Konfigurera SAML SSO

SAML 2.0 (SSO) plugin tillåter användare att logga in på Totara med ett konto från en identitetsleverantör (IdP). I detta fall är Totara din tjänsteleverantör (SP).

Aktivera SAML SSO

Du kan aktivera SAML-autentisering genom att följa dessa steg:

1. Gå till snabbåtkomstmenyn > Plugins > Authentication > Manage authentication.
2. Klicka på ögonikonen () bredvid SAML 2.0- plugin  (SSO) för att aktivera den (ögat kommer att vara öppet när autentisering är aktiverad).

Konfigurera en identitetsleverantör (IdP)

När du har aktiverat SAML 2.0-autentiseringsplugin måste du konfigurera en IdP, som kommer att vara tillgänglig som logga in för användare . I SAML-protokollet sker kommunikation mellan en IdP och en SP över specifika effektmått. IdP tillhandahåller följande slutpunkter för kommunikation:

• SingleSignOnService
• Enkel utloggningstjänst

SP tillhandahåller följande slutpunkter för kommunikation:

• AssertionConsumerService
• Enkel utloggningstjänst

För att konfigurera en IdP med Totara måste du informera Totara om IdP-slutpunkterna. Detta görs genom att förse Totara med IdP:s metadata (en XML-fil som innehåller alla nödvändiga slutpunkter och en offentlig nyckel). Du kan tillhandahålla metadata genom att mata in en URL för att hämta metadata från eller genom att mata in innehållet i XML-filen direkt i Totara.

Du måste också informera IdP om Totaras slutpunkter. Hur detta görs varierar för individuella IdP:er. Vi har dokumenterat hur du konfigurerar följande IdP:er med Totara:

• Azure AD
• Okta
• Auth0

När både IdP och SP har tillhandahållits med varandras slutpunkter kan de kommunicera korrekt. För en lyckad logga in tillhandahåller IdP en lista över attribut som ska användas för att identifiera användare. Dessa attribut måste mappas till Totara-användare för att autentisera användare i din Totara-instans.

Skapa en IdP-anslutning

Följ dessa steg för att skapa en IdP-anslutning:

1. Gå till administrationsmeny > plugin > autentisering > SSO SAML > inställningar .
2. Klicka på Lägg till identitetsleverantör .
3. Ge din IdP ett namn. Detta kommer att vara namnet som visas för användare på logga in.
4. Tillhandahåll en länk till metadata eller klistra in IdP:s XML-metadata i fältet IdP-metadata .
5. Ange en användare och det Totara-fält som du vill mappa den till. Unika anpassade fält för användare är också tillgängliga som ett alternativ.
6. För att konfigurera ytterligare inställningar och mappning av fält klicka på Visa avancerade inställningar:
   • På fliken mappning av fält , mappa användare som tillhandahålls av IdP till din Totara-användare. Observera att användare kan vara fullständiga webbadresser.
   • Fliken Avancerade inställningar innehåller följande alternativ för att ändra Totara-specifikt beteende när du interagerar med IdP:
     • Nya användare: Välj hur nya användare ska hanteras.
     • Befintliga användare: Välj hur befintliga användare ska hanteras. 
     • format: Välj det format du vill använda.
     • Enhets-ID: Åsidosätt enhets-ID som används i SP-metadata.
     • Logga ut beteende: Tvinga utloggning vid IdP när användare loggar ut från Totara.
     • Omdirigera efter utloggning: Ange en URL föromdirigering efter utloggning.
     • Attributavgränsare: Attributavgränsare som används för IdP-mappning av fält med flera värden.
     • Signaturer: Dessa inställningar krävs inte för säker drift, men kan vara användbara i vissa fall. Välj bland följande alternativ:
       • Signera metadata
       • Signera autentisering
       • Kräv att IdP undertecknar individuella påståenden
     • Dölj på logga in: Om aktiverat kommer IdP inte att visas på logga in.
     • Felsökning: Registrera kommunikation och IdP för felsökningsändamål.
7. Klicka på Spara .
8. Se till att  statusreglaget är aktiverat för att säkerställa att IdP kommer att synas på logga in.
9. På sidan Hantera identitetsleverantörer klickar du på ikonen med tre punkter () bredvid IdP och väljer Testa för att testa din nya IdP-anslutning.

Migrera användare till SAML 2.0 (SSO)

användare måste ha sin autentisering inställd på SAML 2.0 (SSO) för att kunna logga in via SAML. När du importerar användare via HR import kan du ställa in alternativet Autentisering på 'ssosaml'.

Alternativt kan du ställa in inställningen Automatisk länk för en IdP till Befintliga användare , och alternativt markera alternativet Kräv e-postverifiering. När dessa inställningar är aktiverade kommer befintliga icke-SAML-användare att kunna logga in via SAML om de matchar villkoren (samtidigt som de fortfarande kan använda sina befintliga logga in).

Konfigurera SAML SSO med Okta

Gör så här för att ställa in SAML SSO med Okta:

1. Logga in på Okta med dina inloggningsuppgifter.
2. Klicka på Admin .
3. Gå till Applikationer > Applikationer .
4. Klicka på Skapa appintegration och välj sedan SAML 2.0.
5. Ange ett namn och klicka på Nästa .
6. I Totara, gå till administrationsmeny > plugin > autentisering > SAML 2.0 (SSO) > inställningar .
7. Skapa en IdP.
8. Kopiera följande information och ange den i Okta:
   • ACS URL -> URL för enkel inloggning
   • Enhets-ID -> URI för målgrupp
9. Expandera Avancerade inställningar och ladda sedan ladda upp certifikat från Totara.
10. Aktivera enkel utloggning .
11. Kopiera URL för enkel utloggning URL från Totara till Okta.
12. Kopiera enhets-ID från Totara till fältet SP-utgivare i Okta.
13. Fyll i följande attributsatser:
    • first_name -> användare .firstName
    • last_name -> användare .lastName
    • e-post -> användare .e-post
14. Klicka på Nästa , välj något av alternativen och klicka sedan på Slutför .
15. Kopiera metadata-URL från Okta och klistra in den i Totara.
16. Gå tillbaka till Okta, gå till fliken Tilldelningar och välj gruppen Alla . grupp
17. I Totara, under användare, ange ”e-post” som IdP-fält och välj e-postadress som Totara-fält.
18. Under mappning av fält, lägg till följande mappningar:
    • förnamn -> first_name, vid varje logga in
    • Efternamn -> last_name, vid varje logga in
19. Klicka på Spara .
20. Klicka på ikonen med tre punkter () och klicka på Test för att kontrollera integrationsarbetet.

Konfigurera SAML SSO med Microsoft Azure AD

För att konfigurera SAML med Microsoft Azure Active Directory behöver du ett användarkonto med administratörsbehörighet för applikationen. Logga in på din Azure-portal och följ dessa steg:

1. I din Totaraadministrationsmeny > plugin > autentisering > SAML 2.0 (SSO) > inställningar och skapa en IdP.
2. I Azure, klicka på Azure Active Directory under Azure Services .
3. I sidfältsnavigeringen, klicka på Enterprise Applications .
4. Klicka på + Ny applikation .
5. Klicka på + Skapa din egen applikation .
6. Ge applikationen ett namn.
7. Välj Integrera alla andra applikationer som du inte hittar i galleriet (icke-galleri).
8. Klicka på Skapa . Du kommer sedan att tas till den nyskapade företagsapplikationen.
9. Klicka på Enkel inloggning i sidfältsnavigeringen i det nyskapade företagsprogrammet.
10. Klicka på SAML .
11. Klicka på Redigera på Grundläggande SAML- konfigurationskort och ange följande från din nyskapade Totara IdP:
    • Identifierare (Entity ID)
    • Svars-URL (Assertion Consumer Service URL)
    • Url för utloggning 
    • Alternativt kan du ladda ner dina Totara-metadata och ladda upp dem genom att klicka på ladda upp metadatafil
12. Klicka på Spara .
13. På SAML certifikat bredvid Federation Metadata XML .
14. Kopiera innehållet i XML-filen till din Totara IdP metadatainstans.
15. Klicka på användare och grupper i sidfältsnavigeringen.
16. Klicka på + Lägg till användare/grupp och tilldela en användare som du har tillgång till.
17. På din Totara-webbplats, gå till din Totara-instans och testa inställningar.
18. Kartlägg de attribut som tillhandahålls av IdP till din Totara-instans efter behov (använd sidan inställningar för att se vad IdP tillhandahåller).
19. För att testa IdP-initierad logga in gå till https://myapplications.microsoft.com/.
20. Sök efter det företag du skapade och klicka på det för att logga in .

Konfigurera SAML SSO med Microsoft AD FS

Gör så här för att konfigurera SAML SSO med Microsoft AD FS:

1. Installera och konfigurera AD DS och AD FS på en Windows Server-instans.
2. I Totara (se till att du använder https och har rensat Cache ), gå till administrationsmeny > plugin > autentisering > SAML 2.0 (SSO) > inställningar och skapa en IdP. Hämta XML för federationsmetadata från AD FS. 
3. Lägg till metadata i Totara som XML.
4. Kartlägg 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' till användare  .
5. Konfigurera följande mappningar:
   • e-postadress → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Förnamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   • Efternamn → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
6. Klicka på Spara .
7. Ladda ner metadata från Totara.
8. Anslut till AD FS-servern.
9. Öppna hanteringsverktyget för AD FS (Server Manager > Verktyg > AD FS).
10. Välj Tillförlitliga partiförtroenden i det vänstra sidofältet och välj Lägg till förtroende för förlitande part .
11. Välj Anspråk medvetna .
12. ladda upp metadata från Totara.
13. Ge det ett namn så att det enkelt kan identifieras.
14. Välj Tillåt alla .
15. Klicka på Slutför .
16. Det kanske inte importerar ACS/SLO-URL:erna, så högerklicka på posten du lagt till och gå sedan till Egenskaper > Slutpunkter . Om den är tom, följ dessa steg:
    1. Klicka på Lägg till SAML och välj Assertion konsument .
    2. Kopiera ACS URL från Totara till betrodd URL , ställ in bindning till POST och kontrollera standard, klicka sedan på Spara .
    3. Gör samma sak för SLO.
    4. Stäng egenskaper .
17. Högerklicka på posten och klicka på Redigera policy för utfärdande av anspråk .
18. Lägg till en regel och välj Skicka LDAP-attribut som anspråk .
19. Ange ett namn.
20. Välj Active Directory som attributlagring.
21. Kartlägg följande fält (LDAP → Utgående):
    • användare-Huvudnamn → Namn-ID (detta är viktigt, som om Namn-ID inte är mappat, AD FS kommer inte att skicka SessionIndex )
    • E-postadress → E-postadress
    • Förnamn → Förnamn
    • Efternamn → Efternamn