SSO - Single Sign On
      Tillbaka till startsidan
      1. Manual
      2. Integrationer
      3. SSO - Single Sign On

      Single Sign-On (SSO)

      Denna artikel innehåller tekniska förutsättningar och uppsättningsguide för Single Sign-On (SSO) som inloggningsmetod i Stratsys.

      Single Sign-On (SSO) innebär att användarna automatiskt loggas in i systemet utan att behöva använda ett separat användarnamn och lösenord.

      Fördelarna med SSO är att användarna får en bättre upplevelse med automatisk inloggning samt att de slipper memorera inloggningsinformation. Autentisering sker mot kundens IdP vilket innebär att kunden har full kontroll över vilka som kan logga in i Stratsys. Det finns även fördelar för hela organisationen i form av att:

      • Lösenord hanteras centralt (ej i Stratsys). Om användaren glömmer bort sitt lösenord behöver det endast ändras på ett ställe (i organisationens katalogtjänst, vanligtvis Active Directory). På så sätt minskar supporthanteringen.
      • Direktåtkomst till Stratsys från kundens Intranät. Om tex Årshjul är länkat till kundens Intranät, så kan användaren klicka på åtgärderna i Årshjulet och komma direkt in i Stratsys och göra uppföljning i systemet utan att behöva logga in varje gång.

      Artikeln består av följande delar:

      Tekniska förutsättningar

      Innan vi startar

      Konfigurera SSO 

      SAML2

      O365

      Open Id Connect

      Valbara inställningar

      SSO som Standardinloggning

      Single Log-out (SAML2)

      Kräv SSO vid inloggning

      Användarprovisionering (SAML2, O365, OIDC) 

      Felsökning

      Q&A


      Tekniska förutsättningar

      För implementering av SSO använder Stratsys sig av metodik för federerad identitet mot kundens IdP (Identity Provider). Användaren autentiseras mot Stratsys via sin egen IdP och exakt hur användaren upplever inloggningsförfarandet beror på kundens infrastruktur. För att kunna sätta upp SSO måste kunden uppfylla följande förutsättningar:

      • Kunden har en Identity Provider (IdP) som har stöd för federering via SAML 2.0 (endast HTTP POST Binding), Office 365 eller OpenID Connect
      • Alla användare som ska kunna logga in med SSO i Stratsys behöver finnas i kundens katalogtjänst. 
        • En Stratsys-databas kan endast hantera en IdP.
      • Mappning behöver kunna sättas upp mellan användarnamn i Stratsys och motsvarande attribut i er SAML-respons (gäller ej för SSO O365 - då sker mappningen automatiskt med 
        claim "email")
        • Ni väljer vilket attribut ni vill använda för användarnamn
        • När SSO aktiveras behöver användarnas användarnamn stämma överens med valt attribut som ni ska mappar mot användarnamn
      • För att SLO ska fungera krävs det att NameId skickas med som claim vid inloggningen

      Efter att SSO är aktiverat rekommenderar vi att:

      • Aktivera inloggning SSO som Standardinloggning
      • Aktivera inställningen Kräv SSO vid inloggning
        • Vid aktivering av krav på inloggning med SSO finns det möjlighet att definiera ett specifikt urval av användare som ska kunna, via en direktlänk kunna logga in med användarnamn och lösenord

      Innan vi startar

      Visar det sig att uppsättningen är mer komplex/speciell än det som framgår nedan, skicka gärna in din fråga till support@stratsys.se så hjälper vi givetvis till! 😊 

      Ordlista 

      SSO – Single Sign-on, Inloggning som upplevs automatisk för användaren. 

      SLO - Single Log out, Utloggning som upplevs automatisk för användaren. 

      SP – Service Provider (“tjänsteleverantör”), i detta fall är det Stratsys som agerar SP, det är tjänsten Stratsys som användaren vill komma åt. 

      IdP – Identity Provider (“identitets-/federeringstjänst”), detta är den tjänst som auktoriserar användaren, som ger användaren åtkomst. Det finns ett flertal IdP:er som våra kunder använder och som de kan använda för att få åtkomst till Stratsys, den vanligaste är: 

      • ADFS– Active Directory Federation Services, Microsofts federeringstjänst för de som kör en lokal installation av Active Directory, 

      AD – Active Directory, den vanligaste katalogtjänsten hos våra kunder. Det är den som håller koll på en organisations användare. 

      Provisionering – Uppskapande av användare.  

      Claim – Information om ett givet attribut för en användare 

      Attribut – Informationsbärare vid SSO-inloggning. Har ett namn och ett värde, t.ex. OrganizationName => Stratsys 

      Checklista inför implementation

      • Ni uppfyller de tekniska förutsättningarna
      • Användaren som ska konfigurera SSO måste vara superadministratör i Stratsys Platform Center 
      • Ni har uppdaterat användarnas användarnamn om de inte redan stämde överens med det attribut från SAML-responsen som ni ska mappa mot användarnamn (gäller ej SSO med O365)

      Konfigurera SSO 

      Nedan hittar ni konfigurationsguider för samtliga SSO-tekniker.

      SSO med SAML2

      1. Klicka på Single sign-on i Plattformsadministrationen
      2. Expandera Saml2 under Inloggningsinställningar.
      3. Aktivera inloggningsalternativet genom att klicka på toggeln
      4. Välj gärna SSO som standardinloggning, detta är ett valfritt alternativ, läs mer om det under Innan vi startar - Standardinloggning
      5. Ändra visningsnamn om du vill (t.ex. SSO)
      6. Ändra Metadata version till den senaste namngivna versionen (v4 i skärmbilden nedan). 
      7. Single log-out, går bra att slå av om så önskas.
        2023-04-28_11-15-23
      8. Kopiera Stratsys SP-metadata och för konfigurering i er miljö. Vi behöver även ert IdP-metadata för att uppsättningen ska fungera.

      9. IdP-metadatat från er ”Extern IdP” lägg in under "Extern IdP" --> "Metadata url". 
      10. Skrolla ner till Mappning av attribut.
      11. Lägg in motsvarande claim som finns i ert AD för användarnamn. Använd gärna förslaget på attribut för användarnamn (urn:oid:1.3.6.1.4.1.5923.1.1.1.6).  

      Testa först själv att gå till  https://[kundnamn].app.stratsys.com och klicka på Single Sign-on eller motsvarande visningsnamn som ni valt. Om ni valt SSO som standard så behövs inte detta klick, eftersom ni då kommer komma direkt till SSO-inloggningen.

      Väl här redirectas ni vidare mot er IdP och autentisering kommer ske och logga in behörig användare. 

      Får du eller någon användare något fel här, läs felmeddelande och se om det står något som du kan bistå med, ta annars skärmdumpar och ta kontakt med support@stratsys.se så hjälper vi er vidare. 

          SSO med Office 365 (Azure AD)

          1. Klicka på Single sign-on i Plattformsadministrationen
          2. Expandera Microsoft Office 365 under Inloggningsinställningar.
          3. Aktivera inloggningsalternativet genom att klicka på toggeln
          4. Välj gärna SSO som standardinloggning, detta är ett valfritt alternativ, läs mer om det under Innan vi startar - Standardinloggning
          5. Ändra visningsnamn om du vill
          6. Kopiera er Tenant ID från o365. Er Tenant ID återfinns under Azure Active directory > Properties > Tenant ID
          7. Lägg in TenantId i fältet Azure AD Tenant Id i Stratsys Platform Center.

            Testa därefter att logga in genom att gå till https://www.stratsys.se/[kundnamn] eller https://[kundnamn].app.stratsys.com och klicka på Microsoft Office 365 (visningsnamnet för inloggningsalternativet) för att testa inloggningen.  

            Här behöver användarna godkänna Stratsys som tjänst första gången. Ibland kan det även krävas att en administratör för deras O365 godkänner Stratsys som tjänst. Se mer om detta i felsökningsavsnittet nedan. 

            SSO med Open Id Connect

            Dessa steg visar hur du sätter upp OIDC i Azure, men det går att använda vilken IdP ni vill. Stegen är ändå desamma.

            1. Klicka på Single sign-on i Plattformsadministrationen
            2. Expandera OIDC under Inloggningsinställningar.

            Följande delar behöver fyllas i: 

             

            Steg för steg

            1. Gå till https://portal.azure.com
              ../_images/saml2AzureAdNewAppRegistration.png
            2. Skapa en applikation - Redirect URI bör vara inställd på "callback path" (det är den väg användaren returneras till efter lyckad inloggning mot IDPn). Redirect URI hämtas från plattformsadministrationen i Stratsys.

              ../_images/oidcAzureAdRegisterApp.png
            3. Kopiera Applikationens ClientID och lägg in det i ClientID fältet i plattformsadministrationen i Stratsys.

              ../_images/oidcAzureAdCopyAppId.png
            4. Du behöver även slå tillåtelse för ID tokens att bli utfärdade av auktoriseringsslutpunkten.
              ../_images/oidcAzureAdIdTokens.png
            5. Ange claim-mappings dessa behöver heta följande för att fungera. (Observera att dem är case-sensitive så det behöver vara sub, email. given_name och family_name som mappas):
              IdP Stratsys Plattform
              UserName sub
              Email email
              First Name given_name
              Last Name family_name

             

            Valbara SSO-inställningar

            Standardinloggning

            Om någon av SSO-lösningarna är satt som standardinloggning så kommer den att väljas då kunden navigerar till https://[kundnamn].app.stratsys.com. Om inget av SSO-alternativen är satt som standard kommer inloggningssidan att visas.  

            Vi rekommenderar alltid att man så snart som möjligt efter verifiering att det fungerar sätter sitt SSO-alternativ som standardinloggning. Sedan kan man höja säkerheten ytterligare genom att också stänga av möjligheten till formulärinloggning - se Kräv SSO vid inloggning nedan.  

            Standardinloggningen finner ni i plattformsadministrationen under Single Sign-on > för migrerade kunder. För icke-migrerade kunder finner ni Standardinloggningen i administrationen under Inloggningsalternativ >

            Plattformsadministrationen

              Single Log-out (SAML2)

              Denna funktionalitet gäller endast för SAML2. Funktionaliteten innebär att en användare som loggar ut från Stratsys även kommer att loggas ut från kundens IdP och ombes logga in igen om denne vill komma åt resurser som ligger inuti kundens domän. För att SLO ska fungera krävs att ett claim för NameID skickas med till Stratsys vid inloggningsförfarandet.

              Single Log Out innebär att Stratsys skickar en utloggningssignal till kundens IdP om att försöka logga ut användaren från andra tjänster som användare samma IdP. De flesta kunder vill inte ha det såhär, så standardrekommendationen är att denna är avstängd som default. 

               

              Kräv SSO vid inloggning

              Om funktionaliteten är aktiverad innebär att det är tvingande för alla användare att logga in med single sign-on . För att tillåta vissa användare att fortsatt logga in med användarnamn och lösenord behöver de specifikt exkluderas. Stratsysanställda kan inte exkluderas. Exkluderade användare måste använda direktlänken för att kunna logga in med användarnamn och lösenord.

              Aktivera "Kräv SSO vid inloggning"

              1. Gå till plattformsadministrationen och "Inloggningsinställningar"
              2. Expandera Avancerade inloggningsinställningar
              3. Aktivera toggeln

              Exkludera användare

              1. Gå till plattformsadministrationen och Användare
              2. Klicka på användaren du vill exkludera från SSO-kravet
              3. Expandera Inställningar
              4. Aktivera toggeln Exkludera från SSO krav
              5. Spara

              6. Be användaren att använda direktlänken för inloggning i Stratsys, återfinns i inloggningsinställningar under respektive inloggningsmetod för SSO.

               

              Användarprovisionering (SAML2, O365, OIDC) 

              OBS! Användarprovisionering får aldrig användas i kombination med AD-synk, då dessa inställningar inte är kompatibla med varandra

              Användarprovisionering innebär att användare som inte tidigare lagts till i Stratsys kommer att läggas till automatiskt om de går till https://[kundnamn].app.stratsys.com

              För att användarprovisioneringen ska fungera behöver attribut mappas.

              1. Gå till Plattformsadministrationen och inloggningsinställningar
              2. Expandera Avancerade inloggningsinställingar
              3.  Aktivera toggeln för automatiskt skapande av användare vid inloggning med single sign-on
              4. Mappa därefter attributen enligt instruktion längre ner i denna artikel.

              5. För att användaren ska skapas i Stratsys behöver även inställningen Standardbehörighet för nya användare i Stratsys vara aktiverad, se nedan:
              6. Här behöver ni välja vilken behörighetsgrupps som användare som skapas upp ska få som huvudbehörighet vid inslussning. Vanligtvis brukar en ny grupp skapas upp för provisoneringens syfte och kallas något i still med Inslussningsbehörighet eller SSO-inslussning. Där rekommenderar vi att så låg behörighet (ex. läsbehörighet) som möjligt sätts.
              7. Ni behöver även välja en Huvudenhet som användarna hamnar på vid inslussning. Där rekommenderar vi, om ni har känslig information, att skapa en ny enhet utan information på för att säkerställa att de inte når information de inte ska.
              8. Behörigheterna för användarna ändras därefter manuellt för vardera användare. Det går då att exempelvis sortera på den specifika behörigheten för att hitta användarna, se nedan bild:
              9. Det går inte att få någon påminnelse eller notis när en ny användare skapats upp.
              10. Om användarprovisionering är påslagen, men inställningen inte är aktiverad i Stratsys får man följande felmeddelande: 
              11. Användaren blir dock tillagd i Plattformsadministrationen, men den kommer inte att skickas till Stratsysdatabasen per automatik, utan får i så fall läggas till manuellt där. Notera att även om ovan steg löses i efterhand behöver användaren som testat provisioneringen och inte lyckats läggas till manuellt i databasen.

              Mappning av attribut i O365 och OIDC 

              För O365 och OIDC kommer användarnas namn, efternamn, epostadress och användarnamn konfigureras automatiskt. Detta behöver därför inte ställas in.

              Mappning av attribut i SAML2 

              För SAML2 behöver man själv ställa in vilka Claims i IdP:n som ska hamna på vilket fält i Stratsys. 

              Notera att de nedan endast är exempel, kunden kan skicka andra claims än dessa 

              För er som kör Azure AD med SAML2 så går det bra att ha samma användarnamn som e-postadress.

              Felsökning

              Nedan följer lite vanliga fel som kan uppstå samt hur det kan åtgärdas. 

              SAML2 Azure AD 

              AADSTS50105 The signed in user xxx is not assigned to a role for the application… 

              Lösning: Användaren behöver ges rättighet till Stratsys. 

              AADSTS7000112 Application ’XXXXXXX’ is disabled 

              Lösning: Stratsys-applikationen i er Azure AD behöver aktiveras av en användare med administrationsbehörighet i ert Azure AD. Ni återfinner applikationen under Enterprise Applications i Azure AD. 

              O365 Azure AD

              Användare tillåts inte logga in. Felsida från Office365 visas med ett felmeddelande. Be användare ta skärmdump av felet och skicka till sin Azure-administratör med support@stratsys.se på CC. Troligtvis behöver konfigurationen ändras i er ände så att Stratsys tillåts i er Azure-uppsättning. Se tips här: http://blog.schertz.name/2020/04/enterprise-application-consent-requests-in-azure/ 

              Felsökning allmänt 

              Får ni något fel vid uppsättning som inte förklaras ovan, så ta gärna kontakt med oss på support@stratsys.se så bistår vi med felsökning så att uppsättningen kan tas i mål så snabbt och enkelt som möjligt. 😊 

              Q&A

              Vi har SSO med O365 och undrar varför inte våra användare med O365-gästkonton kan logga in med SSO i Stratsys?

              Svar: För gästkonton i O365 skickas det med #EXT i email-adressen för UPN vilket gör att användarnamnet i Stratsys inte kan matcha mot email-adressen i SAML-biljetten. Detta löser ni genom att justera så att Azure sänder UPN beroende på vilket typ av O365-konto som användaren. Ni hittar mer info om detta här.