View Source

Här följer ett exempel från Linnéuniversitetet på hur de satt upp Zoom och SAML/SSO

Sunet E-möte > Exempel på SSO-mappning > 2021-05-28_12-41-47.png

Vanity URL är adressen till er portal. Den måste vara godkänd av Zoom för att fungera (se följande artikel på wikin: Konfigurera Zoom)
Kontakta IT-avdelningen och de som har hand om er SAML/SSO och få rätt på faktan som behövs. Inloggnings-URL för SSO
Certifikatet för er SAML/IDP
Samma adress som vanity URL för er SP
Det behövs också ett SP certifikat för Zoom som laddas upp här.
Adressen till er shibboleth
Säkerhetsinställningar. Vi har valt det här och det fungerar bra för oss. Provision User vid inloggning är en bra idé. "Save SAML response logs on user sign-in" är påslaget för att samla in loggar vid inloggning för felsökning. Inte nödvändigt i sig.

SAML Response Mapping

Gå till fliken SAML Response Mapping. Här mappar ni upp era användare så de hamnar i rätt grupp baserat på tillhörighet/typ av användare.

I exemplet här, baserat på vårt universitet, så har vi tre typer av användare som definieras via subdomäner i kontot. Personal, studenter och externa föreläsare/gästforskare.

Du behöver veta era urn:oid för de olika SAML attributen och ange dem tillsammans med det som ska mappas fram. Olika lärosäten har olika policies för vilken data som ska mappas.

Sunet E-möte > Exempel på SSO-mappning > 2021-05-28_12-44-12.png

E-postadressens, för- och efternamnets urn:oid fylls i vid respektive attribut.
OBS att det är en bra idé att bocka i att de ska uppdateras vid varje inloggning. Namnbyten, nya e-postadresser m.m.
Fortsätt fylla i de olika attribut som ni vill få in i Zooms databas. Längst ner finns Employee Unique ID. Missa inte den.

Scrolla ner till SAML Advanced Information Mapping:

Sunet E-möte > Exempel på SSO-mappning > 2021-05-28_12-49-21.png

License Type. Det är här ni väljer hur de olika användargrupperna ska kopplas till licensen. onPrem är det vi ska använda i dagsläget (NORDU.nets servrar). Använd urn:oid och SAML-värdet för de användargrupperna.
User Group är ett sätt att ge olika användare olika rättigheter i systemet. Dela upp användarna i grupper som ni önskar baserat på er SAML. Oavsett om ni tänkt låta alla användare ha samma rättigheter eller inte så är det en god idé att dela upp dem i grupper baserat på roller de har hos er för framtida bruk.
Man kan också skapa mindre grupper i systemet som har helt egna rättigheter utanför den större gruppen. Då måste de grupperna undantas från grundmappningen för att inte ”ramla ur” den lilla extragruppen.

Ett typexempel är om du vill ge vissa anställda rättighet att använda en specifik, ny funktion för testning. Då kan du skapa en ny grupp (under Users/Groups) och ge den gruppen rättigheter samt göra gruppen till primär för användarna. Den gruppen blir då huvudgrupp vilket gör att trots att de även tillhör gruppen "personal" så har de utökade befogenheter. Den nya gruppen måste undantas mappningen, annars går användarna tillbaka till sin SAML-mappade grupp vid inloggning.

IM Groups

Slutligen finns det IM (Instant Messenger) grupper på sidan:

Sunet E-möte > Exempel på SSO-mappning > 2021-05-28_12-49-50.png

Det handlar om chattfunktionen och användarkataloger som kan delas upp i olika grupper. Till exempel skiljer vi på studenter och personal så studenterna inte kan leta upp sina lärare i katalogen och inte kontakta dem. Däremot kan lärare göra tvärtom. Detta är alltså om ni vill kunna skilja grupperna åt i Zoom, låta studenter skapa kanaler, chattar, videomöten med varandra, men låta personalgruppen kunna jobba ostört i egna kanaler.