Uppdaterad: 13.3.2023
Wilma OpenID är en avgiftsbelagd tilläggsmodul.
Med hjälp av Wilma OpenID kan man logga in i Wilma med Azure AD. Om man har flera tenanter eller identity providers i bruk, finns det en egen inloggningsknapp för varje inloggningsalternativ i Wilma. Med hjälp av Wilma OpenID kan man logga in i Wilmas webbläsarversion, Wilma-appen och i Wilma Daycare-appen. Man kan även logga in i MPASS-kompatibla tjänster, precis som med vanliga Wilma-koder.
OpenID kan också användas med Primus, se Primus OpenID.
Förutsättningar för att använda tjänsten och observationer
För Primus OpenID och Wilma Open ID används Azure AD, se konfigurationsinstruktioner för Azure längst ner i den här anvisningen.
Observera när det gäller LDAP
Om ni använder LDAP kan det här protokollet vid behov användas parallellt med Wilma OpenID. Men om ni vid ibruktagningen av Wilma OpenID väljer att blockera LDAP-förbindelserna till den lokala AD-servern, bör ni i Information om skolan tömma LDAP-inställningar-fältet för alla läroanstalter. Observera att detta ska göras även för läroanstalter som har arkiverats.
Observera när det gäller mobilapparna
Om ni vill använda Wilma OpenID i Wilmas webbläsarversion och därutöver även för att logga in i Wilma-appen och Wilma Daycare-appen, ska den identity provider som ni använder ha stöd för Authorization Code with PKCE.
Yubikey
Yubikey-inloggning fungerar inte tillsammans med Primus OpenID.
Att anskaffa Wilma OpenID
Wilma OpenID och Primus OpenID finns tillgängliga som tilläggstjänst mot avgift. Båda ingår i leveransen och det är alltså inte möjligt att skaffa enbart den ena tjänsten. Kunden kan dock själv avgöra om bara den ena eller bägge ska tas i bruk. Man kan alltså välja att använda Primus OpenID men att inte aktivera Wilma OpenID, eller tvärtom.
Om du är intresserad av att skaffa tjänsten eller behöver mera information om ibruktagningen, vänligen kontakta vårt team.
Att konfigurera tjänsten
När Wilma OpenID-tjänsten har skaffats, ska identity providern göra vissa definitioner som kopplar Wilma till tjänsten. När definitionerna har gjorts får du från identity providerns tjänst uppgifter som ska ifyllas i Primus.
Nederst i den här anvisningen finns en PDF-bilaga på engelska, med instruktioner och bilder över de konfigurationer som ska göras i Azure.
URI-adresser
I samband med att definitionerna görs ska man vanligtvis även ange URI-adresser som användarma styrs till efter in- eller utloggningen (byt ordet "kommun" till det namn som ni har i er Wilma-adress):
- Web app:
- Redirect URI: https://kommun.inschool.fi/api/v1/external/openid
- Logout URI: https://kommun.inschool.fi/logout
- Mobile app:
- Redirect URI: wilma://oauth
Giltighetstiden för Client secret
Kunden ska själv bestämma med hänsyn till datasäkerhet om man vill att client secret ska upphöra att gälla efter en viss tid eller om den förblir giltig. Om man använder en client secret med utgångsdatum, ska man komma ihåg att uppdatera en ny client secret till Primus när den föregående upphör att gälla.
Om man väljer "never" el.dyl. (beroende på den identity provider som används) som utgångsdatum för client secret, behöver man inte göra några ändringar i Primus för dess del i något skede.
Att ta ibruk Wilma OpenID
När tjänsten har anskaffats och definitionerna är gjorda hos identity providern, ska nedannämnda fält ifyllas på standardskolans registerkort (kortnummer 1) i Information om skolan. Uppgifterna som ska ifyllas får ni från identity providern. Samma tabell gäller vid konfigurationen av Primus OpenID.
Observera när det gäller mobilapparna
Om ni använder Wilma OpenID för att logga in i både webbläsarversionen och mobilappen, ska man fylla i en separat rad för respektive inloggningssätt i de nedan nämnda fälten. Med fältet OIDC flow-typ definierar man om raden används för inloggning till webbläsarversionen eller mobilapplikationen.
Bilden intill visar den situation där inställningarna för Wilma-webbläsaren och mobilapparna respektive Primus-inställningarna finns på separata rader. Ni kan även lägga till fler rader vid behov. Fältnamnen på svenska finns i tabellen nedan.
Fält som ska ifyllas
| Fält | Ändamål | Obligatoriskhet |
|---|---|---|
| OIDC Client id | Serviceleverantörens Client id | Obligatorisk |
| OIDC Client secret | Serviceleverantörens Client secret | Obligatorisk om fältet OIDC flow-typ har alternativet "Authorization code" valt. Om alternativet "Authorization code PKCE" är valt kan du lämna OIDC Client secret-fältet tomt. |
| OIDC metadata document | Inställningarnas URL-adress | Obligatorisk |
| OIDC scope | I det här fältet kan du ange användaruppgifter som du får från identity providern, ifall standarduppgiften “openid email” inte räcker för autentisering. Standarduppgiften används automatiskt om fältet är tomt. De scope som providern stöder finns i providerns metadata-dokument. Lägg in “openid” som prefix för scopet som sätts in i fältet, t.ex. “openid profile”. Du kan vid behov ha flera scope i fältet, separerade med mellanslag. | |
| OIDC identifierare | I det här fältet kan du ange en tag av typen string, som används vid identifieringen av användarna. Systemet kontrollerar uppgiften från den JSON-data som returneras från providern efter inloggning. Standard är "email", som används automatiskt om fältet är tomt. Tag-namnen beror på providern. T.ex. MPASS returnerar studentnumret i tagen "urn:oid:1.3.6.1.4.1.16161.1.1.27". | |
| OIDC fält för sammankoppling | Den uppgift som systemet använder för att jämföra mot den uppgift som providern returnerar, när providerns användare och Wilma-användarnamnet sammankopplas vid autentiseringen. Standarduppgiften är "Användarnamn", vilket används också om fältet är tomt. De andra alternativen är "Studentnummer" och "E-postadress". | |
| Inloggningsalternativets namn på finska | Inloggningsknappens text på finska. Texten syns på inloggningssidan av Wilmas webbläsarversion och i mobilapplikationerna. Om fältet lämnas tomt, används standardtexten "Kirjaudu OpenID:llä". | |
| Inloggningsalternativets namn på svenska | Inloggningsknappens text på svenska. Texten syns på inloggningssidan av Wilmas webbläsarversion och i mobilapplikationerna. Om fältet lämnas tomt, används standardtexten "Logga in med OpenID". | |
| Inloggningsalternativets namn på engelska | Inloggningsknappens text på engelska. Texten syns på inloggningssidan av Wilmas webbläsarversion och i mobilapplikationerna. Om fältet lämnas tomt, används standardtexten "Log in with OpenID". | |
| OIDC utloggning | Om fältet är ikryssat, dirigeras användaren vid utloggningen från Wilma till en sida där användaren kan vid önskemål avsluta den aktiva sessionen i identifieringstjänsten. Om användaren avslutar sessionen, förutsätter inloggningen på nytt till Wilma att man matar in sina användarkoder. Om fältet inte är ikryssat, avslutar utloggningen inte användarens session i identifieringstjänsten, dvs. användaren kan gå tillbaka till Wilma utan att mata in sitt användarnamn ifall webbläsaren inte har stängts. OBS! För att undvika datasäkerhetsrisker rekommenderar vi att man kryssar i fältet OIDC utloggning. Då lämnas inga sessioner öppna av misstag om Wilma-användare använder t.ex. gemensamma datorer. | |
| OIDC flow-typ | Med detta definierar man flow-typen som används i tenanten. Om fältet lämnas tomt, används alternativet "Authorization code (standard)". I praktiken används alternativet "Authorization code" när man loggar in i Wilmas webbläsarversion och alternativet "Authorization code PKCE" när man loggar in i mobilappen. | |
| OpenID-inloggning i testläge | Detta fält ikryssas när man testar funktionen. Under testningen är OpenID-inloggningsknappar inte synliga på Wilmas inloggningssida, men man får dem fram genom att lägga till ?showopenid i slutet av Wilmas adress, t.ex. https://kommun.inschool.fi?showopenid |
Att testa tjänsten
Fältet OpenID-inloggning i testläge ska vara ikryssat under testningen.
När man har fyllt i de nödvändiga uppgifterna i Primus och fältet OpenID-inloggning i testläge är ikryssat, visas OpenID-inloggningsikonen på Wilmas framsida när man lägger till ?showopenid i slutet av url-adressen, d.v.s. till exempel:
- https://kommun.inschool.fi/?showopenid
Detta fungerar också på inloggningssidan, t.ex.:
- https://kommun.inschool.fi/login?returnpath=messages&showopenid
Identifiering av användare
Identifieringen fungerar både med användarnamn av ny och gammal typ. Vilket Primus-fält som används vid identifieringen beror på vilket alternativ som är valt i fältet OIDC fält för sammankoppling: "Användarnamn", "E-postadress" eller "Studentnummer":
- Med inloggningsuppgifter av ny typ används Wilmas användarnamn-registrets fält Wilmas användarnamn, E-postadress eller Studentnummer.
- Då inloggningsuppgifterna är av gammal typ används Studerande-, Lärare- eller Personal-registrets fält Wilmas användarnamn, E-postadress eller Studentnummer vid identifieringen.
Om man i fältet OIDC fält för sammankoppling har valt alternativet "Användarnamn" eller om fältet är tomt används Wilmas användarnamn-fältet. Det här fältet ska innehålla samma e-postadress som den som identity providern förmedlar till Wilma.
Inloggning i Wilma
När funktionen är i bruk visas på Wilmas inloggningssida en eller flera knappar under de vanliga inloggningsfälten, beroende på antalet inloggningsalternativ som finns tillgängliga för att logga in med OpenID.
Inloggning i Wilma-appen
I Wilmas mobilapp visas ett motsvarande inloggningsalternativ på den sida där man lägger till användarkonton, efter att man först har valt rätt Wilma.
Det finns separata anvisningar om inloggning med OpenID i apparna Wilma och Wilma Daycare.
Förhindrat att byta användarens användarnamn i Wilma
Wilma-användare med användarnamn av ny typ som loggar in via OpenID stoppas från att byta användarnamn. När man loggar in i Wilma på det vanliga sättet, byts även användarnamnet om användaren byter sin epostadress. Efter att användaren har loggat in med OpenID kan hen ändra sin e-postadress via Beskedsinställningar, men det ändrar inte användarens användarnamn samtidigt. Skulle användarnamnet bytas i det här läget, kunde det orsaka att användaren inte längre kan logga in i Wilma med OpenID och därför är det förhindrat.
Användare med användarnamn av gammal typ har inte heller tidigare kunnat byta sin e-postadress eller användarnamn i Wilma.
Wilma OpenID används i alla fall huvudsakligen med Wilma-användarnamn av gammal typ, vilket betyder att denna ändring då inte alls påverkar Wilma-användare.
Att observera när man använder multifaktorautentisering (MFA)
Om er läroanstalt/kommun vill erbjuda möjligheten att använda tvåstegsverifiering för de användare som använder Wilma OpenID, ska det förverkligas via identity providern. Det är det enda sättet att erbjuda samtidig användning av både MFA och OpenID.
Däremot är det inte möjligt att använda MFA som Visma erbjuder och OpenID samtidigt i Wilma. Detta gäller kunder som har skaffat MFA-tjänsten till Wilma.
- Wilma-användaren som loggar in via OpenID kan inte använda multifaktorautentisering trots att hen tidigare har tagit MFA ibruk på sidan Kontoinställningar i Wilma. Användaren kan inte heller aktivera eller passivera MFA.
- Om användaren loggar in i Wilma med sitt vanliga användarnamn, dvs. det användarnamn och lösenord som har sparats i Primus, i stället för OpenID, kan hen använda MFA som vanligt eller passivera den om hen så vill.
Filer
