...
Vid federerad inloggning med SAML finns en funktion för att möjliggöra för tjänster att hänvisa användare som har hindrande inloggningsproblem tillbaka till hjälpsidor hos användarens organisation. Organisationer kan lägga in en särskild uppgift om "errorURL" i metadatan för sin identitetsutfärdare (IdP) med en länk till organisationens hjälpsidor. Tidigare har bara en generell webbadress kunnat konfigureras som "errorURL" för en identitetsutfärdare som då behöver täcka alla olika typer av fel. Under 2020 har kompletterades detta kompletterats med en utökning som gör att tjänster kan hänvisa användare till mer specifika informationssidor hos användarens organisation vid olika typer av fel för att bättre kunna hjälpa användaren att lösa hindrande inloggningsproblem.
Från och med 16 mars 2021 måste alla identitetsutfärdare (IdP) registrerade i SWAMID aktivera stödet för ha en errorURL registrerad i sin IdPs metadata. Det finns två sätt att göra dettaalternativ till errorURL:
- Organisationen som står bakom identitetsutfärdaren skapar en tjänst för egen errorURL-sida lokalt, SWAMID rekommenderar varianten med dynamisk webbsida, se S%C3%A4ttauppegetst%C3%B6df%C3%B6rerrorURLen dynamisk webbsida motsvarande referensimplementationen enligt beskrivning under Sätta upp eget stöd för errorURL.
- SWAMID lägger till in den gemensamma stödet för errorURL på federationsgemensamma errorURL:en i identitetsutfärdarens metadata, se Anv%C3%A4ndaSWAMIDsfederationsgemensammast%C3%B6df%C3%B6rerrorURLAnvända SWAMIDs federationsgemensamma stöd för errorURL.
Utökad hantering av errorURL
...
Exempelimplementatonen återfinns på https://github.com/SUNET/swamid-errorurl.
En
...
dynamisk sida
En dynamisk sida har möjlighet att avgöra vilken tjänst som efterfrågades och vilken kontext som skickades med. Det möjliggör också att ytterligare information som kan underlätta vid felsökning hos identitetsutfärdaren finns med i en eventuell supportförfrågan till identitetsutfärdaren från användarenVid utelämnande av strängen ERRORURL_CODE i en errorURL finns ingen sträng att ersätta för tjänster. På så vis hänvisas användare vid alla kategorier av fel till samma sida.
Exempel:
https://saml-error.example.com/errorurl.htmlDetta kan vara det enda alternativet för tjänsteleverantörer som inte kan välja namn på webbsidor.
?errorurl_code=ERRORURL_CODE&errorurl_ts=ERRORURL_TS&errorurl_rp=ERRORURL_RP&errorurl_tid=ERRORURL_TID&errorurl_ctx=ERRORURL_CTXFem statiska sidor
Då det finns fyra felkategorier räcker det med fem statiska webbsidor för att tillhandahålla information för de fyra felkategorierna. Den femte sidan är då en omodifierad errorURL där tjänsten inte bytt ut strängen ERRORURL_CODE mot någon felkategori, och bör innehålla information om alla kategorier av fel eller länkar till respektive felsida.
...
https://saml-error.example.com/ERRORURL_CODE.htmlEn
...
statisk sida
Vid utelämnande av strängen ERRORURL_CODE i en errorURL finns ingen sträng att ersätta för tjänster. På så vis hänvisas användare vid alla kategorier av fel till samma sidaEn dynamisk sida har möjlighet att avgöra vilken tjänst som efterfrågades och vilken kontext som skickades med. Det möjliggör också att ytterligare information som kan underlätta vid felsökning hos identitetsutfärdaren finns med i en eventuell supportförfrågan till identitetsutfärdaren från användaren.
Exempel:
https://saml-error.example.com/?errorurl_code=ERRORURL_CODE&errorurl_ts=ERRORURL_TS&errorurl_rp=ERRORURL_RP&errorurl_tid=ERRORURL_TID&errorurl_ctx=ERRORURL_CTXerrorurl.htmlDetta kan vara det enda alternativet för tjänsteleverantörer som inte kan välja namn på webbsidor.
Använda SWAMIDs federationsgemensamma stöd för errorURL
...
SWAMIDs gemensamma errorURL går att testa på https://error.swamid.se/test/. Där finns även en länk till aktuell errorURL för respektive IdP i SWAMID. IdP:er som inte har någon egen errorURL har där en länk till den gemensamma errorURL:en, anpassad för den specifika identitetstutfärdaren.
Aktivera stöd för errorURL i en tjänst (SP)
För att tjänster ska kunna utnyttja errorURL:en för användares identitetsutfärdare behöver detta läsas ut ur identitetsutfärdarens metadata. Detta hanteras olika i olika SAML Service Providers.
Läsa ut errorURL via Shibboleth Service Provider
För att läsa ut errorURL för en användares identitetsutfärdare i Shibboleth Service Provider behöver tillägget Metadata Attribute Extraction aktiveras i konfigurationen. Instruktioner finns under rubriken Activate Metadata Attribute Extraction for Identity Provider metadata på 3.3 Configure Shibboleth SP - Check for Identity Assurance or REFEDS SIRTFI.
När detta är gjort finns errorURL:en (i förekommande fall) tillgänglig i HTTP-headern/miljövariabeln Meta-errorURL.
Länka till identitetsutfärdarens errorURL vid fel
Läs noga igenom profilen SAML V2.0 Metadata Deployment Profile for errorURL Version 1.0, där beskrivs i vilka fall som errorURL:en kan användas och hur. Se även beskrivningen under Utökad hantering av errorURL ovan.
Försök beskriva felet så utförligt som möjligt ur tjänstens synvinkel för att hjälpa användaren att åtgärda det.
SWAMID-specifik användning av ERRORURL_CTX
För att ytterligare förbättra möjligheten till relevant information till användare vid olika fel används en konvension kring ERRORURL_CTX i SWAMID. Tjänster rekommenderas att lägga till dessa kontext strängar till eventuell annan ERRORURL_CTX vid respektive fel, och identitetsutfärdare rekommenderas att hantera dessa speciellt:
...