SaaS-beheerders, jullie zitten hier goed!
Beheerders van omgevingen met zelfhosting en Managed Hosting: lees informatie over SAML die specifiek is voor gehoste implementaties.

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) is een op XML gebaseerde gegevensindeling die kan worden gebruikt voor het verifiëren en autoriseren van gebruikers tussen afzonderlijke systemen. SAML wordt vaak gebruikt als een oplossing voor eenmalige aanmelding (SSO), zo ook voor Blackboard Learn. Als SAML goed is geïnstalleerd en geconfigureerd, kunnen gebruikers van Blackboard Learn zich aanmelden met hun gebruikersnaam en wachtwoord van een andere instelling of toepassing. SSO bespaart tijd voor zowel beheerders als gebruikers door een naadloze integratie voor aanmelden te bieden.

Gebruikersgegevens worden via een SAML-bevestiging doorgegeven tussen systemen. De identiteitsprovider is de externe host van het account van de gebruiker en de instantie van Blackboard Learn fungeert als de serviceprovider. De identiteitsprovider verstuurt kenmerken die door Blackboard Learn worden gebruikt om een account te maken of bij te werken voor de gebruiker. Deze kenmerken kunnen gegevens bevatten zoals de gebruikersnaam, voornaam, achternaam en e-mailadres, en worden verpakt in een beveiligingstoken zoals een SAML-bevestiging. De identiteitsprovider verstuurt deze SAML-bevestiging naar Blackboard Learn op het moment dat de gebruiker zijn of haar aanmeldingsgegevens invoert via eenmalige aanmelding. Als de gebruikersnaam niet wordt gevonden in het systeem, wordt er in Blackboard Learn een nieuw account gemaakt op basis van de gebruikerskenmerken in de SAML-bevestiging.

Het Building Block SAML vereenvoudigt de configuratie van SSO. Nadat je het Building Block hebt geactiveerd, wordt er een nieuw type verificatie toegevoegd aan de lijst Provider maken in Configuratiescherm voor systeembeheer > Verificatie. Hiermee kun je de service op de juiste manier configureren.

Het Building Block SAML wordt meegeleverd met Blackboard Learn SaaS en Blackboard Learn 9.1 van het tweede kwartaal van 2016+.

Via het Building Block SAML wordt één verbinding opgezet tussen Blackboard Learn en een identiteitsprovider. Je kunt meerdere vermeldingen voor SAML-verificatieproviders maken om verbinding te maken met verschillende identiteitsproviders. Bovendien is het zo dat SAML geen volledige vervanging is van de aanmeldingswerkstroom van Blackboard Learn. Gebruikers kunnen zich desgewenst ook nog gewoon met hun referenties aanmelden bij Blackboard Learn.

Het Building Block SAML activeren

Als je Blackboard Learn gebruikt in een SaaS-implementatie, hoef je het Building Block niet te installeren. Dan is het namelijk al aanwezig in het systeem.

  1. Ga naar het configuratiescherm voor systeembeheer.
  2. Selecteer onder Integraties de optie Building Blocks.
  3. Selecteer Geïnstalleerde tools
  4. Zoek Verificatieprovider - SAML in de lijst en verander de status in Beschikbaar.
  5. Ga in het configuratiescherm voor systeembeheer onder Integraties naar Verificatie.
  6. SAML staat nu in de lijst Provider maken op de pagina Verificatieprovider.

Instellingen configureren

Je kunt instellingen configureren om problemen op te lossen of om de veiligheid van de SAML-verbinding te garanderen.

  1. Ga naar het configuratiescherm voor systeembeheer.
  2. Selecteer onder Integraties de optie Building Blocks.
  3. Selecteer Geïnstalleerde tools.
  4. Zoek Verificatieprovider - SAML in de lijst. Open het menu en selecteer Instellingen. Je hebt de volgende opties:
    • Certificaat opnieuw genereren:Selecteer Opnieuw genereren om het SAML-certificaat opnieuw te genereren. Het kan nodig zijn om een certificaat opnieuw te genereren om de verbinding veilig te houden of als het certificaat is verlopen.

      Nadat je het certificaat opnieuw hebt gegenereerd, moet je de metagegevens van de serviceprovider opnieuw uploaden naar de identiteitsprovider. Wanneer je Opnieuw genereren selecteert, wordt je gevraagd om deze stap te bevestigen.

      Als je een nieuw certificaat genereert onder de B2-instellingen, moet je de SAML B2 op Inactief zetten en vervolgens teruggaan naar Geactiveerd om de wijziging door te voeren. Daarna ga je terug naar de instellingen van de provider en genereer je de nieuwe metagegevens om te importeren in de IDP. Als je deze instellingen niet inschakelt, kan het oude certificaat nog steeds worden meegenomen als je nieuwe metagegevens genereert. De IDP wordt dus niet bijgewerkt en de volgende keer dat Learn opnieuw wordt gestart, wordt het nieuwe certificaat weergegeven. De SAML-verificatie wordt daardoor verbroken omdat de IDP en het certificaat niet overeenkomen.

    • Bevestigingsvervalinstellingen:in deze sectie kun je de waarden voor Verlooptijd (ResponseSkew) en Vervallimiet SAML-sessie aanpassen. Je moet de waarde voor ResponseSkew mogelijk aanpassen als de server van Blackboard Learn zich in een andere tijdzone bevindt dan de server van de identiteitsprovider. Het tijdsverschil kan tot gevolg hebben dat SAML-bevestigingen verlopen voordat gebruikers zijn geverifieerd. SAML-sessies verlopen na de tijd die is opgegeven bij Vervallimiet SAML-sessie.Selecteer Geen vervallimiet sessie als sessies nooit mogen verlopen.
    • Signature Algorithm-instellingen: kies een type Signature Algorithm dat voldoet aan de beveiligingsbehoeften of dat wordt vereist door identiteitsproviders. Nadat je een waarde hebt gekozen voor Type Signature Algorithm, start je het Building Block SAML opnieuw om de nieuwe instellingen toe te passen.
  5. Selecteer Verzenden om de wijzigingen op te slaan.

Een SAML-verificatieprovider maken en configureren

  1. Selecteer de knop Provider maken en selecteer het type verificatieprovider SAML.
  2. Typ een naam en eventueel beschrijving voor de provider.
  3. Stel Beschikbaarheid van verificatieprovider in op Actief.
  4. Stel Zoekmethode gebruikers in op Gebruikersnaamof Batch-UID.
  5. Stel Beperken op hostnaam in op Deze provider gebruiken voor alle hostnamen.
    • Selecteer eventueel Deze provider beperken tot alleen de opgegeven hostnaam. Typ in dat geval een hostnaam in het veld Beperkte hostnamen.
  6. Typ in het veld Koppelingstekst de titel voor de koppeling zoals je die wilt weergeven op de aanmeldingspagina van Blackboard Learn.
  7. Je kunt desgewenst ook een pictogram toevoegen aan de aanmeldingspagina. Selecteer Bladeren om een pictogram voor de aanmeldingspagina te uploaden.
  8. Selecteer Opslaan en configureren om door te gaan.

Op de pagina Instellingen voor SAML-verificatie geef je de instellingen voor de serviceprovider en identiteitsprovider op, zodat er een vertrouwde relatie ontstaat. De identiteitsprovider is de externe host van het account van de gebruiker en de instantie van Blackboard Learn fungeert als de serviceprovider.

Instellingen voor serviceprovider

  1. De URL voor Assertion Consumer Service (ACS) zie je in het veld ACS URL. Een identiteitsprovider kan deze URL opvragen om configuraties bij de provider te voltooien.
  2. Typ een waarde voor Entity ID. Deze ID wordt ingevuld bij Metadata serviceprovider.
  3. Schakel het selectievakje Automatische SSO inschakelen in als gebruikers het aanmeldingsscherm van Blackboard Learn kunnen overslaan als ze al zijn aangemeld bij een vertrouwde identiteitsprovider.
  4. In het gedeelte Servicetype eenmalig afmelden zie je drie selectievakjes.Selecteer Plaatsen en ADFS LogoutResponse toestaan als ADFS de identiteitsprovider is. Als ADFS LogoutResponse toestaan is geselecteerd, eindigt de Identiteitsprovider-sessie van een gebruiker wanneer deze zich afmeldt bij Blackboard Learn.
  5. Om een vertrouwde verbinding op te zetten, moet je je metagegevens delen met de identiteitsprovider. Selecteer daarom de knop Genereren naast Metadata serviceprovider.
  6. Deel de metagegevens met de identiteitsprovider. De vertrouwde verbinding is klaar zodra de provider de ontvangen metagegevens heeft opgeslagen.
  7. Selecteer een gegevensbron voor deze verificatieprovider. De gegevensbron is de bron van accounts die worden ingericht door deze verificatieprovider. De standaardwaarde is Intern. Het wordt aanbevolen om een specifieke gegevensbron te maken voor gebruik met een SAML-verificatieprovider.

    Meer informatie over gegevensbronnen

    Dit onderwerp bevindt zich in de sectie Zelfhosting en Managed Hosting. Als je daar klaar bent, gebruik je de knop Terug van je browser om hier terug te keren.

  8. Selecteer in de lijst Compatibele gegevensbronnen de gegevensbronnen waarmee deze verificatieprovider compatibel moet zijn. Dit is belangrijk wanneer de verificatieprovider accounts bevat die worden gedeeld met bestaande gegevensbronnen. Als de gebruiker bestaat en gekoppeld is aan een gegevensbron die niet is aangevinkt, dan kan de gebruiker niet geverifieerd worden.
  9. Schakel het selectievakje in als er automatisch een nieuw account moet worden gemaakt voor een gebruiker voor wie geen gegevens zijn gevonden.
  10. In het tekstvak Foutbericht kun je een bericht typen dat gebruikers zien in het geval dat SAML-verificatie niet werkt zoals verwacht.

Instellingen voor identiteitsprovider

  1. Als je Identiteitsprovider aanwijzen selecteert, upload je het bestand met metagegevens dat je van de identiteitsprovider hebt gekregen. Je hebt ook de mogelijkheid om de URL voor metagegevens van de identiteitsprovider in te voeren, maar het wordt aangeraden om het bestand metagegevens te uploaden. Er wordt maar een van deze versies van metagegevens behouden in het systeem.
  2. Als je Identiteitsfederatie selecteert, verschijnt het veld URL naar de Discovery-service.

Als de configuratie is voltooid, moet je de metagegevens van de serviceprovider ook registreren bij een community voor federatie, zoals InCommon, UK Federation, etc.

SAML-kenmerken koppelen

  1. Configureer de SAML-kenmerken op zo'n manier dat ze op de juiste manier zijn gekoppeld aan de kenmerkdefinities van de identiteitsprovider. Als je een kenmerk leeglaat, wordt het kenmerk genegeerd door het Building Block SAML tijdens het parseren van de SAML-respons.
  2. Selecteer Verzenden om de informatie op te slaan.

Instellingsrollen

De instellingsrol van een gebruiker in het Blackboard Learn-systeem wordt bepaald aan de hand van de gegevens die van de identiteitsprovider worden ontvangen. De rollen worden als volgt gekoppeld:

Voornaamste rol binnen instelling (SAML) Instellingsrol in Blackboard Learn
Student Student
Docent Docent
Faculteit Faculteit

Cursusrollen

De rol van een gebruiker in een cursus wordt bepaald aan de hand van de gegevens die van de identiteitsprovider worden ontvangen. De rollen worden als volgt gekoppeld:

Cursuslidmaatschappen (SAML) Cursusrol in Blackboard Learn
Student Student
Cursusleider Cursusleider
ContentDeveloper Cursusbouwer
Lid Student
Manager Student
Beheerder Student
TeachingAssistant Onderwijsassistent
Mentor Cursusleider

Meerdere waarden voor kenmerk

Als je verwacht dat de reactie van de identiteitsprovider meerdere waarden zal bevatten voor een kenmerk, gebruik je de volgende indeling voor de SAML-reactie.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_003
</saml2:AttributeValue>
<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_004
</saml2:AttributeValue>
</saml2:Attribute>

De verbinding testen

Test de verbinding om er zeker van te zijn dat deze goed werkt. Meld je af bij Learn en meld je weer aan via de SAML-koppeling. Voer je accountreferenties voor de externe site in om je aan te melden. Je keert terug naar Blackboard Learn als het aanmelden is voltooid.

Meld je af bij Blackboard Learn. Er wordt een bericht weergegeven waarin je wordt gevraagd of je alle gerelateerde sessies wilt beëindigen of door wilt gaan. Als je niets doet, worden alle sessies binnen twee minuten door het systeem beëindigd. Als je wilt doorgaan met de sessie, moet je je voor de veiligheid opnieuw aanmelden.

Problemen oplossen

Als jij of je gebruikers te maken krijgen met fouten, kun je deze tips voor probleemoplossing raadplegen.

  • Als er een fout wordt weergegeven voordat je wordt omgeleid naar de aanmeldingspagina van de identiteitsprovider, zijn de metagegevens van de provider mogelijk ongeldig.
  • Als er een fout optreedt nadat je je hebt aangemeld bij de identiteitsprovider, zijn dit de mogelijke oorzaken:
    • Onjuiste koppeling van kenmerken tussen de serviceprovider en de identiteitsprovider, of de identiteitsprovider heeft geen geldige externe gebruikers-ID geretourneerd.
    • De SAML-respons van de identiteitsprovider is niet gevalideerd door de serviceprovider. Dit kan worden veroorzaakt door:
      • De identiteitsprovider ondertekent de SAML-respons met een certificaat dat niet is uitgegeven door een erkende certificeringsinstantie, en het certificaat is niet aanwezig in de keystore van de serviceprovider.
      • De systeemklok van de serviceprovider staat niet goed.
  • Als je meer informatie wilt lezen over fouten, open je het bestand bb-services-log.txt of het venster met logboeken en zoek je naar trefwoorden zoals unsuccessfulAuthentication of BbSAMLExceptionHandleFilter
  • Je kunt de ontwikkelaarsconsole van Chrome, de Firefox-invoegtoepassing SAML tracer, of de SAML Message Decoder voor Firefox gebruiken om een SAML-respons te zoeken.