Skip to content

Latest commit

 

History

History
269 lines (147 loc) · 7.23 KB

vigo-idp.md

File metadata and controls

269 lines (147 loc) · 7.23 KB
Raw

Oppsett av Azure AD Federering - VIGO-IDP

Virkemåte

ill1

  • I vigoBAS hentes studentnumber og employeeId fra Fint.

  • VigoBAS eksporter studentnumber og employeeId til valgte extensionAttribute i onprem AD (valgfritt hvilke av attributtene 1-15 som benyttes).

  • extensionAttributtene overføres til Azure AD via Azure AD connect

  • I Azure AD benytter Enterprise appen VIGO-IDP extensionattributtene samt egendefinerte roller for å sette opp claims som benyttes mot de ulike Fint komponenetene.

Forberedelser

  • Studentnumber og emplyeeId fra Fint må eksporteres via vigoBAS til onprem AD (i dette eksempelet er Extension attributt 8 og 9 valgt) slik at disse synces opp til Azure AD.

  • Opprettet grupper i onprem AD (som synces til Azure AD) eller Azure AD for kobling til roller/tilgang til Azure IDP'n.

Legge til en "Enterprise app"

Hver fylkeskommune må sette opp en Enterprise applications i sin egen Azure tenant.

  • Logg inn på egen Azure tenant https://portal.azure.com

  • Søk etter “Azure Active Directory” og velg denne

  • Klikk på “Enterprise applications” i venstre menyen

  • Klikk på “New application”

  • Gi den ett navn (VIGO-IDP)

ill2

  • Appen lages og når den popper opp - > klikk på “ 2. Set up single sign on”

ill3

  • Klikk på [Create]
  • Klikk på "SAML"

ill4

  • Klikk på “Edit” under punkt 1 “Basic SAML Configuration”

ill5

  • Fyll inn “Identifier (Entity ID):

https://idp.felleskomponent.no/nidp/saml2/metadata

  • Fyll inn “Replay URL (Assertion Consumer Service URL”

https://idp.felleskomponent.no/nidp/saml2/spassertion_consumer

ill6

  • Klikk "Save"

Legge til app roller

  • Gå tilbake til Azure Active Directory og klikk på “App registrations”:

ill7

  • Klikk på “All applications”. Da kommer alle apper i tennanten opp. Hvis du ikke ser “VIGO-IDP” så søk den opp. Klikk på “VIGO-IDP” appen.

ill8

  • Klikk på “App roles|Preview”:

ill9

  • Klikk på “ + Create app role”:

ill10

Fyll inn:

  • Display name : Valgfritt navn
  • Allowed member types : Users/Group
  • Value : Predefionert fra Vigo som samsvarer med tjenesten som det skal authentiseres mot
  • Description : Valgfri beskrivende tekst

Klikk på [Apply]

ill11

For å opprette flere roller: gjenta prosessen ved å trykke på “ +Create app role” og fyll inn som ovenfor.

Figuren under viser 3 roller :

  • vigo-vigobas-administrators
  • vigo-drosjeloyve-admin
  • vigo-samtykke-endusers

ill12

Koble gruppe i Azure med rolle

  • Gå tilbake til Azure AD og klikk på “Enterprise applications”:

ill13

  • Hvis du ikke ser “VIGO-IDP”: Søk den opp i søkefeltet. Klikk på VIGO-IDP:

ill14

  • Klikk på “Users and groups”

ill15

  • Klikk på “Add user/group”:

ill16

  • Klikk på “None selected” under “Users and groups”:

ill17

  • Søk opp gruppen:

ill18

  • Velg gruppen som skal ha tilgang (som skal ha rollen) og velg [Select]:

ill19

  • Klikk på “None selected” under “Select a role”:

ill20

  • Har du mange roller så søk opp rollen du opprettet tidligere. Klikk på rollen og velg [Select]:

ill21

  • Klikk på [Assign]:

I dette tilfellet vil medlemmer av gruppen “TILGANG-VIGO-SAMTYKKE” få rollen “vigo-samtykke-enduser”

ill22

I bildet under “Users and groups” vil det vises de som har tilgang til appen og de tilknyttede rollene:

ill23

Legge til claims for SAML autentisering

  • I ventre menyen: klikk på “Single sign-on”. Klikk så på “Edit” på punkt 2 under “User Attributes & claims”:

ill24

  • Klikk på “ + Add new claim”:

ill25

Fyll inn:

  • Name: studentnumber
  • Namespace: http://schemas.xmlsoap.org/ws/2005/05/identity/claims
  • Source: Attribute
  • Source attribute: Det attributtet i azure ad som innholder studentnumber
    • Verdien hentes fra /utdanning/elev/elev/systemid i Fint og synces via VigoBAS → onprem Ad → Azure AD

ill26

Klikk på “ + Add new claim” og fyll inn:

  • Name: employeeId
  • Namespace: http://schemas.xmlsoap.org/ws/2005/05/identity/claims
  • Source: Attribute
  • Source attribute: Det attributtet i azure ad som inneholder employeeId
    • Verdien hentes fra /administrasjon/personal/personalressurs/ansattnummer/ i Fint og synces via VigoBAS → onprem Ad → Azure AD

ill27

Klikk på “ + Add new claim” og fyll inn:

ill28

Klikk på “ + Add new claim” og fyll inn:

ill29

Klikk på “ + Add new claim” og fyll inn:

ill30

I oversikten over User attributes and claims skal det se slik ut:

ill31

  • Påse at claim under “Required claim” (Name ID) har disse egenskapene:

ill32

ill33

Last ned og send sertifikat og metadata til FINT

I punkt “3 SAML Signing Certificate” : last ned følgende:

  • “Certificate (Base64)”
  • “Federation Metadata XML”

ill34

Disse sendes til kontaktpersonen i fintlabs.

Teste løsningen

Dette kan gjøres etter at Fint har mottat metadata og sertifikat samt konfigurert tilgangen.

ill35

For å se selve SAML tokenet så kan man benytte Firefox med SAML-tracer tilleget.

Attributeliste for egendefinerte claims vil da se slik ut:

<AttributeStatement>

...

<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/employeeId">

<AttributeValue>S5544332211</AttributeValue>

</Attribute>

<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/roles">

<AttributeValue>vigo-samtykke-enduser</AttributeValue>

</Attribute>

<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/studentnumber">

<AttributeValue>E1122334455</AttributeValue>

</Attribute>

...

</AttributeStatement>