Päivitetty viimeksi: 5.6.2024
Primus OpenID on maksullinen lisäpalvelu.
Primus OpenID:n avulla Primukseen ja Kurreen voi kirjautua Microsoft Entra ID -tunnuksilla.
Open ID:n käyttö on mahdollista myös Wilmassa, ks. ohje Wilma OpenID.
Palvelun käytön edellytykset ja huomioitavat asiat
Visma tukee Primus OpenID:n ja Wilma OpenID:n osalta Microsoft Entra ID:tä ja tarjoaa käyttöönoton tueksi palvelun konfigurointiohjeen (ks. liitetiedosto ohjeen lopussa).
Huomioitavaa LDAP:n osalta
Jos käytössä on LDAP, niin se toimii tarvittaessa Primus OpenID:n kanssa rinnakkain. Jos kuitenkin LDAP-yhteydet paikalliselle AD-palvelimelle estetään Primus OpenID:n käyttöönoton myötä, niin Koulun tiedot -rekisterissä tulee poistaa LDAP-asetukset kaikilta oppilaitoksilta LDAP-asetukset-kentästä. Asetukset tulee poistaa myös arkistossa olevilta oppilaitoksilta.
Yubikey
Yubikey-kirjautuminen ei toimi, jos Primus OpenID on käytössä.
Hankinta
Primus OpenID ja Wilma OpenID ovat saatavilla maksullisena lisäpalveluna. Niitä ei voi hankkia erikseen, vaan ne molemmat tulevat asiakkaan käytettäväksi palvelun hankkimisen myötä. Asiakas voi kuitenkin päättää, käyttääkö niitä molempia vai toista vain. On siis mahdollista käyttää esim. pelkkää Primus OpenID:tä ottamatta Wilma OpenID:tä käyttöön tai päin vastoin.
Jos olet kiinnostunut palvelun hankkimisesta tai kaipaat lisätietoa käyttöönotosta, ota yhteyttä suoraan myyntitiimiimme.
Palvelun konfigurointi
Kun Primus OpenID -palvelu on hankittu, täytyy identity providerin palveluun tehdä tietyt määritykset, joilla Primus yhdistetään palveluun. Määritysten teon myötä saat identity providerin palvelusta tiedot, jotka tulee täyttää Primukseen.
Tämän ohjeen lopussa on PDF-liitteenä englanninkielinen ohje, jossa on kuvien kera ohjeistettuna Microsoftin palvelussa tehtävät konfiguroinnit.
Käyttöönotto
Kun Primus OpenID -palvelu on hankittu ja tarvittavat määritykset identity providerin palvelussa tehty, tulee Koulun tiedot -rekisteriin täyttää ainakin oletuskoulun (korttinumero 1) rekisterikortille alla listatut kentät. Kenttiin täydennettävät tiedot saatte identity providerilta. Jos kirjautumisvaihtoehtoja on useita, täytä ne omille riveilleen taulukkoon. Samaa taulukkoa käytetään myös Wilma OpenID:n konfigurointiin.
Viereisessä kuvassa on esimerkki tilanteesta, jossa on omilla riveillään Wilman selainta ja mobiilisovelluksia koskevat asetukset sekä Primusta koskevat asetukset.
Jos on tarve luoda eri kouluille omat asetuksensa, tulee ne kirjata ko. koulujen rekisterikorteille.
Jos kentät on täytetty jollekin muulle kuin oletuskoululle, käytetään sen koulun asetuksia, jos käyttäjä valitsee Primuksen kirjautumisruudussa kyseisen koulun.
Pelkkä asetusten täyttäminen Primukseen ei laita OpenID-kirjautumista päälle, vaan se on aktivoitava erikseen client-kohtaisesti (ohje taulukon alla).
Täytettävät kentät
| Kenttä | Tarkoitus | Pakollisuus |
|---|---|---|
| OIDC Client id | Palveluntarjoajan Client id | Pakollinen |
| OIDC metadata document | Asetusten URL-osoite | Pakollinen |
| OIDC Client secret | Jätä tyhjäksi. Kenttää tarvitaan vain Wilma OpenID:n asetusriveillä. | |
| OIDC scope | Tähän kenttään voi lisätä providerilta pyydettäviä käyttäjätietoja, jos oletuksena pyydettävä "openid email" ei riitä autentikointiin. Oletustietoa käytetään automaattisesti, jos kenttä on tyhjänä. Providerin tukemat scopet löytyvät providerin metadata-dokumentista. Kenttään lisättävän scopen eteen tulee laittaa "openid", esim. "openid profile". Kenttään voi lisätä tarvittaessa useampia scopeja välilyönnillä eroteltuna. | |
| OIDC tunniste | Tähän kenttään voi lisätä string-tyyppisen tagin, jota käytetään käyttäjän tunnistuksessa. Tietoa etsitään kirjautumisen jälkeen providerilta palautuvasta JSON-datasta. Oletustieto on "email", jota käytetään automaattisesti, jos kenttä on tyhjänä. Taginimet riippuvat providerista. | |
| OIDC kohdennus | Tieto, johon providerin palauttamaa tietoa verrataan, kun autentikoinnissa yhdistetään providerin käyttäjä Primus-tunnukseen. Oletustieto on "Käyttäjätunnus", joka on käytössä myös, jos kenttä on tyhjänä. Älä käytä vaihtoehtoja "Oppijanumero" tai "Sähköpostiosoite", ne on tarkoitettu Wilma OpenID -kirjautumiseen. | |
| Kirjautumisvaihtoehdon nimi suomeksi | Kirjautumispainikkeen teksti suomeksi. Teksti näkyy kirjautumisruudussa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Kirjaudu OpenID:llä". | |
| Kirjautumisvaihtoehdon nimi ruotsiksi | Kirjautumispainikkeen teksti ruotsiksi. Teksti näkyy kirjautumisruudussa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Logga in med OpenID". | |
| Kirjautumisvaihtoehdon nimi englanniksi | Kirjautumispainikkeen teksti englanniksi. Teksti näkyy kirjautumisruudussa. Jos kenttä jätetään tyhjäksi, käytetään oletustekstiä "Log in with OpenID". | |
| OIDC uloskirjautuminen |
Jos kenttä on rastittuna, käyttäjä ohjataan clientiä sulkemisen yhteydessä sivulle, jossa käyttäjä voi halutessaan päättää aktiivisen istuntonsa tunnistuspalvelussa. Jos käyttäjä päättää istunnon, uudelleenkirjautuminen Primukseen edellyttää tunnusten syöttämistä. Huom. Suosittelemme mahdollisten tietoturvariskien välttämiseksi rastimaan OIDC uloskirjautuminen -kentän, jotta esim. yhteisiä tietokoneita käytettäessä Primus-käyttäjillä ei jäisi vahingossa istuntoa auki. |
|
| OIDC flow-tyyppi | Tällä määritetään tenantissa käytettävä flow-tyyppi. Tähän tulee valita "Device code" -vaihtoehto Primus OpenID:n asetusriville. | |
| OpenID-kirjautuminen testitilassa | Tämä kenttä on tarkoitettu vain Wilma OpenID:n testaamista varten. Primus OpenID:n osalta kentällä ei ole vaikutusta eli sitä ei tule rastia. |
OpenID-kirjautumisen aktivointi
Kun asetukset on määritetty Primukseen, Primus OpenID otetaan käyttöön client-kohtaisesti tekemällä prclient.ini-tiedostoon seuraava määritys:
[Login]
OpenIdLogin = True
Kun client seuraavan kerran käynnistetään, on OpenID-kirjautuminen käytössä. Client-kohtainen OpenID-aktivointi mahdollistaa sen, että esim. pääkäyttäjä voi tarvittaessa kirjautua Primukseen perinteisellä tavalla ilman OpenID:tä.
Käyttäjän tunnistus
Varsinainen käyttäjän tunnistus tapahtuu Primuksen Käyttäjätunnukset-rekisterin Käyttäjätunnus-kentän perusteella. Oletusarvoisesti kentästä tulee löytyä sama sähköpostiosoite, jonka identity provider välittää Primukselle. Kentässä voi olla jokin muukin tieto, jos OIDC tunniste -kenttään on määritetty tunnistuksessa käytettäväksi jokin muu tieto kuin sähköpostiosoite.
Kirjautuminen Primukseen
Kun asetukset on täytetty Primukseen ja toiminto on aktivoitu prclient.ini-tiedoston kautta, voi Primukseen kirjautua OpenID:tä käyttäen:
- Avaa Primus-client.
Valitse koulu, johon olet kirjautumassa (ellet käytä koulutonta tunnusta).- Paina Hae kirjautumisvaihtoehdot -painiketta ja valitse kirjautumisvaihtoehto (listassa voi olla useita vaihtoehtoja tehdyistä asetuksista riippuen).
- Kopioi ruudussa näkyvä kirjautumiskoodi Kopioi-painikkeella. Huom. Ikkunan alalaidassa näkyy koodin voimassaoloaika (15 minuuttia tms). Kirjautuminen pitää suorittaa loppuun asti ennen koodin vanhenemista.
- Paina Kirjaudu Primukseen.
- Liitä äsken kopioimasi kirjautumiskoodi selaimeen avautuneeseen identity providerin kirjautumissivulle sille varattuun kenttään ja jatka eteenpäin.
- Kirjaudu Microsoft Entra ID -käyttäjätunnuksellasi ja -salasanallasi sisään. Kirjautumisasetuksista riippuen on mahdollista, että käyttäjätunnus tulee automaattisesti.
- Syötä MFA-koodi, jos palvelun käyttö edellyttää sitä. Huom. Tämä tulee tehdä kolmen minuutin sisällä.
- Primus aukeaa onnistuneen kirjautumisen jälkeen.
Huom. Jos kirjautuminen epäonnistuu, tulee client käynnistää uudelleen ja yrittää vasta sen jälkeen uudestaan.
Huomioitavaa uloskirjautumisen osalta
Tietoturvan vuoksi on tärkeää, että erityisesti yhteiskäyttökoneilla muistetaan sulkea tunnistuspalvelun aktiivinen istunto. On hyvä muistaa myös, että jos käyttäjä on kirjautunut useampaan Primus-clientiin samanaikaisesti, niin tällöin yhden clientin sulkeminen ei ohjaa käyttäjää sivulle, jossa aktiivisen istunnon voi päättää, vaikka Koulun tiedot -rekisterissä olisi rastittuna OIDC uloskirjautuminen -asetus. Se tapahtuu vasta, kun käyttäjä on sulkenut kaikki clientit, joihin hän on kirjautunut.
Huomioitavaa monivaiheisen tunnistautumisen (MFA) käytössä
Primus OpenID:tä voi käyttää yhdessä MFA:n kanssa. Voit käyttää joko Primuksen omaa MFA-toimintoa tai identity providerin MFA:ta.
Tiedostot
