleverantörer , klicka på ikonen med tre punkter (tre_punkter(1)) bredvid IdP och välj Testa för att testa din nya IdP-anslutning.
Vi har tillhandahållit specifika instruktioner för att ställa in SAML med Okta, Microsoft Entra ID och Microsoft AD FS.

Migrera användare till SAML 2.0 (SSO)

Användare måste ha sin autentiseringsmetod inställd på SAML 2.0 (SSO) för att kunna logga in via SAML. När du importerar användare via HR-import kan du ställa in Autentisering alternativet till 'ssosaml'.

Alternativt kan du ställa in inställningen Länka automatiskt  för en IdP till Befintliga användare och valfritt markera alternativet Kräv e-postverifiering. Med dessa inställningar aktiverade kommer befintliga icke-SAML-användare att kunna logga in via SAML om de uppfyller villkoren (samtidigt som de fortfarande kan använda sina befintliga inloggningsmetoder).

Ställ in SAML SSO med Okta

För att ställa in SAML SSO med Okta, följ dessa steg:

  1. Logga in på Okta med dina uppgifter.
  2. Klicka på Admin.
  3. Gå till Applications > Applications.
  4. Klicka på Create App Integration, välj sedan SAML 2.0.
  5. Ange ett namn och klicka på Next.
  6. I Totara, gå till Snabbåtkomstmeny > Plugins > Autentisering > SAML 2.0 (SSO) > Inställningar.
  7. Skapa en IdP.
  8. Kopiera följande information och ange den i Okta:
    • ACS URL -> Enkelt inloggnings-URL
    • Entity ID -> Audience URI
  9. Expandera Avancerade inställningar, ladda sedan upp certifikatet från Totara.
  10. Aktivera Single Logout.
  11. Kopiera Single Logout URL från Totara till Okta.
  12. Kopiera Entity ID från Totara till fältet SP Issuer i Okta.
  13. Fyll i följande attributsatser:
    • first_name -> user.firstName
    • last_name -> user.lastName
    • email -> user.email
  14. Klicka Nästa, välj något av alternativen, klicka sedan Slutför.
  15. Kopiera Metadata URL från Okta och klistra in den i Totara.
  16. Återvänd till Okta, gå till fliken Assigments , och välj gruppen Alla .
  17. I Totara, under Användaridentifierare, ange 'email' som IdP-fältet, och välj E-postadress som Totara-fältet.
  18. Under Fältmappning, lägg till följande mappningar:
    • Förnamn -> first_name, vid varje inloggning
    • Efternamn -> last_name, vid varje inloggning
  19. Klicka på Spara .
  20. Klicka på ikonen med tre punkter (tre_punkter(1)) och klicka Testa för att kontrollera att integrationen fungerar.

Ställ in SAML SSO med Microsoft Entra ID

För att ställa in SAML med Microsoft Entra ID (tidigare Microsoft Azure Active Directory), behöver du ett användarkonto med Applikationsadministratör behörighet. Logga in på din Azure-portal och följ dessa steg:

  1. I din Totara-installation går du till Snabbåtkomstmeny > Plugins > Autentisering > SAML 2.0 (SSO) > Inställningar och skapa en IdP.
  2. I Azure, sök efter och välj Microsoft Entra ID.
  3. I sidonavigeringen klickar du på Företagsapplikationer.
  4. Klicka på + Ny applikation.
  5. Klicka på + Skapa din egen applikation.
  6. Ge applikationen ett namn.
  7. Välj Integrera någon annan applikation du inte hittar i galleriet (Icke-galleri).
  8. Klicka på Skapa. Du kommer sedan att föras till den nyskapade företagsapplikationen.
  9. På den nyskapade företagsapplikationen, klicka på Single sign-on i sidnavigeringen.
  10. Klicka på SAML.
  11. Klicka på Redigera Grundläggande SAML-konfiguration kortet och ange följande från din nyskapade Totara IdP:
    • Identifierare (Entity ID)
    • Svars-URL (Assertion Consumer Service URL)
    • Logout-URL 
    • Alternativt kan du ladda ner din Totara-metadata och ladda upp den genom att klicka på Ladda upp metadatafil
  12. Klicka på Spara .
  13. På kortet SAML-certifikat, klicka på nedladdningslänken bredvid Federation Metadata XML.
  14. Kopiera innehållet i XML-filen till fältet IdP-metadata i din Totara IdP (se till att XML  är vald).
  15. Klicka på Användare och grupper  i sidmenyn.
  16. Klicka på + Lägg till användare/grupp  och tilldela en användare du har tillgång till.
  17. På din Totara-webbplats, gå till din Totara-instans och testa inställningarna.
  18. Kartlägg attributen som tillhandahålls av IdP till din Totara-instans efter behov. Se Skapa en IdP-anslutning för mer information. För att se fältnamnen att använda:
    1. Navigera till listan över identitetsleverantörer.
    2. Klicka på ikonen med tre punkter (tre_punkter(1)) på IdP, välj sedan Testa.
    3. Välj Logga in (AuthnRequest) och klicka Testa.
    4. Logga in på IdP:n.
    5. Se kolumnen Fältnamn på sidan Testinställningar för att se vad IdP:n tillhandahåller:
      Test IdP-sidan som visar fältnamnen och deras tillhörande värden.
      Kopiera hela strängen från kolumnen 'Fältnamn' för det fält du vill använda till textfältet IdP-fält.
  19. För att testa IdP-initierad inloggning, gå till https://myapplications.microsoft.com/.
  20. Sök efter det företag du skapade och klicka på det för att logga in.

Ställ in SAML SSO med Microsoft AD FS

För att ställa in SAML SSO med Microsoft AD FS, följ dessa steg:

  1. Installera och konfigurera AD DS och AD FS på en Windows Server-instans.
  2. I Totara (se till att du använder https, och har rensat din cache), gå till Snabbåtkomstmeny > Pluginer > Autentisering > SAML 2.0 (SSO) > Inställningar och skapa en IdP. Hämta federationens metadata XML från AD FS. 
  3. Lägg till metadata i Totara som XML.
  4. Kartlägg 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' till Användare identifierare.
  5. Konfigurera följande mappningar:
    • E-postadress → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Förnamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Efternamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Klicka på Spara .
  7. Ladda ner metadata från Totara.
  8. Anslut till AD FS-servern.
  9. Öppna AD FS-hanteringsverktyget (Server Manager > Verktyg > AD FS).
  10. Välj Förlitande partförbindelser i vänstra sidofältet, och välj Lägg till förlitande partförbindelse.
  11. Välj Claims aware.
  12. Ladda upp metadata från Totara.
  13. Ge det ett namn så att det lätt kan identifieras.
  14. Välj Tillåt alla.
  15. Klicka på Slutför.
  16. Det kanske inte importerar ACS/SLO-URL:erna, så högerklicka på posten du har lagt till, gå sedan till Egenskaper > Slutpunkter. Om det är tomt, följ dessa steg:
    1. Klicka på Lägg till SAML och välj Assertionskonsument.
    2. Kopiera ACS URL från Totara till Betrodd URL, ställ in binding till POST och markera Standard, klicka sedan på Spara.
    3. Gör detsamma för SLO.
    4. Stäng Egenskaper.
  17. Högerklicka på posten och klicka Redigera utfärdande policy för anspråk.
  18. Lägg till en regel och välj Skicka LDAP-attribut som anspråk.
  19. Ange ett namn.
  20. Välj Active Directory som attributlagring.
  21. Mappa följande fält (LDAP → Utgående):
    • User-Principal-Name → Name ID (detta är viktigt, eftersom om Name ID inte är mappad, kommer AD FS inte att skicka SessionIndex)
    • E-Mail-Address → E-Mail Address
    • Given-Name → Given Name
    • Surname → Surname

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2025 Totara Learning Solutions. All rights reserved.