Nastavení jednotného přihlášení (SSO)

Edjet LMS Server 6.4

Nastavení jednotného přihlášení (SSO)

Edjet LMS podporuje pokročilou správu identit uživatelů Single sign-on pomocí protokolu SAML 2.0, což je autentizační schéma, které umožňuje přihlášení uživatele pomocí jediného tlačítka.

Nastavení SSO vyžaduje, aby systém Edjet LMS používal protokol https.

Uživatelské účty

Ověřovaný uživatelský účet musí existovat v databázi Edjet LMS.

Uživatelské účty v systému Edjet LMS můžete vytvářet a synchronizovat pomocí konektoru Active Directory.

Nastavení ověřování SSO

Veškerá nastavení a možnosti konektoru SSO lze spravovat v panelu správce.

Nastavení ověřování SSO:

Přihlaste se do administrace Edjet LMS.
V menu klikněte na Nastavení a poté na Systém
Klikněte na kartu SSO.
Zaškrtněte možnost Povolit ověřování SAML SSO.
Zadejte nastavení a údaje SSO.
Viz nastavení a možnosti níže.
Na panelu nástrojů klikněte na Uložit.

Nastavení a možnosti

Nastavení	Možnosti a popis
saml_sso	Povolení nebo zakázání ověřování SAML SSO false true Typ dat: boolean
saml_entity_id	Identifikátor subjektu Identity Provider (IdP) - musí to být URI Typ dat: řetězec
saml_sso_url	Koncový bod SSO IdP (protokol žádosti o ověření) Cílová adresa URL IdP, na kterou bude odeslána zpráva s žádostí o ověření Typ dat: řetězec
saml_sls_url	Koncový bod SLO IdP URL Umístění IdP, kam bude zaslán požadavek SLO Typ dat: řetězec
saml_x509cert	Veřejný certifikát x509 IdP Typ dat: řetězec

Koncové body SAML SSO systému Edjet LMS

Edjet LMS nabízí následující koncové body SAML SSO pro IdP:

ID subjektu - adresa URL obsahuje metadata SAML SP (Edjet LMS) ve formátu XML:
https://<hostname>/components/saml_metadata.php
URL odpovědi - Assertion consumer service (ACS) - URL Místo, kam bude vrácena <Response> od IdP:
https://<hostname>/login?saml_acs
Adresa URL pro odhlášení - umístění adresy URL, na které se žadateli MUSÍ vrátit zpráva <Logout Response>:
https://<hostname>/login?saml_sls

Nastavení IdP třetí strany

Microsoft Azure Cloud

Dokumentace: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-custom-apps
Pro "saml_sls_url" použijte stejnou url jako pro "saml_sso_url"
Pole pro nastavení adresy URL pro odhlášení není k dispozici v části SSO podnikové aplikace. Chcete-li toto pole vyplnit, přejděte na: Azure Active Directory → Registrace aplikací → Zobrazit všechny aplikace → vybrat aplikaci → Nastavení → Vlastnosti → pole Odhlášení URL

Služba Microsoft Active Directory Federation Services (MS AD FS)

Další nastavení IDP:

'security' => array (
'lowercaseUrlencoding' => true,
'requestedAuthnContext' => false,
),

Problém s odhlášením:

Služba ADFS vyžaduje podepsaný požadavek na odhlášení. Žádost by mohla být podepsána vlastním certifikátem. (https://www.samltool.com/self_signed_certs.php). Veřejný x509 cert by měl být registrován na straně ADFS. Existuje mnoho problémů s podepsanou komunikací mezi php-saml a ADFS (https://github.com/onelogin/php-saml/issues/251, https://social.technet.microsoft.com/Forums/en-US/bc71bd77-018a-4faa-9147-f93afceaf218/logout-response-signature-issue?forum=ADFS, https://github.com/onelogin/java-saml/issues/130)
Můžeme použít WS-federation sign out (https://social.technet.microsoft.com/wiki/contents/articles/1439.ad-fs-how-to-invoke-a-ws-federation-sign-out.aspx), ale s určitými omezeními:
- první odhlášení je v pořádku
- další odhlášení je možné po 10 minutách (https://stackoverflow.com/questions/32357669/adfs-3-0-single-sign-out-with-relying-party-sts)
- uživatel může odstranit soubory cookie prohlížeče
- uživatel se může odhlásit přímo pomocí uživatelského rozhraní ADFS: https://<ADFS_URL>/adfs/ls/idpinitiatedsignon.aspx

Připojení externích služeb

Připojení poštovního serveru (SMTP) Superadmin
Připojení Active Directory (AD) Superadmin
Nastavení jednotného přihlášení (SSO) Superadmin
Nastavení přihlašování pomocí OAuth (přes Google, Linkedin, Facebook) Superadmin