Hvordan gjøres integrasjonen?

eFaktor setter opp en login-server for virksomheten på formen: https://virksomhet1.weblogin.no og utveksler metadata med virksomhet1 sin adfs-server. Nødvendige attributter (kalles for "claims" i ADFS) er:

Obligatorisk attributt

  • brukernavn -> AD-brukernavnet (vanligvis betegnet som UPN på ADFS-serveren)


Standard attributter

  • fornavn -> Brukerens fornavn
  • etternavn -> Brukerens etternavn
  • email -> Brukerens e-postadresse
  • fodselsnr -> Brukerens fødselsnummer


Valgfrie attributter:

  • sted -> Brukerens stedstilhørighet
  • virksomhet -> Navn på virksomheten
  • mobil -> Brukerens mobilnummer

Er virkelig alle disse attributtene nødvendige?

Når brukeren skal inn på Virksomhetsplattformen eller KS Læring  vi ha fødselsnummeret for å kunne mappe mot korrekt brukernavn der. Å benytte f.eks. e-post vil være altfor usikkert, da vi ikke har noen kontroll på gjeldende e-post på brukerkontoen som ligger i læringsplattformen. Vi ber om AD-brukernavnet for at vi skal ha en sikker referanse til hvilken bruker kilden (her: virksomhet1) sender data på.

AD-brukernavnet blir "liggende igjen" på login-serveren og sendes aldri til læringsplattformen. I stedet konverteres brukerkontoen på veien til læringsplattformen slik at fødselsnummeret nå blir brukernavnet, det opprettes en brukersesjon og brukeren får opp "Min startside" og er ferdig innlogget.

UNNTAK:

De fleste som ønsker ADFS SSO, ønsker også å synkronisere organisasjonsstrukturen med ledere og rapporttilganger og alle sine brukere de har fordelt på arbeidsstedene i egen virksomhet. Dette skjer via egen integrasjonsprogramvare, kalt "Lx-sync". Via kryptert forbindelse får vi regelmessig overført alle brukere med attributter, samt faktureringsinformasjon for org-enhetene. Da holder det at vi får en enkelt attributt (claim) fra AD og det er AD-brukernavnet.

Link for ADFS SSO

Hver virksomhet får i praksis en egen SSO-link som de skal klikke på for å komme til Virksomhetsplattformen, NAKOS eller andre som ønsker samme oppsett. Den er alltid på denne formen:

(Eksempel)

virksomhet1.weblogin.no/auth/saml2/login.php

... hvor "virksomhet1" byttes ut med virksomhetens navn. Denne linken skjules vanligvis bak en knapp på intranett og den vanlige bruker ser aldri weblogin.no-portalene. De blir enten logget inn direkte til destinasjonen eller videresendt til ID-porten hvis det er noe galt med brukerkontoen.