Bekey ADFS integrationsguide v2.0
For at følge denne guide skal du bruge følgende:
- Federation metadata URL.
- Opret de nødvendige sikkerhedsgrupper i din brugerdatabase (f.eks. Active Directory).
- Konfigurer en ’Relying Trust Party’ i din SAML 2.0 kompatible IdP (f.eks. AD FS).
Federation Metadata URL
Først skal du give Bekey URL'en for jeres metadata, som vi skal bruge til at forbinde med den nuværende offentlige nøgle i jeres IdP's signeringscertifikat. Herefter vil vi sende dig vores sps.xml metadata URL. For at Bekey automatisk kan opdatere sin kopi af jeres signeringscertifikats offentlige nøgle, hver gang den ændres, skal metadata URL'en være tilgængelig fra internettet.
Hvis din organisation bruger Azure AD, så skal du oprette en ny Enterprise App og opsætte de nødvendige claims i Azure. Som standard vil brugeridentifikatoren blive defineret til standard ADFS claim windowsaccountname i f.eks. http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname. Hvis din AD kun findes i Azure uden nogen ADFS-synkronisering, kan det være, at det nævnte standard claim muligvis ikke eksisterer, og du kan være nødt til at give os et unikt claim efter eget valg, såsom e-mail eller brugernavn. Der er i øjeblikket ikke er understøttelse af direkte login til virksomhedsapplikationer via Office-portalen.
Sikkerhedsgrupper & Nøglebundter
Der er to forskellige typer af tilladelser i Bekey: Roller og Nøglebundter. Førstnævnte bestemmer, hvilke Bekey-applikationer brugere kan logge ind på, og hvilke handlinger de kan udføre, mens sidstnævnte definerer, hvilke grupper af låse brugere har adgang til at låse op. Nøglebundter tildeles brugere ved hjælp af SAML claims, men de enkelte adresser i nøglebundterne og deres eventuelle tidsbegrænsninger administreres gennem Bekey's administrationsportal i Netkey. Både roller og nøglebundter tildeles brugere ved hjælp af sikkerhedsgrupper, som kunne konfigureres på følgende måde:
Sikkerhedsgrupper | Formål |
Bekey-Administrators | Disse er brugere, der har brug for adgang til administrationsportalen (Netkey). De kan administrere nøglebundter, administrere eksterne brugere og deres adgang, se logs og downloade rapporter. |
Bekey-Users | Disse er brugere, der har brug for at åbne døre ved hjælp af Bekey-mobilapplikationen. |
Bekey-Locksmiths | Hvis din organisation har eget personale til installation/vedligeholdelse af Bekey-enhederne, bør de tilføjes til en gruppe, der vil have adgang til Bekeys montør app, hvilket vil give dem mulighed for at håndtere installation, vedligeholdelse og nedtagning af låse, der er blevet tildelt dem af en administrator. |
Du kan genbruge eksisterende grupper til Bekey-integrationen, hvis du allerede har lignende grupper, f.eks. på grund af en integration med et patientjournalsystem (EPJ) eller til HR/lønningsformål. Grupperne vil blive kortlagt til SAML claims senere. Bemærk, at det er muligt for brugere at være en del af mere end én sikkerhedsgruppe.
Adgang til døre konfigureres ved hjælp af nøglebundter, som er kundespecifikke. Nogle vælger at bruge kun ét nøglebundt til alle brugere, mens andre vælger at oprette forskellige nøglebundter til geografiske områder, administrative områder eller arbejdstider. Nøglebundter og deres navne diskuteres under et møde mellem din organisation og en repræsentant fra Bekey. Husk at oprette en sikkerhedsgruppe for hver nøglebundt. Grupperne vil blive kortlagt til SAML claims senere. Ligesom med sikkerhedsgrupper kan brugere tilføjes til flere nøglebundter.
Konvertering af brugere til ADFS
Det er muligt at konvertere eksisterende brugere til ADFS. Konverteringen vil give dem mulighed for at logge på Bekey med den samme bruger, som de tidligere har brugt. Dette er fordelagtigt, da logs beholdes og flettets sammen for den pågældende bruger. Det er vigtigt, at ADFS er korrekt opsat, før konverteringen foretages. Brugernavnet skal være det samme som i dit AD ved konvertering.
For at gøre dette skal du gå til 'Brugere' i Netkey-hovedmenuen. Vælg den bruger, du vil konvertere, og klik på 'rediger'-ikonet. Vælg 'Vedligeholdelse' fra menuen til venstre, og klik derefter på ‘Konvertér til ADFS’. I bekræftelsesboksen, der vises, klik på 'Konverter'.