ADFS integration

Denne side beskriver hvilke opgaver der skal udføres for at oprette et fødereret login mellem Medcoms videobooking og en ADFS løsning.

Overblik

Medcom har udviklet en brugergrænseflade, der kan anvendes til at vedligeholde møder i Medcoms VDX system. Et screenshot fra løsningen vises nedenfor:

VDX Booking

Brugergrænsefladen kan tilgås på følgende adresse: https://vconf.dk/booking

Inden brugere kan opnå adgang til brugergrænsefladen skal brugerne logge ind. Hvis man prøver at tilgå løsningen, uden at være logget ind, vil man blive mødt med en loginside i stil med nedenstående.

Keycloak Login

Da Medcoms loginløsning bygger på SAML standarden er det muligt at delegere selve login problematikken til andre SAML Identity Providers.

Når der er lavet en ADFS integration vil aktivering af fortsæt knappen, for den givne organisation, have den effekt, at brugeren stilles videre til organisationens Identity Provider (Microsoft ADFS).

Organisationens Identity Provider skal forestå selve brugerautentificering (validering af brugeren akkreditiver) og ved succesfuldt login sende en SAML assertion tilbage til Medcoms loginløsning indeholdende informationer om den indloggede bruger.

Opgaver

Overordnet set er der to opgaver:

  1. Sammenkobling mellem Medcoms videologin og organisationens ADFS
  2. Mapning af brugeregenskaber i organisationens ADFS til egenskaber i Medcoms bookingløsning

De to opgaver beskrives og nedbrydes nedenfor.

Sammenkobling af Medcoms login og organisations ADFS

Ved sammenkoblingen skal der udveksles metadata mellem de to systemer:

  1. Videoløsningens metadata skal sættes op/importeres i organisationens ADFS. Videoløsningens metadata er udstillet på denne URL: https://login.vconf.dk/auth/realms/<organisation>/broker/<organisation>/endpoint/descriptor
  2. Medcoms login skal have tilsvarende IdP metadata for organisationens ADFS - enten som en fil eller en tilsvarende URL.

I første omgang vil brugeregenskaberne fra RSJ ikke anvendes, men vil sættes til passende værdier i Medcoms loginløsning, så sammenkoblingen kan testes.

Opgave nr Beskrivelse Ansvarlig
1 Import af Medcoms metadata i organisationens ADFS Tilkoplende organisation
2 Fremskaffelse af metadata for organsiationens ADFS Tilkoplende organsiation
3 Import af organisationens ADFS metadata i Medcoms loginløsning KvalitetsIT
4 Opsætning af standardværdier for krævede brugeroplysninger KvalitetsIT
5 Test af loginflow Tilkoplende organisation + KvalitetsIT

Mapning af brugeroplysninger

Som beskrevet i foregående afsnit, så vil der i første omgang opsættes standardværdier for krævede brugeroplysninger (se punkt 4 i foregående afsnit).

I Medcoms bookingløsning anvendes der følgende typer af brugeroplysninger:

  • Brugerens organisation
  • Brugerens identitet (som email)
  • Brugerens (videobooking)-roller
  • Brugerens fornavn og efternavn

I forhold til roller, så skelnes der i øjeblikket mellem roller, der anvendes til VDX Booking og Management API.

Rollerne er som følger:

  1. VDX Booking:
    1. meeting-admin: Kan administrere bookingdetaljer i egen organisation
    2. meeting-planner: Kan booke møder på vegne af andre
    3. meeting-user: Kan se egne møder og oprette møder for sig selv
  2. VDX Management
    1. management-admin (kan alt i egen organisation samt alle underorganisationer.)
    2. management-groups (kan styre grupper og undergrupper i egen organisationen)
    3. management-orgs (kan styre underorganisationer i egen organisation)
    4. management-localusers (kan styre lokale grupper)
    5. management-services (kan styre alle services i egen organisation)
    6. management-meetingrooms (kan styre møderum i egen organisation)
    7. management-registeredclients (kan styre registrerede klienter i egen organisation)
    8. management-autoparticipants (kan styre automatiske deltagere i egen organisation)
    9. management-themes (kan styre temaer i egen organisation)

Der skal tages stilling til, hvor de enkelte oplysninger skal stamme fra. Nedenstående tabel opsummerer:

Oplysning Kilde Beskrivelse
Brugerens organisation medcoms loginløsning Sættes til organisation for alle brugere der logger ind via organisations ADFS løsning.
Brugeren identitet (email) Orgsniationsnen ADFS Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress’ i assertion fra organisationens ADFS
Brugeren fornavn Orgsniationsnen ADFS Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname’ i assertion fra organisationens ADFS
Brugeren efternavn Orgsniationsnen ADFS Denne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname i assertion fra organisationens ADFS
Brugerens (videobooking)-roller Orgsniationsnen ADFS Listen af roller overføres i attributten ‘http://schemas.microsoft.com/ws/2008/06/identity/claims/role’ i assertion fra orgsanisationens ADFS

Der er følgende opgaver:

Opgave nr Beskrivelse Ansvarlig
1 Validering+specificering af kilde og beskrivelse af mapning af “Brugerens organisation” Tilkoplende organisation
2 Validering+specificering af kilde og beskrivelse af mapning af “Brugerens identitet (email)” samt for og efternavn (se mapningstabel ovenfor) Tilkoplende organsiation
3 Validering+specificering af kilde og beskrivelse af mapning af “Brugerens (videobooking)-roller” Tilkoplende organisation
4 Mapning af konkrete brugerværdier i Medcoms login løsning KvalitetsIT
5 Test af mapning Tilkoplende organisation + KvalitetsIT

Kontakt

Har i allerede en VDX tilslutningsaftale og ønsker at anvende denne loginløsning skal i kontakte vdxsupport@kvalitetsit.dk.

Hvis i ikke allerede har en VDX tilslutningsaftale skal i, i første omgang, kontakte vdx@medcom.dk for at få oprettet en tilsutningsaftale. Når tilsutningsaftalen er oprettet skal i kontakte vdxsupport@kvalitetsit.dk for at komme i gang med at anvende denne loginløsning.