Það þarf að byrja á að fara í valmyndina vinstra megin og velja Access – Organization. Einnig er hægt að komast í fyrirtækjaspjaldið með því að smella á notandanafn í hægra horni og velja þar undir fyrirtækjaspjaldið.
Þar er farið í flipann Access og hakað við ADFS login is enabled.
Ef hakað er við fyrsta gátreitinn, ADFS login is enabled – þá geta notendur skráð sig inn í kerfið með notandanafni og lykilorði eins og áður, en þeir hafa sömuleiðis þann valkost að nota SSO. Aðgangi að kerfiseiningum er hins vegar ennþá hægt að stýra í CCQ kerfinu. Tilgangurinn með þessum gátreit er að halda möguleikanum opnum fyrir notendur að skrá sig inn í kerfið með notandanafni og lykilorði, meðan verið er að koma á ADFS tengingu og prófa SSO virknina.
INNSKRÁNING OG AÐGANGSSTÝRING
Reitirnir sem fylgja ADFS login is enabled stýra því hvernig aðgangi og innskráningu er háttað í CCQ kerfinu. Ákveðið samspil er á milli þessara reita og misjöfn virkni eftir því við hvað er hakað. Fyrir SSO þarf í öllum tilfellum að vera hakað við ADFS login is enabled. Um leið og hakað er við þennan gátreit, þá birtast valkostirnir User can only use ADFS to log in með undirvalkostunum Access in CCQ is controlled by ADFS og Access in CCQ is controlled by CCQ sem ákvarða hvernig skal hátta aðgangsstýringu.
Á myndinni má einnig sjá fellilistana SSO, Access to Applications, CCQ Groups, CCQ User templates og Login exceptions, sem verður farið lauslega yfir hér á eftir.
1. User can only use ADFS to log in
2. Access in CCQ is controlled by ADFS
3. Access is controlled by CCQ
1. User can only use ADFS to log in
Ef hakað er við fyrsta gátreitinn, ADFS login is enabled – þá geta notendur skráð sig inn í kerfið með notandanafni og lykilorði eins og áður, en þeir hafa sömuleiðis þann valkost að nota SSO. En þegar einnig er hakað við User can only use ADFS to log in er einungis hægt að skrá sig inn með SSO, nema með svokallaðri Login Exception sem verður minnst á hér á eftir. Nú þarf einnig að taka ákvörðun um hvort aðgangi að kerfiseiningum er stýrt í gegnum ADFS eða CCQ:
2. Access in CCQ is controlled by ADFS
Þegar búið er að setja upp og tengja ADFS og SSO virknin komin í gang er hakað við gátreitinn Access is controlled by ADFS. Notendur kerfisins geta þá eins og áður sagði eingöngu notað ADFS til innskráningar í CCQ – þ.e. möguleikinn á að skrá sig inn með notandanafni og lykilorði dettur út. Þess skal samt geta að nauðsynlegt er að enn sé einnig hakað við ADFS login is enabled.
Með þessari stillingu er aðgangi að kerfiseiningum alfarið stýrt í AD sem þýðir að notendur kerfisins verða að vera í réttum grúppum í AD, eigi þeir að fá aðgang að CCQ. Þetta hefur einnig í för með sér að aðgangsstýringin CCQ megin verður óvirk.
Lítið mál er að bæta við nýjum notendum í CCQ eftir að ADFS tengingu er komið á. Nýr notandi er sjálfkrafa stofnaður í kerfinu þegar hann loggar sig inn í fyrsta skipti í gegnum ADFS, að því gefnu að viðkomandi notandi er til staðar í viðeigandi grúppum í AD.
Því skal haldið til haga að þegar hakað er við Access is controlled by ADFS, þá birtist fellilistinn Login exceptions þar sem hægt er að gera undantekningar á innskráningum.
Ef einstaka notendur eiga að geta skráð sig inn í kerfið með notandanafni og lykilorði – þó svo að ADFS innskráningin sé við lýði – þá er hægt að lista þá hér. Þessir notendur nota ekki ADFS til innskráningar og aðgangi þeirra í kerfið er því alfarið stýrt CCQ megin. Meiningin er að þetta sé eingöngu notað þegar undantekningar skjóta upp kollinum. Til dæmis þegar ráðgjafi, lögfræðingur eða einhver utanaðkomandi aðili þarf á sérstökum (eða tímabundnum) aðgangi að CCQ að halda, og erfitt reynist að réttlæta tilfæringar í AD.
3. Access is controlled by CCQ
Ef fyrirtæki vilja af einhverjum ástæðum halda aðgangsstýringu að kerfiseiningum CCQ megin, en nota samt ADFS fyrir innskráningu – þá skal haka við þennan kost. Eftir sem áður þarf einnig að vera hakað við ADFS login is enabled.
Nýjum notendum er þá bætt við á sama hátt og áður í CCQ, og öllum aðgangi stýrt þaðan.
Turn off automatic user deactivation
Að lokum er einn reitur ónefndur, Turn off automatic user deactivation, eða Notendur verða ekki sjálfkrafa gerðir óvirkir. Ef hakað er í þennan reit eru notendur ekki gerðir óvirkir þó þeir hafi ekki skráð sig inn undanfarna 3 mánuði. Þetta er hugsað til að fyrirtæki séu ekki að borga fyrir óvirka notendur.
Athugið að þó þeir séu gerðir óvirkir eru þeir einfaldlega virkjaðir aftur næst þegar þeir skrá sig inn í kerfið, svo lengi sem þeir eru enn í viðkomandi AD aðgangshópum.
ADFS | AÐGANGSHÓPAR KERFISEININGA
Access to Applications, felligluggi:
Í Access to Applications þarf að mappa saman aðgangsgrúppur ADFS og CCQ.
Eins og fram kom hér að ofan, þá er mikilvægt að outgoing claim value viðkomandi grúppu í ADFS sé það sama og það sem er skráð hér. Fjöldi inntaksreita fer auðvitað eftir því hversu mörgum einingum fyrirtækið er í áskrift að, en það þarf að búa til aðgangsgrúppur í AD fyrir hverja einingu. Hafa skal í huga að stundum þarf 2 grúppur fyrir hverja einingu.
1. eina grúppu fyrir notendur með lesaðgang,
2. eina grúppu fyrir þá sem eru með ritaðgang,
Og að lokum grúppur fyrir aðgang að CCQ einingunum yfirhöfuð (Can access CCQ), í henni þurfa allir að vera sem mega skrá sig inn, og svo stjórnendur (Admin).
Á myndinni hér að neðan er sýnt hvernig grúppurnar eru mappaðar saman, en maður einfaldlega skráir inn nöfnin á tilsvarandi grúppum í ADFS (þ.e. outgoing claim value). Nöfnin þurfa helst að vera lýsandi og eru notendur hvattir til að styðjast við tillögurnar sem hér er að finna á næstu mynd:
Í CCQ kerfinu er hægt að búa til sérstaka notendahópa, en í valmyndinni vinstra megin (Menu) er möguleiki að velja Template Documents og þar undir er valmöguleiki sem heitir User groups.
Þessar grúppur stýra ekki beint aðgangi að kerfi, heldur eru þetta innankerfishópar sem hægt er að nýta til að stýra aðgangi að einstökum skjölum. Notandi þarf eftir sem áður að vera með aðgang að CCQ kerfinu fyrst. Notendahópar eru gjarnan notaðir af CCQ stjórnendum sem pósthópar eða sem aðgangshópar í þrengri merkingu, t.d. er hægt er að takmarka aðgang að skjölum við þann hóp, senda póst á hann osfrv.
Þeir aðgangshópar sem þú býrð til þar birtast í kjölfarið í CCQ Groups felliglugganum, en þá hópa geturðu einnig mappað við grúppur í AD. Taka skal fram að nauðsynlegt er að haka við "Access group" til að hópurinn birtist í CCQ Groups listanum.
CCQ Groups, felligluggi:
Grúppurnar eru mappaðar saman á sama hátt og í Access to Applications sem lýst er hér að ofan. Samsvarandi grúppur eru búnar til í AD, og nöfn þeirra – eða öllu heldur "outgoing claim value" – eru skráð í Groups in AD listann:
Nú hefur verið bætt við þeim möguleika að notendur fái sérsniðin lesborð eftir notendasniðmáti. Þannig þarf ekki að stilla til lesborð hjá nýjum notanda, ef hann fær þegar tilbúið sniðmát. Í stuttu máli virkar þetta með sama hætti og Notendahópar hér að ofan, þ.e. stjórnandi býr til Notendasniðmát sem henta mismunandi hópum undir Menu – Template documents – User templates og mappar svo AD hópa fyrir hvert nýtt sniðmát sem birtist þá undir CCQ User templates fellilistanum, þ.e.a.s. setur inn rétt Claim rule heiti fyrir viðkomandi sniðmát (hóp).
Dæmi um notendasniðmát sem hefur verið vistað og birtist þar með undir flipanum CCQ User templates. Hér á eftir að setja inn Outgoing Claim value fyrir viðkomandi hóp í reitinn Groups in AD.
Einn felliglugginn undir kallast SSO information, en þar þurfa þrjú atriði að vera til staðar til að ná tengingu á milli CCQ og ADFS.
1. Certificate
2. Entry point
3. List of domains
Ítarlegar leiðbeiningar um hvar og hvernig maður sækir rétt Certificate er að finna í næsta undirkafla.
Aftur á móti er tiltölulega einfalt að tilgreina hin tvö atriðin. Þegar búið er að setja upp ADFS fyrir fyrirtækið, þá þarf að taka fram inngangspunktinn í reitnum Entry point. Hér þarf að skrá inn vefslóðina á ADFS netþjóninn, og ef sjálfgefnar SAML stillingar eru notaðar við uppsetninguna á ADFS, þá ætti endirinn á URLinu að vera "/adfs/ls/". Mismunandi er eftir fyrirtækjum hvernig þessu er háttað.
Hér er dæmi um hvernig þetta kann að líta út: https://adfs.vistun.is/adfs/ls/
Einnig þarf að skilgreina þau lén sem fyrirtækið er að nota, svo sem fyrir vefsíðuna sína eða innranet – og er það gert undir List of domains.
Í tilviki Origo væri til dæmis "origo.is" fært inn í þennan reit, en hér er óþarfi að setja "https://www." fyrir framan.
Hægt er að fara ýmsar leiðir til að sækja vottorð fyrirtækisins.
Aðferðin sem lýst er hér á eftir, er fljótleg, einföld og ætti ekki að vefjast fyrir neinum – hvort sem viðkomandi hefur tæknilegan bakgrunn eða ekki.
Þegar búið er að setja upp ADFS og búa til "relying party trust" fyrir CCQ eins og lýst er að ofan, þá er næsta skref að sækja ákveðið skjal sem kallast Federation metadata. Um er að ræða .xml-skrá sem inniheldur ýmsar upplýsingar, en það sem við höfum áhuga á er svokallað X509 vottorð sem okkur vantar til að koma á tengingunni við CCQ. Til að sækja þessa skrá þarf að slá inn eftirfarandi URL í netvafrann:
https://server/FederationMetadata/2007-06/FederationMetadata.xml
Hér þarf augljóslega að skipta "server" út fyrir slóðina á ADFS netþjóninn.
Federation metadata .xml-skránni er sjálfkrafa halað niður og hentugt er að opna hana í vafra.
Best er að nota fyrsta X509 vottorðið sem er að finna í .xml skránni.
Vottorðin eru yfirleitt nokkur, eitt sem er notað fyrir "encryption," annað fyrir "signing," o.s.frv. Fyrsta vottorðið í skránni ætti að vera það sama og er notað undir <KeyDescriptor use="signing"> á fleiri stöðum í skránni. Vottorðið virkar eins og rafræn undirskrift, sem CCQ síðan notar til að tékka hvort svörin sem ADFS netþjónninn sendir frá sér séu ósvikin.
Vottorðið sem þarf að afrita í Certificate reitinn í CCQ, er innan <X509Certificate> tagsins í .xml skránni. Búið er að má vottorðið á myndinni hér fyrir neðan og gera illsýnilegt. Taka skal fram að nauðsynlegt er að hafa lokið uppsetningu á ADFS og RPT fyrir CCQ, áður en þetta er reynt.