Med Weblogin kan du benytte Feide eller andre identitetstilbydere som st?tter SAML-innlogging. St?tte for delegering til tilbyder konfigureres for hver tjeneste som benytter Weblogin.
L?sningen krever i utganspunktet ikke noe ekstra konfigurasjon for din tjeneste, men du m? gjerne gj?re noen endringer for ? tilpasse tjenesten til informasjonen man f?r fra Weblogin.
Dersom din tjeneste konfigureres med delegering, s? vil det dukke opp en ekstra "flapp" for hver identitetstilbyder som er konfigurert for din tjeneste, n?r en bruker g?r fra din tjeneste til Weblogin for autentisering.
Hvordan virker det?
For hver tjeneste som skal benytte en gitt identitetstilbyder gjennom Weblogin, m? det settes opp en ny integrasjon mellom Weblogin og identitetstilbyderen. Denne integrasjonen er tilsvarende den som din tjeneste normalt ville hatt for ? gjennomf?re autentisering med identitetstilbyderen. Det Weblogin tilbyr, er alts? ? flytte denne integrasjonen til ett sentralt punkt – og gir tilleggsfunksjonalitet som f.eks. automatisk innlogging med Kerberos og SSO med andre tjenester.
Hvilke identitetstilbydere st?ttes?
L?sningen er testet med Feide og ID-Porten, men alle tilbydere som st?tter Web Browser SSO Profile og Single Logout Profile kan benyttes.
Feide
Innlogging med Feide er godt testet, og er allerede i bruk i noen tjenester. Dersom du ?nsker ? benytte innlogging med Feide, holder det at du spesifiserer dette i bestillingen.
ID-Porten
Innlogging med ID-Porten er testet, men det mangler rutine for ? f? p? plass avtale med Difi. Dette blir utarbeidet ved behov. Dersom du ?nsker innlogging med ID-porten i din tjeneste, s? m? dette sendes inn som en bestilling til weblogin-kontakt@usit.uio.no.
Andre identitetstilbydere
For ? f? p? plass andre identitetstilbydere i Weblogin, s? m? det sendes bestilling til weblogin-kontakt@usit.uio.no.
Hva m? jeg gj?re med min tjeneste?
Du trenger i utgangspunktet ikke ? endre konfigurasjon for ? f? p? plass st?tte for Feide eller andre innloggingstjenester.
Brukergrupper
Weblogin st?tter innlogging med ulike brukergrupper fra UiO. Selv om du ?nsker innlogging med en ekstern identitetstilbyder, m? du tillate minst en slik brukergruppe ? logge inn. Dette fordi det grafiske grensesnittet i Weblogin ikke er tilpasset innlogging utelukkende med eksterne tjenester.
Attributter
Weblogin vil gi din tjeneste et sett attributter med informasjon om brukeren som er innlogget. Hvilke attributter som er tilgjengelige er ulik fra brukergruppe til brukergruppe. Andre identitetstilbydere kan ha et helt annet sett med attributter. Din tjeneste m? ta hensyn til dette.
Konfigurasjon
SAML-metadata for din tjeneste og for Weblogin er lik, uavhengig om tjenesten benytter eksterne identitetstilbydere. Dersom du allerede har integrert din tjeneste med Weblogin, s? trenger du ikke endre metadata eller sette opp integrasjonen p? nytt dersom du ?nsker ? benytte f.eks. Feide.