Logge inn via ID-porten

Når læringsplattformen benytter ID-porten for sikker autentisering, benyttes fødselsnummeret som brukernavn. Dette sikrer at en alltid har kun EN brukerkonto uavhengig av hvilken e-postadresse en måtte ha. Alle brukere med mulighet for autentisering via ID-porten vil derfor kunne logge inn på læringsplattformen. Innlogging via ID-porten sikrer også at brukerens kurshistorikk kan beholdes selv om en bytter arbeidssted. All brukerhistorikk følger fødselsnummeret.

En bruker som er autentisert via ID-porten har fått en "federerbar" innlogging på nivå 3. Det er i alt 4 nivåer og nettstedet som altinn.no og skatteetaten.no kan være eksempler på nivå 4-sikkerhet. Når du er innlogget med nivå 3, betyr det at du kan gå direkte til en rekke andre tjenester som benytter ID-porten på samme sikkerhetsnivå. OBS! for at det er KUN en gyldig ID-porten innlogging som tilbyr slik federering til andre nettsteder som også benytter ID-porten. Alle andre innloggingsmetoder som er beskrevet her, gjelder bare for destinasjonen.

Første gang du logger inn på læringsplattformen via ID-porten vil alle dine brukerfelt (unntatt brukernavn) være tomme. Du blir da tatt inn i en kort veiviser som lar deg fylle inn fornavn, etternavn, e-post og evt. velge kommune/virksomhetslogo som skal benyttes i toppbanneret på kurssiden.

Logge inn via ADFS SSO

Når du logger inn via ADFS SSO fra kommunens/virksomhetens intranett vet datasystemet allerede hvem du er. Linken fører deg til f.eks. https://virksomhet1.weblogin.no hvor autentiseringen foregår mot virksomhetens ADFS-server. Er alt ok blir du umiddelbart videresendt til destinasjonen Virksomhetsplattformen. Dersom det er noe galt/mangler med overføringen av brukerinformasjonen eller autentiseringen mot virksomhetens ADFS feiler av andre grunner, blir du i stedet videresendt til ID-porten for sikker innlogging der.

ADFS SSO Scenario 1:

Virksomhet 1 ønsker ADFS SSO til f.eks. Virksomhetsplattformen.

Fødselsnummer ligger i AD som en skjult attributt.

ADFS SSO Scenario 2:

Virksomhet 1 ønsker ADFS SSO til f.eks. Virksomhetsplattformen eller KS Læring.

Fødselsnummer hentes fra et eget atributtlager på ADFS-serveren

  • virksomhet1.weblogin.no settes opp med simplesaml og utveksling av metadata.
  • ADFS-serveren har et eget attributtlager med mapping av ad-brukernavn og fødselsnummer.
  • ADFS-serveren kan levere fødselsnummer via en attributt (claim) som hentes fra eget attributtlager (Ikke AD) og kan dermed følge standard attributt-liste.
  • Løsningen testes i https://virksomhet1.weblogin.no/simplesaml først for å se at alle attributter blir oversendt.
  • https://virksomhet1.weblogin.no aktiveres med SAML og rutes for SSO mot DEV-miljøet.
  • Fem testbrukere logger inn og skal bli videresendt til DEV: https://difi.kursportal.net ferdig innlogget.
  • eFaktor sjekker at alle attributter er korrekt lagret i brukerens profil.
  • Deretter kobles over til PROD: https://virksomhetsplattformen.difi.no og prosessen gjentas med minst fem brukere.


OBS! for at ADFS-serveren må settes opp til å levere alle claims som attributter og ikke som oppslags-URL. Dette fordi rekursive oppslag av denne typen mot ADFS går via vanlig http.

ADFS SSO Scenario 3:

Virksomhet 1 ønsker ADFS SSO til f.eks. Virksomhetsplattformen eller KS Læring.

Fødselsnummeret ligger IKKE i AD og vil IKKE sendes med via SSO

Vi utnytter da at vi får alle brukerprofiler tilsendt via en nattlig synkroniseringsjobb basert på webservices. AD-brukernavnet blir da attributten som mapper mot korrekt konto på virksomhet1.weblogin.no før videresending og konvertering til fødselsnummer som brukernavn i Virksomhetsplattformen.