Skip to main content

SAML-verificatieprovider

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) is een op XML gebaseerde gegevensindeling die kan worden gebruikt voor het verifiëren en autoriseren van gebruikers tussen afzonderlijke systemen. SAML wordt vaak gebruikt als Eenmalige aanmelding (SSO) oplossing, ook voor Blackboard. Als SAML correct is geïnstalleerd en geconfigureerd, kunnen Blackboard-gebruikers zich aanmelden met hun gebruikersnaam en wachtwoord van een andere instelling of toepassing. SSO bespaart tijd voor zowel beheerders als gebruikers door een naadloze integratie voor aanmelden te bieden.

Gebruikersgegevens worden via een SAML-bevestiging doorgegeven tussen systemen. De identiteitsprovider is de externe host van het account van de gebruiker en je Blackboard-exemplaar fungeert als de service. De identiteitsprovider verzendt kenmerken die Blackboard gebruikt om een account voor de gebruiker te maken of bij te werken. Deze kenmerken kunnen gegevens bevatten zoals de gebruikersnaam, voornaam, achternaam en e-mailadres, en worden verpakt in een beveiligingstoken zoals een SAML-bevestiging. De identiteitsprovider stuurt deze SAML-assertie naar Blackboard wanneer de gebruiker zijn inloggegevens invoert met behulp van single sign-on. Als de gebruikersnaam van de gebruiker niet overeenkomt met de gebruikerskenmerken in het systeem, maakt Blackboard een nieuw account met de gebruikerskenmerken in de SAML-assertie.

Het Building Block SAML vereenvoudigt de configuratie van SSO. Nadat je het Building Block hebt geactiveerd, wordt er een nieuw type verificatie toegevoegd aan de lijst Provider maken in Configuratiescherm voor systeembeheer > Verificatie. Hiermee kun je de service op de juiste manier configureren.

Het SAML-Building Block brengt één verbinding tot stand tussen Blackboard en een identiteitsprovider. Je kunt meerdere vermeldingen voor SAML-verificatieproviders maken om verbinding te maken met verschillende identiteitsproviders. Bovendien vervangt SAML de inlogwerkstroom van Blackboard niet volledig. Gebruikers kunnen zich op de normale manier aanmelden bij Blackboard met hun inloggegevens, als ze dat willen.

Het Building Block SAML activeren

  1. Ga naar het configuratiescherm voor systeembeheer.

  2. Selecteer onder Integraties de optie Building Blocks.

  3. Selecteer Geïnstalleerde tools

  4. Zoek Verificatieprovider - SAML in de lijst en verander de status in Beschikbaar.

  5. Ga in het configuratiescherm voor systeembeheer onder Integraties naar Verificatie.

  6. SAML staat nu in de lijst Provider maken op de pagina Verificatieprovider.

Instellingen configureren

Je kunt instellingen configureren om problemen op te lossen of om de veiligheid van de SAML-verbinding te garanderen.

  1. Ga naar het configuratiescherm voor systeembeheer.

  2. Selecteer onder Integraties de optie Building Blocks.

  3. Selecteer Geïnstalleerde tools.

  4. Zoek Verificatieprovider - SAML in de lijst. Open het menu en selecteer Instellingen. Je hebt de volgende opties:

    • Certificaat opnieuw genereren: Selecteer Opnieuw genereren om het SAML-certificaat opnieuw te genereren. Het kan nodig zijn om een certificaat opnieuw te genereren om de verbinding veilig te houden of als het certificaat is verlopen.

      Opmerking

      Nadat je het certificaat opnieuw hebt gegenereerd, moet je de metagegevens van de serviceprovider opnieuw uploaden naar de identiteitsprovider. Wanneer je Opnieuw genereren selecteert, wordt je gevraagd om deze stap te bevestigen.

      Opmerking

      Als je een nieuw certificaat genereert onder de B2-instellingen, moet je de SAML B2 op Inactief zetten en vervolgens teruggaan naar Geactiveerd om de wijziging door te voeren. Daarna ga je terug naar de instellingen van de provider en genereer je de nieuwe metagegevens om te importeren in de IDP. Als je deze instellingen niet inschakelt, kan het oude certificaat nog steeds worden meegenomen als je nieuwe metagegevens genereert. De IDP wordt niet bijgewerkt en de volgende keer dat Mijn Blackboard opnieuw wordt opgestart, wordt het nieuwe certificaat weergegeven. De SAML-verificatie wordt daardoor verbroken omdat de IDP en het certificaat niet overeenkomen.

    • Instellingen voor het verlopen van beweringen: In dit gedeelte kunt u de Vervaltijd (ResponseSkew) en de leeftijdsgrens SAML-sessie aanpassen. Mogelijk moet je de waarde voor ResponseSkew bewerken als je Blackboard-server zich in een andere tijdzone bevindt dan de server van de identiteitsprovider. Het tijdsverschil kan tot gevolg hebben dat SAML-bevestigingen verlopen voordat gebruikers zijn geverifieerd. SAML-sessies verlopen in de tijdsduur in leeftijdsgrens voor SAML-sessie. Selecteer Sessieleeftijd niet beperken als u wilt toestaan dat sessies nooit verlopen.

    • Instellingen voor handtekeningalgoritme: Kies een type handtekeningalgoritme dat voldoet aan uw beveiligingsbehoeften of zoals vereist door identiteitsproviders. Nadat je een waarde hebt gekozen voor Type Signature Algorithm, start je het Building Block SAML opnieuw om de nieuwe instellingen toe te passen.

  5. Selecteer Verzenden om de wijzigingen op te slaan.

Een SAML-verificatieprovider maken en configureren

  1. Selecteer de knop Provider maken en selecteer het type verificatieprovider SAML.

  2. Typ een naam en eventueel beschrijving voor de provider.

  3. Stel Beschikbaarheid van verificatieprovider in op Actief.

  4. Stel Zoekmethode gebruikers in op Gebruikersnaamof Batch-UID.

  5. Stel Beperken op hostnaam in op Deze provider gebruiken voor alle hostnamen.

    • Selecteer eventueel Deze provider beperken tot alleen de opgegeven hostnaam. Typ in dat geval een hostnaam in het veld Beperkte hostnamen.

  6. Typ in het veld Koppelingstekst de titel van de koppeling zoals u deze wilt weergeven op de aanmeldingspagina van Blackboard.

  7. Je kunt desgewenst ook een pictogram toevoegen aan de aanmeldingspagina. Selecteer Bladeren om een pictogram voor de aanmeldingspagina te uploaden.

  8. Selecteer Opslaan en configureren om door te gaan.

Op de pagina Instellingen voor SAML-verificatie geef je de instellingen voor de serviceprovider en identiteitsprovider op, zodat er een vertrouwde relatie ontstaat. De identiteitsprovider is de externe host van het account van de gebruiker en je Blackboard-exemplaar fungeert als de serviceprovider.

Instellingen voor serviceprovider

  1. De URL voor Assertion Consumer Service (ACS) zie je in het veld ACS URL. Een identiteitsprovider kan deze URL opvragen om configuraties bij de provider te voltooien.

  2. Typ een waarde voor Entity ID. Deze ID wordt ingevuld bij Metadata serviceprovider.

  3. Schakel het selectievakje Automatische Eenmalige aanmelding inschakelen in om gebruikers toe te staan het aanmeldingsscherm van Blackboard over te slaan als ze zich al hebben aangemeld bij een vertrouwde identiteitsprovider.

  4. In het gedeelte Servicetype eenmalig afmelden zie je drie selectievakjes. Selecteer Post en ADFS LogoutResponse toestaan als ADFS de identiteitsprovider is. Wanneer ADFS LogoutResponse toestaan is geselecteerd, eindigt de sessie Identity Provider van een gebruiker wanneer deze zich afmeldt bij Blackboard.

  5. Om een vertrouwde verbinding op te zetten, moet je je metagegevens delen met de identiteitsprovider. Selecteer daarom de knop Genereren naast Metadata serviceprovider.

  6. Deel de metagegevens met de identiteitsprovider. De vertrouwde verbinding is klaar zodra de provider de ontvangen metagegevens heeft opgeslagen.

  7. Selecteer een gegevensbron voor deze verificatieprovider. De gegevensbron is de bron van accounts die worden ingericht door deze verificatieprovider. De standaardwaarde is Intern. Het wordt aanbevolen om een specifieke gegevensbron te maken voor gebruik met een SAML-verificatieprovider.

  8. Selecteer in de lijst Compatibele gegevensbronnen de gegevensbronnen waarmee deze verificatieprovider compatibel moet zijn. Dit is belangrijk wanneer de verificatieprovider accounts bevat die worden gedeeld met bestaande gegevensbronnen. Als de gebruiker bestaat en gekoppeld is aan een gegevensbron die niet is aangevinkt, dan kan de gebruiker niet geverifieerd worden.

  9. Schakel het selectievakje in als er automatisch een nieuw account moet worden gemaakt voor een gebruiker voor wie geen gegevens zijn gevonden.

  10. In het tekstvak Foutbericht kun je een bericht typen dat gebruikers zien in het geval dat SAML-verificatie niet werkt zoals verwacht.

Instellingen voor identiteitsproviders

  1. Als je Identiteitsprovider aanwijzen selecteert, upload je het bestand met metagegevens dat je van de identiteitsprovider hebt gekregen. Je hebt ook de mogelijkheid om de URL voor metagegevens van de identiteitsprovider in te voeren, maar het wordt aangeraden om het bestand metagegevens te uploaden. Er wordt maar een van deze versies van metagegevens behouden in het systeem.

  2. Als je Identiteitsfederatie selecteert, verschijnt het veld URL naar de Discovery-service.

Opmerking

Als de configuratie is voltooid, moet je de metagegevens van de serviceprovider ook registreren bij een community voor federatie, zoals InCommon, UK Federation, etc.

SAML-kenmerken koppelen

  1. Configureer de SAML-kenmerken op zo'n manier dat ze op de juiste manier zijn gekoppeld aan de kenmerkdefinities van de identiteitsprovider. Als je een kenmerk leeglaat, wordt het kenmerk genegeerd door het Building Block SAML tijdens het parseren van de SAML-respons.

  2. Selecteer Verzenden om de informatie op te slaan.

Instellingsrollen

De instellingsrol van een gebruiker in je Blackboard-systeem wordt bepaald op basis van de informatie die je van de identiteitsprovider ontvangt. De rollen worden als volgt gekoppeld:

Voornaamste rol binnen instelling (SAML)

Rol van Blackboard-instelling

Student

Student

Docent

Docent

Faculteit

Faculteit

Cursusrollen

De rol van een gebruiker in een cursus wordt bepaald aan de hand van de gegevens die van de identiteitsprovider worden ontvangen. De rollen worden als volgt gekoppeld:

Cursuslidmaatschappen (SAML)

Rol van de Blackboard-cursus

Student

Student

Cursusleider

Cursusleider

Inhoudsontwikkelaar

Cursusbouwer

Lid

Student

Manager

Student

Beheerder

Student

Onderwijsassistent

Onderwijsassistent

Mentor

Cursusleider

Meerdere attribuutwaarden

Als je verwacht dat de reactie van de identiteitsprovider meerdere waarden zal bevatten voor een kenmerk, gebruik je de volgende indeling voor de SAML-reactie.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_003

</saml2:AttributeValue>

<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_004

</saml2:AttributeValue>

</saml2:Attribute>

De verbinding testen

Test de verbinding om er zeker van te zijn dat deze goed werkt. Meld je af bij Blackboard en meld je weer aan via de SAML-koppeling. Voer je accountreferenties voor de externe site in om je aan te melden. Je wordt teruggebracht naar Blackboard wanneer je succesvol bent ingelogd.

Meld je af bij Blackboard en er verschijnt een bericht met de vraag of je alle gerelateerde sessies wilt beëindigen of wilt doorgaan. Als je niets doet, worden alle sessies binnen twee minuten door het systeem beëindigd. Als je wilt doorgaan met de sessie, moet je je voor de veiligheid opnieuw aanmelden.

Problemen oplossen

Als jij of je gebruikers te maken krijgen met fouten, kun je deze tips voor probleemoplossing raadplegen.

  • Als er een fout wordt weergegeven voordat je wordt omgeleid naar de aanmeldingspagina van de identiteitsprovider, zijn de metagegevens van de provider mogelijk ongeldig.

  • Als er een fout optreedt nadat je je hebt aangemeld bij de identiteitsprovider, zijn dit de mogelijke oorzaken:

    • Onjuiste koppeling van kenmerken tussen de serviceprovider en de identiteitsprovider, of de identiteitsprovider heeft geen geldige externe gebruikers-ID geretourneerd.

    • De SAML-respons van de identiteitsprovider is niet gevalideerd door de serviceprovider. Dit kan worden veroorzaakt door:

      • De identiteitsprovider ondertekent de SAML-respons met een certificaat dat niet is uitgegeven door een erkende certificeringsinstantie, en het certificaat is niet aanwezig in de keystore van de serviceprovider.

      • De systeemklok van de serviceprovider staat niet goed.

  • Als u meer informatie over fouten wilt vinden, opent u het Bb-services-log.txt-bestand of het deelvenster Visual Log en zoekt u naar trefwoorden zoals unsuccessfulAuthentication of BbSAMLExceptionHandleFilter

  • U kunt de Chrome-ontwikkelaarsconsole, de SAML Tracer-plug-in voor Firefox of de SAML Message Decoder voor Firefox gebruiken om een SAML-antwoord te vinden.