Federerad inloggning - SSO

Federerad inloggning - SSO (Single sign-on) kan tillämpas i WeLib. För tillfället stöds federerad inloggning via Google, Skolfederationen och Microsoft Office 365.

Inloggning med Google-konton

För att elever ska kunna logga in i WeLib med sina Google-konton, måste huvudmannen kontakta Axiells support för att koppla in Google-inloggning i huvudmannens WeLib. Huvudmannen får ett applikationsnamn från Axiell.

När Axiell meddelat att detta är klart behöver huvudmannen följa denna instruktion:

  1. Följ instruktionerna under Konfigurera en egen SAML-app för att sätta upp ett Google-konto som administratör för er organisation.

  2. Axiell behöver följande information från huvudmannen:

    3. Applikationsnamn welib[huvudmannensnamn]
    ACS-webbadress https://api.welib.se/uaa2/callback?client_name=saml2[huvudmannensnamn]
    Enhets-id https://api.welib.se/uaa2/callback
    Startwebbadress https://[huvudmannensnamn].welib.se

  3. Koppla de attribut som ska skickas med efter inloggning. Se mer information under rubriken Användarattribut nedan.

  4. Exportera en SAML metadatafil (xml) och skicka till Axiells support.

  5. Följ instruktionen under Aktivera SSO i din nya SAML-app.

Axiell bistår med test innan den federerade inloggningen slås på för eleverna.

Inloggning med Skolfederationen

För att elever ska kunna logga in i WeLib med sina Skolfederationen-konton, måste huvudmannen vara medlem i Skolfederationen. Följ sedan denna instruktion:

  1. Lägg in Skolfederationen som Identity provider.

  2. Meddela Axiells support att er WeLib ska kopplas mot denna.
    Då detta är klart kommer WeLib att finnas som Service provider med entityID https://api.welib.se/uaa2/saml2/entity/saml2Skolfederation[huvudmannensnamn]Client

  3. Verifiera att korrekta attribut returneras för detta entityID.

Inloggning med Microsoft Office 365

För att elever ska kunna logga in i WeLib med sina Microsoft Office 365-konton, måste huvudmannen utföra följande steg:

  1. Konfigurera Microsoft Office 365 IdP för SAML 2.0 SSO.

  2. Lägg till WeLib som en ny applikation med SAML Single sign-on.

  3. Konfigurera användarattribut med mappningar enligt överenskommelse med Axiell eller enligt Användarattribut nedan.

  4. Skicka IdP metadata xml-filen till Axiells support.

Axiells support skickar SP metadata xml-filen till huvudmannen och sätter upp SSO-integration i WeLib.

Användarattribut

Huvudmannen behöver konfigurera vilka användarattribut som ska skickas med till WeLib efter inloggning med Single sign-on.

Vilka användarattribut som ska konfigureras och tas med skiljer sig åt beroende på om huvudmannen beställt separat inläsning av användare, eller om konton ska skapas manuellt vid första inloggningstillfället.

Federerad inloggning för WeLib-skolor med BOOK-IT eller som backend-system måste använda attribut som också finns i backend-systemet.

Single sign-on + inläsning av elever

Om huvudmannen har beställt inläsning av användare via synk eller manuell inläsning av csv-fil så finns användare i WeLib redan vid första inloggningstillfället. WeLib behöver då bara ett attribut för att kunna matcha mot redan inlästa användare. Det kan vara ett unikt användarnamn eller personnummer:

Alternativ 1, användarnamn: urn:oid:1.3.6.1.4.1.5923.1.1.1.6 eller eduPersonPrincipalName eller username eller id
Alternativ 2, personnummer: urn:oid:1.3.6.1.4.1.2428.90.1.5 eller norEduPersonNIN eller Personnummer

Enbart Single sign-on

Användarkonton kan även skapas i samband med den första inloggningen. WeLib kan för tillfället ta emot följande attribut:

Attribut Värde Kommentar
Användarnamn urn:oid:1.3.6.1.4.1.5923.1.1.1.6 eller eduPersonPrincipalName eller username eller id  
Förnamn urn:oid:2.5.4.42 eller givenName eller Fornamn  
Efternamn urn:oid:2.5.4.4 eller surName eller sn eller Efternamn  
Email urn:oid:0.9.2342.19200300.100.1.3 eller mail  
Skolenhetskod urn:oid:1.2.752.194.10.2.4 eller sisSchoolUnitCode (8 siffror) När en användare loggar in via Single sign-on och konto ska skapas ”on-the-fly”, så kontrollerar WeLib om attributet för skolenhetskod matchar en skola som är kopplad till en biblioteksenhet i WeLib. Då skapas skapas konto med tillhörighet på rätt skola. Om ingen matchning finns så får användaren inte logga in. Kontakta Axiell för alternativa lösningar om det inte går att skicka skolenhetskod.
Roll urn:oid:1.3.6.1.4.1.5923.1.1.1.7  eller eduPersonEntitlement Saknas roll (Elev eller Lärare) så sätts användaren till Elev. Administratören kan ändra roll från exempelvis Elev till Bibliotekarie i WeLib.