Edjet LMS Server 6.4

Nastavení jednotného přihlášení (SSO)

Superadmin info

Edjet LMS podporuje pokročilou správu identit uživatelů Single sign-on pomocí protokolu SAML 2.0, což je autentizační schéma, které umožňuje přihlášení uživatele pomocí jediného tlačítka.

Nastavení SSO vyžaduje, aby systém Edjet LMS používal protokol https.

Uživatelské účty

Ověřovaný uživatelský účet musí existovat v databázi Edjet LMS.

Uživatelské účty v systému Edjet LMS můžete vytvářet a synchronizovat pomocí konektoru Active Directory.

Nastavení ověřování SSO

Veškerá nastavení a možnosti konektoru SSO lze spravovat v panelu správce.

Nastavení ověřování SSO:

  1. Přihlaste se do administrace Edjet LMS.
  2. V menu klikněte na settings Nastavení a poté nasettings_applications Systém
  3. Klikněte na kartu SSO.
  4. Zaškrtněte možnost Povolit ověřování SAML SSO.
  5. Zadejte nastavení a údaje SSO.
    Viz nastavení a možnosti níže.
  6. Na panelu nástrojů klikněte na save Uložit.

Nastavení a možnosti

Nastavení Možnosti a popis
saml_sso

Povolení nebo zakázání ověřování SAML SSO

  • false
  • true

Typ dat: boolean

saml_entity_id

Identifikátor subjektu Identity Provider (IdP) - musí to být URI

Typ dat: řetězec

saml_sso_url

Koncový bod SSO IdP (protokol žádosti o ověření)

Cílová adresa URL IdP, na kterou bude odeslána zpráva s žádostí o ověření

Typ dat: řetězec

saml_sls_url

Koncový bod SLO IdP

URL Umístění IdP, kam bude zaslán požadavek SLO

Typ dat: řetězec

saml_x509cert

Veřejný certifikát x509 IdP

Typ dat: řetězec

Koncové body SAML SSO systému Edjet LMS

Edjet LMS nabízí následující koncové body SAML SSO pro IdP:

Nastavení IdP třetí strany

Microsoft Azure Cloud

  • Dokumentace: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-custom-apps
  • Pro "saml_sls_url" použijte stejnou url jako pro "saml_sso_url"
  • Pole pro nastavení adresy URL pro odhlášení není k dispozici v části SSO podnikové aplikace. Chcete-li toto pole vyplnit, přejděte na: Azure Active Directory → Registrace aplikací → Zobrazit všechny aplikace → vybrat aplikaci → Nastavení → Vlastnosti → pole Odhlášení URL

Služba Microsoft Active Directory Federation Services (MS AD FS)

  • Další nastavení IDP:
    'security' => array (
    'lowercaseUrlencoding' => true,
    'requestedAuthnContext' => false,
    ),

Problém s odhlášením:

  • Služba ADFS vyžaduje podepsaný požadavek na odhlášení. Žádost by mohla být podepsána vlastním certifikátem. (https://www.samltool.com/self_signed_certs.php). Veřejný x509 cert by měl být registrován na straně ADFS. Existuje mnoho problémů s podepsanou komunikací mezi php-saml a ADFS (https://github.com/onelogin/php-saml/issues/251, https://social.technet.microsoft.com/Forums/en-US/bc71bd77-018a-4faa-9147-f93afceaf218/logout-response-signature-issue?forum=ADFS, https://github.com/onelogin/java-saml/issues/130)
  • Můžeme použít WS-federation sign out (https://social.technet.microsoft.com/wiki/contents/articles/1439.ad-fs-how-to-invoke-a-ws-federation-sign-out.aspx), ale s určitými omezeními:
    • první odhlášení je v pořádku
    • další odhlášení je možné po 10 minutách (https://stackoverflow.com/questions/32357669/adfs-3-0-single-sign-out-with-relying-party-sts)
    • uživatel může odstranit soubory cookie prohlížeče
    • uživatel se může odhlásit přímo pomocí uživatelského rozhraní ADFS: https://<ADFS_URL>/adfs/ls/idpinitiatedsignon.aspx
Připojení externích služeb