SSO - Single Sign On
      Tilbake til hjem
      1. Håndbok
      2. Integrasjoner
      3. SSO - Single Sign On

      Single Sign-On (SSO)

      Denne artikkelen inneholder tekniske forutsetninger og oppsettsveiledning for Single Sign-On (SSO) som innloggingsmetode i Stratsys.

      Single Sign-On (SSO) betyr at brukerne automatisk blir logget inn i systemet uten å måtte bruke et separat brukernavn og passord.

      Fordelene med SSO er at brukerne får en bedre opplevelse med automatisk innlogging, samt at de slipper å memorere innloggingsinformasjon. Autentisering skjer mot kundens IdP, noe som betyr at kunden har full kontroll over hvem som kan logge inn i Stratsys. Det er også fordeler for hele organisasjonen i form av at:

      Passord håndteres sentralt (ikke i Stratsys). Hvis brukeren glemmer passordet sitt, trenger det bare å endres på ett sted (i organisasjonens katalogtjeneste, vanligvis Active Directory). På denne måten reduseres supportbehandlingen. Direkte tilgang til Stratsys fra kundens intranett. Hvis for eksempel Årshjul er lenket til kundens intranett, kan brukeren klikke på tiltakene i Årshjulet og komme direkte inn i Stratsys og følge opp i systemet uten å måtte logge inn hver gang.

       

      Artikkelen består av følgende deler:

      Tekniske forutsetninger

      Før vi starter

      Konfigurer SSO

      SAML2

      O365

      Open Id Connect

      Valgbare innstillinger

      SSO som standardinnlogging

      Single Log-out (SAML2)

      Krev SSO ved innlogging

      Brukerprovisionering (SAML2, O365, OIDC)

      Feilsøking

      Q&A

       

      Tekniske forutsetninger

      For å implementere SSO bruker Stratsys en metodikk for federert identitet mot kundens IdP (Identity Provider). Brukeren autentiserer mot Stratsys gjennom sin egen IdP, og hvordan brukeren opplever innloggingsprosessen avhenger av kundens infrastruktur. For å kunne sette opp SSO må kunden oppfylle følgende krav:

      • Kunden må ha en Identity Provider (IdP) som støtter federering via SAML 2.0 (kun HTTP POST Binding), Office 365 eller OpenID Connect for å kunne implementere SSO.
      • For at brukere skal kunne logge inn med SSO i Stratsys, må de være registrert i kundens katalogtjeneste. Dette betyr at alle som skal ha tilgang til Stratsys via SSO, må være lagt til i kundens brukerdatabase.
        • En Stratsys-database kan bare håndtere en IdP.
      • Mapping må kunne settes opp mellan brukernavn i Stratsys og tilsvarende attributt i din SAML-respons (gjelder ikke for SSO O365 - da skjer mapping automatisk med krav "email").
        • Du kan velge hvilket attributt du vil bruke som brukernavn.
        • Når SSO er aktivert, må brukernes brukernavn samsvare med det valgte attributtet som du mapper til brukernavn.
      • For at Single Log-out (SLO) skal fungere, må NameId sendes som claim ved innlogging.

      Etter at SSO er aktivert, anbefaler vi følgende tiltak:

      • Sett SSO som standard innlogging
      • Aktiver innstillingen Krev SSO ved innlogging.
        • Ved aktivering av krav om innlogging med SSO er det mulig å definere et spesifikt utvalg av brukere som skal kunne logge inn med brukernavn og passord via en direkte lenke.

       

      Før vi starter

      Ordliste 

      SSO – Single Sign-on, Innlogging som oppleves automatisk for brukeren.

      SLO - Single Log out, Utlogging som oppleves automatisk for brukeren.

      SP – Service Provider ("tjenesteleverandør"), i dette tilfellet er det Stratsys som fungerer som SP, det er Stratsys-tjenesten brukeren ønsker å få tilgang til.

      IdP – Identity Provider ("identitets-/fødereringstjeneste"), dette er tjenesten som autoriserer brukeren, som gir brukeren tilgang. Det er flere IdP-er som våre kunder bruker og som de kan bruke for å få tilgang til Stratsys, den vanligste er:

      • ADFS– Active Directory Federation Services, Microsofts fødereringstjeneste for de som kjører en lokal installasjon av Active Directory,

      AD – Active Directory, den vanligste katalogtjenesten hos våre kunder. Det er den som holder styr på en organisasjons brukere.

      Provisionering – Opprettelse av brukere.

      Claim –  Informasjon om en gitt attributt for en bruker

      Attribut – Informasjonsbærer ved SSO-innlogging. Har et navn og en verdi, for eksempel OrganizationName => Stratsys

      Implementerings-sjekkliste

      • Du oppfyller de nødvendige tekniske kravene for å implementere SSO.
      • Personen som skal konfigurere SSO må ha superadministratørtilgang til Stratsys Platform Center.
      • Du må oppdatere brukernes brukernavn hvis de ikke allerede samsvarer med attributtet fra SAML-responsen som du mapper til brukernavn (gjelder ikke for SSO med O365).

       

      Konfigurer SSO

      Her finner du veiledninger for konfigurering av alle SSO-teknologier.

       

      SSO med SAML2

      1. Trykk på "Single sign-on" i Plattformsadministrationen.
      2. Utvid Saml2 under Innloggingsinnstillinger.
      3. Aktiver innloggingsalternativet ved å klikke på bryteren.
      4. Det er valgfritt å velge SSO som standardinnlogging, men det anbefales på det sterkeste. Les mer om dette under "Før vi starter" - Standardinnlogging.
      5. Endre visningsnavnet hvis ønskelig (for eksempel SSO).
      6. Endre metadata-versjonen til den nyeste navngitte versjonen (v4 i skjermbildet nedenfor).
      7. Hvis ønskelig kan Single Log-out slås av uten problemer.
        2023-04-28_11-15-23
      8. Kopier Stratsys SP-metadata og konfigurer den i deres miljø. For at oppsettet skal fungere, trenger vi også deres IdP-metadata.
      9. Legg til IdP-metadatene fra din "Eksterne IdP" under "Ekstern IdP" --> "Metadata-URL".
      10. Gå ned til Attributtmapping.
      11. Legg til samsvarende attributt fra din AD for brukernavn. Vi anbefaler å bruke forslaget på attributt for brukernavn (urn:oid:1.3.6.1.4.1.5923.1.1.1.6). 

      Før du tar i bruk Single Sign-On, kan du teste det selv ved å gå til https://[kundnavn].app.stratsys.com og klikke på Single Sign-On eller det alternativet du har valgt. Hvis du har valgt SSO som standardinnlogging, trenger du ikke å klikke på noe fordi du vil bli sendt direkte til SSO-innloggingen. Her vil du bli sendt videre til din IdP for autentisering og logge inn med godkjente brukeropplysninger.

      Her vil du bli sendt videre til din IdP for autentisering, der du vil logge inn som godkjent bruker.

       

      SSO med Office 365 (Azure AD)

      1. Trykk på "Single sign-on" i Plattformsadministrationen.
      2. Utvid Microsoft Office 365 under Innloggingsinnstillinger.
      3. Aktiver innloggingsalternativet ved å klikke på bryteren.
      4. Vi anbefaler at du velger SSO som standardinnlogging, selv om dette er et valgfritt alternativ. Les mer om dette under "Før vi starter" - Standardinnlogging.
      5. Endre navnet som vises hvis du ønsker det.
      6. Kopier deres Tenant ID fra o365. Deres Tenant ID finnes under Azure Active directory > Properties > Tenant ID
      7. Sett inn TenantId i feltet Azure AD Tenant Id i Stratsys Plattformsenter.

        Test deretter å logge inn ved å gå til https://www.stratsys.se/[kundnavn] eller https://[kundnavn].app.stratsys.com og klikke på Microsoft Office 365 (visningsnavnet for innloggingsalternativet) for å teste innloggingen.

        Her må brukerne godkjenne Stratsys som tjeneste første gangen. Noen ganger kan det også være nødvendig at en administrator for deres O365 godkjenner Stratsys som en tjeneste. Se mer om dette i feilsøkingsavsnittet nedenfor.

         

        SSO med Open Id Connect

        Disse trinnene viser hvordan du setter opp OIDC i Azure, men du kan bruke hvilken som helst IdP du ønsker. Trinnene er likevel de samme.

        1. Trykk på "Single Sign-On" i Plattformsadministrasjonen.
        2. Utvid OIDC under Innloggingsinnstillinger.

        Følgende punkter må fullføres:

         

        Fremgangsmåte

         

        1. Besøk https://portal.azure.com for å fortsette.
          ../_images/saml2AzureAdNewAppRegistration.png
        2. Opprett en applikasjon - Redirect URI må være satt til "callback path" (dette er veien brukeren returneres til etter vellykket innlogging mot IDP). Redirect URI hentes fra plattformsadministrasjonen i Stratsys.

          ../_images/oidcAzureAdRegisterApp.png
        3. Kopier ClientID fra applikasjonen og lim den inn i ClientID-feltet i Stratsys Plattformsenter.

          ../_images/oidcAzureAdCopyAppId.png
        4. Du må også aktivere tillatelse for ID-token til å bli utstedt av autentiseringssluttpunktet.
          ../_images/oidcAzureAdIdTokens.png
        5. For å få SSO til å fungere, må du angi de riktige claim-mappings for at alt skal samsvare. Disse claim-mappingene må navngis som følger: sub, email, given_name og family_name (merk at de er case-sensitive).
          IdP Stratsys Plattform
          UserName sub
          Email email
          First Name given_name
          Last Name family_name

         

        Valgbare SSO-innstillinger

         

        SSO som standardinnlogging

        Denne funksjonaliteten gjelder kun for SAML2. Det betyr at en bruker som logger ut fra Stratsys også vil logges ut fra kundens IdP og må logge inn igjen hvis de vil få tilgang til ressurser i kundens domene. For at SLO skal fungere, må et claim for NameID sendes til Stratsys under innloggingsprosessen.

        Single Log Out betyr at Stratsys sender et utloggingsvarsel til kundens IdP for å logge ut brukeren fra andre tjenester som bruker samme IdP. De fleste kunder ønsker ikke dette, så standardanbefalingen er at det er deaktivert som standard.

        For å finne standardinnloggingen, går du til plattformsadministrasjonen og velger "Single Sign-on". > For migrerte kunder. For ikke-migrerte kunder finner du standardinnloggingen i administrasjonen under Innloggingsalternativer. >

        Plattformadministrasjonen

         

        Single Log-out (SAML2)

        Single Log-out (SAML2) betyr at når en bruker logger ut fra Stratsys, vil de også logges ut fra kundens IdP og må logge inn igjen hvis de ønsker tilgang til ressurser i kundens domene. For at SLO skal fungere, må et claim for NameID sendes til Stratsys under innloggingsprosessen. De fleste kunder ønsker ikke dette, så standardanbefalingen er å deaktivere denne funksjonaliteten som standard.

         

        Aktiver innstillingen for å kreve SSO ved innlogging.

        Hvis du aktiverer innstillingen for å kreve SSO ved innlogging, vil det være obligatorisk for alle brukere å logge inn med Single Sign-on. For å tillate noen brukere å fortsette å logge inn med brukernavn og passord, må de eksplisitt ekskluderes fra SSO. Stratsys-ansatte kan ikke ekskluderes, og ekskluderte brukere må bruke en direkte lenke for å logge inn med brukernavn og passord.

        Aktiver "Krev SSO ved innlogging".

        1. Gå til Plattformsadministrasjonen og velg "Innloggingsinnstillinger".
        2. Utvid Avanserte innloggingsinnstillinger.
        3. Aktiver bryteren

        Ekskludere brukere

        1. Gå til Plattformsadministrasjonen og velg "Brukere".
        2. Velg brukeren du ønsker å ekskludere fra SSO-kravet.
        3. Utvid Innstillinger
        4. Aktiver bryteren for å ekskludere brukere fra kravet om SSO.
        5. Lagre endringene.

        6. Be brukeren om å bruke den direkte lenken for innlogging i Stratsys som finnes under innloggingsinnstillingene for den respektive SSO-innloggingsmetoden.

         

        Brukerprovisjonering (SAML2, O365, OIDC)

        MERK! Brukerprovisjonering kan aldri brukes sammen med AD-synkronisering, da disse innstillingene ikke er kompatible med hverandre.

        Användarprovisionering innebär att användare som inte tidigare lagts till i Stratsys kommer att läggas till automatiskt om de går till https://[kundnamn].app.stratsys.com

        For at brukerprovisjonering skal fungere, må attributter matches.

        1. Gå til Plattformsadministrasjonen og velg "Innloggingsinnstillinger".
        2. Utvid Avanserte innloggingsinnstillinger.
        3. Aktiver bryteren for automatisk opprettelse av brukere ved innlogging med Single Sign-on.
        4. Match deretter attributtene i henhold til instruksjonene lenger ned i denne artikkelen.

        5. For at en bruker skal bli opprettet i Stratsys, må også innstillingen for standardrettigheter for nye brukere i Stratsys være aktivert, se nedenfor:
        6. Her må du velge hvilken autorisasjonsgruppe som brukere som opprettes automatisk skal ha som hovedtilgang ved innlemming. Vanligvis opprettes en ny gruppe for formålet med provisjonering og kalles noe som Inkluderingsrettigheter eller SSO-inkludering. Vi anbefaler å sette så lav autorisasjon som mulig (for eksempel leseautorisasjon).
        7. Du må også velge en hovedenhet for hvor brukerne blir plassert ved opprettelse. Vi anbefaler å opprette en ny enhet uten sensitiv informasjon for å sikre at brukerne ikke får tilgang til informasjon de ikke skal ha tilgang til.
        8. Autorisasjonene for brukerne endres manuelt etter opprettelsen av hver enkelt bruker. Du kan for eksempel sortere etter den spesifikke autorisasjonen for å finne brukerne, som vist på bildet nedenfor:
        9. Det er ikke mulig å motta noen varsler eller meldinger når en ny bruker er opprettet.
        10. Hvis brukerprovisjonering er aktivert, men innstillingen ikke er aktivert i Stratsys, vil du motta en feilmelding som indikerer at innstillingen må aktiveres for å kunne opprette nye brukere automatisk.
        11. Brukeren blir lagt til i Plattformsadministrasjonen, men vil ikke automatisk bli sendt til Stratsys-databasen og må dermed legges til manuelt der. Selv om problemet blir løst senere, må brukeren som testet provisjoneringen og ikke ble lagt til manuelt i databasen, legges til manuelt.

        Mapping av attributter i O365 og OIDC

        For O365 og OIDC vil navn, etternavn, e-postadresse og brukernavn for brukere konfigureres automatisk. Du trenger derfor ikke å stille inn dette manuelt.

         

        Match av attributter i SAML2

        For SAML2 må du selv konfigurere hvilke attributter i IdP-en som skal matches til hvilke felt i Stratsys.

        Merk at eksemplene nedenfor kun er eksempler, kunden kan sende andre attributter enn disse.

        Hvis du bruker Azure AD med SAML2, kan du ha samme brukernavn som e-postadressen din. Dette gjør det enklere å huske og logge inn på kontoen din.

         

        Feilsøking

        Her er noen sjeldne feil som kan oppstå og hvordan du kan løse dem.

         

        SAML2 Azure AD

        AADSTS50105 The signed in user xxx is not assigned to a role for the application… 

        Løsning: Brukeren må gis tilgang til Stratsys.

         

        AADSTS7000112 Application ’XXXXXXX’ is disabled 

        Løsning: Stratsys-applikasjonen i ditt Azure AD må aktiveres av en administrator med tilgang til Azure AD. Du finner applikasjonen under "Enterprise Applications" i Azure AD.

         

        O365 Azure AD

        Brukere får ikke lov til å logge inn og får en feilmelding fra Office365. Be brukeren ta en skjermdump av feilen og send den til sin Azure-administrator med support@stratsys.se på CC. Konfigurasjonen må sannsynligvis endres på deres side slik at Stratsys blir tillatt i deres Azure-oppsett. Se tips her: http://blog.schertz.name/2020/04/enterprise-application-consent-requests-in-azure/

         

        Q&A

        Vi har implementert SSO med O365, men noen av våre brukere med O365-gjestekontoer kan ikke logge inn med SSO i Stratsys. Hvorfor skjer dette?

        For O365-gjestekontoer blir det sendt med #EXT i e-postadressen for UPN, noe som gjør at brukernavnet i Stratsys ikke kan matche e-postadressen i SAML-billetten. Dette kan løses ved å justere innstillingene slik at Azure sender UPN avhengig av typen O365-konto brukeren har. Mer informasjon om dette finner du her.