Primus OpenID

För Primus OpenID och Wilma Open ID används Azure AD, se konfigurationsinstruktioner för Azure längst ner i den här anvisningen.

Om ni använder LDAP kan det här protokollet vid behov användas parallellt med Primus OpenID. Men om ni vid ibruktagningen av Primus OpenID väljer att blockera LDAP-förbindelserna till den lokala AD-servern, bör ni i Information om skolan tömma LDAP-intällningar-fältet för alla läroanstalter. Observera att detta ska göras även för läroanstalter som har arkiverats.

Yubikey

Yubikey-inloggning fungerar inte tillsammans med Primus OpenID.

Primus OpenID och Wilma OpenID levereras som tilläggstjänster mot avgift. Båda ingår i leveransen och det är alltså inte möjligt att skaffa enbart den ena tjänsten. Kunden kan dock själv avgöra om bara den ena eller bägge ska tas i bruk. Man kan alltså välja att använda Primus OpenID men att inte aktivera Wilma OpenID, eller tvärtom.

Om ni är intresserade av tjänsten eller vill ha mer information, vänligen kontakta vårt team.

När ni har skaffat Primus OpenID, ska vissa konfigurationer ännu göras i identity providerns tjänst, för att Primus ska kunna kontakta tjänsten. När dessa definitioner är gjorda ser du i identity providerns tjänst vilka uppgifter som ska ifyllas i Primus.

Nederst i den här anvisningen finns en PDF-bilaga på engelska, med instruktioner och bilder över de konfigurationer som ska göras i Azure.

När Primus OpenID har anskaffats och definitionerna är gjorda i identity providerns tjänst, ska de fält som finns i listan nedan fyllas i på standardskolans registerkort (kortnummer 1) i Information om skolan. De uppgifter som ska ifyllas får ni av identity providern. Om ni har flera inloggningsalternativ, skriv in dem på separata rader i tabellen. Tabellen används även för konfigurationen av Wilma OpenID.

Bilden intill visar den situation där inställningarna för Wilma-webbläsaren och mobilapparna respektive Primus-inställningarna finns på separata rader.

Om ni behöver ha skilda inställningar per skola, ska inställningarna stå på respektive skolas registerkort.

Om fälten är ifyllda för någon annan skola än för standardskolan, och en användare väljer den skolan i Primus inloggningsruta, är det den skolans inställningar som används.

OpenID-inloggningen aktiveras inte enbart genom att man fyller i inställningarna i Primus, utan man aktiverar separat per client (instruktion under tabellen).

Fyll i dessa fält:

Fält	Syfte	Obligatoriskhet
OIDC Client id	Tjänsteleverantörens Client id	Obligatorisk
OIDC metadata document	URL-adress för inställningar	Obligatorisk
OIDC Client secret	Lämna tomt. Fältet behövs bara med Wilma OpenID.
OIDC scope	I det här fältet kan du ange användaruppgifter som du får från identity providern, ifall standarduppgiften “openid email” inte räcker för autentisering. Standarduppgiften används automatiskt om fältet är tomt. De scope som providern stöder finns i providerns metadata-dokument. Lägg in “openid” som prefix för scopet som sätts in i fältet, t.ex. “openid profile”. Du kan vid behov ha flera scope i fältet, separerade med mellanslag.
OIDC identifierare	I det här fältet kan du ange en tag av typen string, som används vid identifieringen av användarna. Systemet kontrollerar uppgiften från den JSON-data som returneras från providern efter inloggning. Standard är "email", som används automatiskt om fältet är tomt. Tag-namnen beror på providern. T.ex. MPASS returnerar studentnumret i tagen "urn:oid:1.3.6.1.4.1.16161.1.1.27".
OIDC fält för sammankoppling	Den uppgift som systemet använder för att jämföra mot den uppgift som providern returnerar, när providerns användare och Wilma-användarnamnet sammankopplas vid autentiseringen. Standarduppgiften är "Användarnamn", vilket används också om fältet är tomt. Använd inte de andra alternativen ( "Studentnummer" och "E-postadress"). eftersom de är avsedda för Wilma OpenID.
Inloggningsalternativets namn på finska	Texten på inloggningsknappen, på finska, i inloggningsrutan. Om man inte fyller i fältet, visas standardtexten "Kirjaudu OpenID:llä".
Inloggningsalternativets namn på svenska	Texten på inloggningsknappen, på svenska, i inloggningsrutan. Om man inte fyller i fältet, visas standardtexten "Logga in med OpenID".
Inloggningsalternativets namn på engelska	Texten på inloggningsknappen, på engelska, i inloggningsrutan. Om man inte fyller i fältet, visas standardtexten "Log in with OpenID".
OIDC utloggning	Om fältet är ikryssat, dirigeras användaren i samband med att clienten stängs till en sida där hen kan välja att avsluta sin aktiva session i identifieringstjänsten. Om användaren avslutar sessionen, ombeds hen vid nästa inloggning i Primus att ange inloggningsuppgifter. OBS! Med tanke på eventuella säkerhetsrisker rekommenderar vi att man kryssar i OIDC utloggning, så att Primus-användare inte lämnar öppna sessioner av misstag på gemensamma datorer.
OIDC flow-typ	Anges för att bestämma vilken flow-typ som ska användas i tenanten. Välj alternativet "Device code" på inställningsraden för Primus OpenID.
OpenID-inloggning i testläge	Det här fältet är bara tillför testning av Wilma OpenID. Fältet har ingen inverkan på Primus OpenID och ska därmed inte ikryssas.

Att aktivera OpenID-inloggning

Efter att inställningarna är gjorda i Primus kan Primus OpenID aktiveras per client på följande sätt:

• Öppna prclient.ini-filen
• Under [Login], lägg till raden OpenIdLogin = True

När clienten startas nästa gång är OpenID-inloggning i bruk. Då OpenID aktiveras client-specifikt finns det möjlighet för t.ex. huvudanvändaren att vid behov logga in i Primus på det traditionella sättet utan OpenID.

Identifiering av användaren

Själva identifieringen av en användare sker på basen av fältet Användarnamn i Användarnamn-registret i Primus. Enligt standardinställningen ska det i fältet stå den e-postadress som identity providern förmedlar till Primus. Men om man i fältet OIDC identifierare har angett att en annan uppgift än e-postadressen ska användas vid identifieringen i stället, kan den också stå här.

När de här inställningarna är gjorda i Primus och funktionen är aktiverad via prclient.ini-filen, kan man logga in i Primus via OpenID:

• Öppna Primus-clienten.
• Välj relevant skola (såvida du inte använder ett användarnamn utan skola).
• Klicka på Se inloggningsalternativ och välj ett (beroende på inställningarna kan det finnas flera alternativ i listan).
• Kopiera inloggningskoden som syns i rutan med Kopiera-knappen. OBS! Nertill på sidan visas kodens giltighetstid (t.ex. 15 minuter). Inloggningen måste slutföras helt innan koden går ut.
• Klicka på Logga in i Primus.
• Klistra in den inloggningskod som du just kopierade på identity providerns inloggningssida, i det relevanta fältet och fortsätt.
• Logga in med ditt AD-användarnamn och -lösenord. Beroende på inställningarna är det möjligt att användarnamnet sätts in automatiskt.
• Ange MFA-koden om tjänsten förutsätter det. OBS! Detta bör göras inom tre minuter.
• Efter lyckad inloggning öppnas Primus.

OBS! Om inloggningen misslyckas, ska du starta om clienten och sedan försöka på nytt.

Observera om utloggningen

Med tanke på dataskyddet är det viktigt att man kommer ihåg att stänga den aktiva sessionen i identifieringstjänsten, i synnerhet på datorer i gemensamt bruk. Observera också att användaren inte dirigeras till sessionens stängningssida om hen har loggat in i flera Primus-clienter samtidigt och stänger en av dem. Inte heller i det fall att OIDC utloggning är ikryssat i Information om skolan . Användaren dirigeras till stängningssidan först då hen har stängt den sista clienten.

Primus OpenID kan användas tillsammans med MFA. Du kan använda antingen Primus egna MFA-funktion eller den som är kopplad till er identity provider.