Innlogging med andre tjenester

Weblogin kan delegere innlogging til andre tjenester, som for eksempel Feide.

Støtte for innlogging med Feide gjennom Weblogin
Innloggingsvindu for en tjeneste som er konfigurert med delegering til Feide

Med Weblogin kan du benytte Feide eller andre identitetstilbydere som støtter SAML-innlogging. Støtte for delegering til tilbyder konfigureres for hver tjeneste som benytter Weblogin.

Løsningen krever i utganspunktet ikke noe ekstra konfigurasjon for din tjeneste, men du må gjerne gjøre noen endringer for å tilpasse tjenesten til informasjonen man får fra Weblogin.

Dersom din tjeneste konfigureres med delegering, så vil det dukke opp en ekstra "flapp" for hver identitetstilbyder som er konfigurert for din tjeneste, når en bruker går fra din tjeneste til Weblogin for autentisering.

Hvordan virker det?

For hver tjeneste som skal benytte en gitt identitetstilbyder gjennom Weblogin, må det settes opp en ny integrasjon mellom Weblogin og identitetstilbyderen. Denne integrasjonen er tilsvarende den som din tjeneste normalt ville hatt for å gjennomføre autentisering med identitetstilbyderen. Det Weblogin tilbyr, er altså å flytte denne integrasjonen til ett sentralt punkt – og gir tilleggsfunksjonalitet som f.eks. automatisk innlogging med Kerberos og SSO med andre tjenester.

Hvilke identitetstilbydere støttes?

Løsningen er testet med Feide og ID-Porten, men alle tilbydere som støtter Web Browser SSO Profile og Single Logout Profile kan benyttes.

Feide

Innlogging med Feide er godt testet, og er allerede i bruk i noen tjenester. Dersom du ønsker å benytte innlogging med Feide, holder det at du spesifiserer dette i bestillingen.

ID-Porten

Innlogging med ID-Porten er testet, men det mangler rutine for å få på plass avtale med Difi. Dette blir utarbeidet ved behov. Dersom du ønsker innlogging med ID-porten i din tjeneste, så må dette sendes inn som en bestilling til USIT/UAV/INT.

Andre identitetstilbydere

For å få på plass andre identitetstilbydere i Weblogin, så må det sendes bestilling til USIT/UAV/INT.

Hva må jeg gjøre med min tjeneste?

Du trenger i utgangspunktet ikke å endre konfigurasjon for å få på plass støtte for Feide eller andre innloggingstjenester.

Støtte for innlogging med Feide på mobil.
Innloggingsvindu på mobil for en tjeneste som er konfigurert med delegering til Feide

Brukergrupper

Weblogin støtter innlogging med ulike brukergrupper fra UiO. Selv om du ønsker innlogging med en ekstern identitetstilbyder, må du tillate minst en slik brukergruppe å logge inn. Dette fordi det grafiske grensesnittet i Weblogin ikke er tilpasset innlogging utelukkende med eksterne tjenester.

Attributter

Weblogin vil gi din tjeneste et sett attributter med informasjon om brukeren som er innlogget. Hvilke attributter som er tilgjengelige er ulik fra brukergruppe til brukergruppe. Andre identitetstilbydere kan ha et helt annet sett med attributter. Din tjeneste må ta hensyn til dette.

Konfigurasjon

SAML-metadata for din tjeneste og for Weblogin er lik, uavhengig om tjenesten benytter eksterne identitetstilbydere. Dersom du allerede har integrert din tjeneste med Weblogin, så trenger du ikke endre metadata eller sette opp integrasjonen på nytt dersom du ønsker å benytte f.eks. Feide.

 

Publisert 25. apr. 2016 13:42 - Sist endret 25. apr. 2016 15:06