VDX
Fødereret login
ADFS integration og KOMBIT login løsning
Dette beskriver, hvilke opgaver der skal udføres for at oprette et fødereret login mellem MedComs videobooking og en ADFS-løsning. Derudover beskriver det også, hvad der kræves for at anvende føderet login mellem MedComs videobooking og KL og KOMBITs loginløsning (Adgangsstyring).
Overblik
MedCom har udviklet en brugergrænseflade, der kan anvendes til at vedligeholde møder i MedComs VDX system. Et screenshot fra løsningen vises nedenfor:
Brugergrænsefladen kan tilgås på følgende adresse: https://vconf.dk/booking
Inden brugere kan opnå adgang til brugergrænsefladen skal brugerne logge ind. Hvis man prøver at tilgå løsningen, uden at være logget ind, vil man blive mødt med en loginside i stil med nedenstående.
Da MedComs loginløsning bygger på SAML-standard, er det muligt at delegere selve loginproblematikken til andre SAML Identity Providers.
Når der er lavet en ADFS-integration, vil aktivering af “Fortsæt”-knappen for den givne organisation have den effekt, at brugeren stilles videre til organisationens Identity Provider (Microsoft ADFS).
Organisationens Identity Provider skal forestå selve brugerautentificeringen (validering af brugerens akkreditiver) og ved succesfuldt login sende en SAML assertion tilbage til MedComs loginløsning, der indeholder informationer om den indloggede bruger.
Når der vælges “Kommunalt login” viderestilles brugeren til KL og KOMBIT’s loginløsning.
Her vælger man den kommune, man er ansat i, og man bliver viderestillet til kommunens Identity Provider, der forestår selve brugerautentificeringen, og ved succesfuldt login sendes en SAML assertion tilbage til MedComs loginløsning med visse informationer om brugeren.
Den SAML assertion, der sendes tilbage, indeholder ikke brugerens email, derfor beriges brugerinformationerne med brugerens emailadresse via manuel registrering af email eller ved hjælp af KL og KOMBIT’s organisationsservice.
Opgaver ADFS
Overordnet set er der to opgaver:
- Sammenkobling mellem MedComs videologin og organisationens ADFS
- Mapning af brugeregenskaber i organisationens ADFS til egenskaber i MedComs bookingløsning
De to opgaver beskrives og nedbrydes nedenfor.
Sammenkobling af MedComs login og organisations ADFS
Ved sammenkoblingen skal der udveksles metadata mellem de to systemer:
- Videoløsningens metadata skal sættes op/importeres i organisationens ADFS. Videoløsningens metadata er udstillet på denne URL: https://login.vconf.dk/auth/realms/<organisation>/broker/<organisation>/endpoint/descriptor
- MedComs login skal have tilsvarende IdP-metadata for organisationens ADFS – enten som en fil eller en tilsvarende URL.
I første omgang vil brugeregenskaberne fra organisationen ikke anvendes, men vil sættes til passende værdier i MedComs loginløsning, så sammenkoblingen kan testes.
Opgave nr | Beskrivelse | Entityld |
---|---|---|
1 | Import af MedComs metadata i organisationens ADFS | Tilkoblende organisation |
2 | Fremskaffelse af metadata for organisationens ADFS | Tilkoblende organisation |
3 | Import af organisationens ADFS metadata i MedComs loginløsning | KvalitetsIT |
4 | Opsætning af standardværdier for krævede bruger oplysninger | KvalitetsIT |
5 | Test af loginflow | Tilkoblende organisation + KvalitetsIT |
Mapning af bruger oplysninger ADFS
Som beskrevet i foregående afsnit, så vil der i første omgang opsættes standardværdier for krævede bruger oplysninger.
I MedComs bookingløsning anvendes der følgende typer af bruger oplysninger:
- Brugerens organisation
- Brugerens identitet (som email)
- Brugerens (videobooking)-roller
- Brugerens fornavn og efternavn
I forhold til roller, så skelnes der i øjeblikket mellem roller, der anvendes til VDX Booking og Management API.
Rollerne er som følger:
- VDX Booking:
- meeting-admin: Kan administrere bookingdetaljer i egen organisation
- meeting-planner: Kan booke møder på vegne af andre
- meeting-user: Kan se egne møder og oprette møder for sig selv
- VDX Management
- management-admin (kan alt i egen organisation samt alle underorganisationer.)
- management-groups (kan styre grupper og undergrupper i egen organisationen)
- management-orgs (kan styre underorganisationer i egen organisation)
- management-localusers (kan styre lokale grupper)
- management-services (kan styre alle services i egen organisation)
- management-meetingrooms (kan styre møderum i egen organisation)
- management-registeredclients (kan styre registrerede klienter i egen organisation)
- management-autoparticipants (kan styre automatiske deltagere i egen organisation)
- management-themes (kan styre temaer i egen organisation)
Udover nævnte bruger oplysninger skal der også laves et claim af typen Name ID i ADFS. Dette skal være i formatet “Persistent Identifier” og værdien skal være noget der unikt identificerer brugeren.
Der skal tages stilling til, hvor de enkelte oplysninger skal stamme fra. Nedenstående tabel opsummerer:
Oplysning | Kilde | Beskrivelse |
---|---|---|
Brugerens organisation | Organisationens ADFS | Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/organisation-id’ i assertion fra organisationens ADFS. |
Brugerens identitet (email) | Organisationens ADFS | Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress’ i assertion fra organisationens ADFS. |
Brugerens fornavn | Organisationens ADFS | Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname’ i assertion fra organisationens ADFS. |
Brugerens efternavn | Organisationens ADFS | Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname i assertion fra organisationens ADFS. |
Brugerens (videobooking) roller | Organisationens ADFS | Listen af roller overføres i attributten ‘http://schemas.microsoft.com/ws/2008/06/identity/claims/role’ i assertion fra organisationens ADFS. |
Brugerens ID | Organisationens ADFS | Brugerens ID overføres som typen “Name ID” og er i formatet “Persistent Identifier”. |
Der er følgende opgaver:
Opgave nr | Beskrivelse | VDX Booking rolle |
---|---|---|
1 | Validering + specificering af kilde og beskrivelse af mapning af “Brugerens organisation” | Tilkoblende organisation |
2 | Validering + specificering af kilde og beskrivelse af mapning af “Brugerens identitet (email)” samt for og efternavn (se mapningstabel ovenfor) | Tilkoblende organisation |
3 | Validering + specificering af kilde og beskrivelse af mapning af “Brugerens (videobooking)-roller” | Tilkoblende organisation |
4 | Mapning af konkrete brugerværdier i MedComs login løsning | KvalitetsIT |
5 | Test af mapning | Tilkoblende organisation + KvalitetsIT |
Krav og opgaver KOMBIT
For at kunne anvende løsningen er der et enkelt krav til kommunen og så er der nogle enkelte opgaver der skal udføres.
Nedenstående krav skal være opfyldt for at det er muligt at anvende løsningen.
- Kommunen er koblet til KL og KOMBIT’s adgangsstyring.
Overordnet set er det nedenstående opgaver der skal udføres.
Opgaver KOMBIT
Opgave nr | Beskrivelse | Ansvarlig | |
---|---|---|---|
1 | Opsætning af jobfunktionsroller | Kommune | |
2 | Oprettelse af serviceaftale til organisation service | KvalitetsIT |
Opgave nr. 2 skal kun udføres hvis KL og KOMBIT’s organisation service anvendes i kommunen. Hvis denne service ikke anvendes, så skal bruger selv registrere sin email ved successfuldt login. Det anbefales at anvende organisation servicen, da dette eliminerer problemer med forkert registrerede email adresser.
Mapning af jobfunktioner KOMBIT
Som beskrevet i foregående afsnit skal der laves en mapning til brugersystemroller. Nedenstående tabel viser hvilke brugersystemroller der eksisterer og hvilken rolle det mapper til i henholdsvis VDX Booking og VDX Management.
Systemet hedder MedCom VideoAPI
.
Vær opmærksom på at med mindre du har de korrekte adgange vil de nedenstående links være utilgængelige.
VDX Booking
Brugersystemrolle | Entityld | VDX Booking rolle | Beskrivelse |
---|---|---|---|
booking-admin | http://vdxapi.dk/roles/usersystemrole/booking-admin/1 | meeting-admin | Kan administrere bookingdetaljer i egen organisation |
booking-planner | http://vdxapi.dk/roles/usersystemrole/booking-planner/1 | meeting-planner | Kan booke møder på vegne af andre |
booking-user | http://vdxapi.dk/roles/usersystemrole/booking-user/1 | meeting-user | Kan se egne møder og oprette møder for sig selv |
VDX Management
Brugersystemrolle | Entityld | VDX Booking rolle | Beskrivelse |
---|---|---|---|
management-admin | http://vdxapi.dk/roles/usersystemrole/management-admin/1 | management-admin | Kan alt i egen organisation samt alle underorganisationer. |
Oprettelse af serviceaftale
Hvis kommunen anvender KL og KOMBIT’s organisation service skal der oprettes en serviceaftale mellem KvalitetsIT og kommunen. Dette gør at løsningen har adgang til at kalde servicen og dermed automatisk berige brugerens oplysninger med email adresse.
Det er KvalitetsIT der skal oprette serviceaftalen og så skal den godkendes af kommunen. Service aftalen oprettes på serviceplatformen.
Anvendes denne service ikke, så vil brugeren selv skulle indtaste email adresse ved successfyldt login.
Kontakt
Hvis i ønsker at anvende en af disse loginløsninger skal i kontakte vdx@medcom.dk. MedCom verificerer at alle forudsætninger, som f.eks. tilslutningsaftale, er på plads. Er de det vil MedCom sørge for at leverandøren, KvalitetsIT, hjælper jer videre med denne loginløsning.