Yleistä
CRM-service tarjoaa ulkoiset kirjautumispalvelut OpenID Connectin kautta. OpenID Connect on nykyaikainen tunnistautumisprotokolla joka mahdollistaa käyttäjien turvallisen kirjautumisen eri palveluihin käyttämällä kolmannen osapuolen tarjoamia tunnistautumisratkaisuja. Eri palveluntarjoajat tarjoavat erilaisia kirjautumisratkaisuja sähköposti-salasanayhdistelmästä pankkitunnistautumiseen.s
Ulkoisten kirjautumispalveluiden käyttöönotto vaatii käyttäjältä tietämystä käytettävän kolmannen osapuolen tunnistautumisratkaisun asetuksista. CRM-service tarjoaa lisäksi omaa konfiguraatiota Telian tunnistautumispalveluun. Mikäli olet kiinnostunut tästä palvelusta tai tarvitset apua kolmannen osapuolen tunnistautumisratkaisun konfiguroinnissa, ole hyvä ja ota yhteyttä CRM-servicen asiakaspalveluun.
Aloitus
Ulkoisten kirjautumispalveluiden konfigurointi tapahtuu Itsepalveluportaalin asetuksista kohdasta Ulkoiset kirjautumispalvelut. Mikäli ulkoisia kirjautumispalveluita ei ole asetettu, näkyvissä on vain Lisää uusi -painike. Jokaisella kirjautumispalvelulla on asetuksissa oma laatikkonsa, jossa hallitaan kirjautumispalvelun nimeä, aktiivisuutta ja asetuksia (ks. Kuva alla). Mikäli kirjautumispalvelu halutaan käytöstä pois ottamisen sijaan poistaa kokonaan, tämä tehdään Poista-painikkeella.
Asetukset
Asetuksilla määritetään kolmannen osapuolen kirjautumispalvelun asetukset ja mihin kontaktilla olevaan tietoon kirjautuminen liitetään. Kolmannen osapuolen konfiguraatiot, joista osa tarvittavista tiedoista löytyvät ovat lähtökohtaisesti saatavilla verkosta ja ne löytyvät usein seuraavanlaisesta osoitteesta: {tähän palveluntarjoajasi url}/.well-known/openid-configuration. Asetuksissa täytetään seuraavat kentät:
Strategia – Valitse käytettävä OpenID Connect -strategia. Tämä määrittelee, kuinka yhteydet ja kirjautumiset hallitaan. Käyttötapauksesta ja tietoturvavaatimuksista riippuen yhteys muodostetaan matalimmalla tasolla palveluntarjoajan todennussivuston kautta ja korkeimmalla tasolla käytetään yksityisiä salattuja avaimia (JWT Encrypted) .
CRM UID-kenttä – Kontaktit-moduulin kenttä, jonka perusteella kirjautuva käyttäjä haetaan vertaamalla tämän kentän sisältöä kirjautumispalvelun vastaavaan kenttään. UID kenttä on tarkoitettu yksilöivälle tunnisteelle (Unique Identifier), eli valitun kentän tulee sisältää tietoa, mikä ei toistu eri kontakteilla. Tyypillisiä UID-kenttiä ovat esimerkiksi sähköposti ja henkilötunnus.
Kirjautumispalvelun UID-kenttä – kenttä jonka sisältämää tietoa verrataan CRM UID-kentän tietoon kontaktin tunnistamiseksi. Käytettävissä olevat tiedot on usein listattu kolmannen osapuolen konfiguraatioissa kohdassa claims_supported.
PKCE – PKCE eli Proof Key for Code Exchange on lisäturvamekanismi, joka suojaa kirjautumista koodihyökkäyksiltä.
Discovery – Discovery on useiden eri palveluiden tukema asetus, jota käyttämällä osa konfiguraatioista haetaan automaattisesti, jolloin niitä ei täytetä erikseen asetuksista.
Issuer – Kolmannen osapuolen palveluntarjoajan konfiguraatiossa listattu issuer-URL.
Scope – Tiedot, joihin todennuksella on pääsy. Tuetut tiedot löytyvät kolmannen osapuolen konfiguraatiosta (scopes_supported).
Identifier – Tämä on asiakastunnus, jonka kolmannen osapuolen palveluntarjoajasi on antanut sovelluksellesi.
Secret – Salasana, jonka kolmannen osapuolen palveluntarjoajasi on antanut sovelluksellesi.
Host – Kolmannen osapuolen palvelun URL ilman https:// osaa (ei täytetä jos Discovery käytössä).
Authorization Endpoint – tämä löytyy kolmannen osapuolen palveluntarjoajan konfiguraatiosta kohdasta authorization_endpoint (ei täytetä jos Discovery käytössä). Tämä asetus vastaa käyttäjien todentamisesta.
Token Endpoint – tämä löytyy kolmannen osapuolen palveluntarjoajan konfiguraatiosta kohdasta token_endpoint (ei täytetä jos Discovery käytössä). Tällä asetuksella luodaan pääsytunniste palveluun sen jälkeen kun käyttäjä on onnistuneesti kirjautunut kolmannen osapuolen palveluun.
User info endpoint – tämä löytyy kolmannen osapuolen palveluntarjoajan konfiguraatiosta kohdasta userinfo_endpoint (ei täytetä jos Discovery käytössä). Tätä kautta käyttäjästä haetaan lisätietoja pääsytunnisteen perusteella.
jwks_uri – tämä löytyy kolmannen osapuolen palveluntarjoajan konfiguraatiosta kohdasta jwks_uri (ei täytetä jos Discovery käytössä). Täältä saadaan palveluntarjoajan julkiset avaimet.
redirect_uri – järjestelmä täyttää tämän kentän automaattisesti, mutta sinun tulee rekisteröidä tässä oleva osoite kolmannen osapuolen palveluntarjoajalle palveluntarjoajan omien ohjeiden mukaisesti jotta käyttäjä osataan ohjata oikeaan paikkaan kirjautumisen jälkeen.
Huom! Kun Strategia-kohtaan tehdään muutoksia, redirect_uri muuttuu annettujen asetusten mukaisesti.
Kun asetukset ovat valmiita, paina ensin OK sulkeaksesi asetusikkunan ja tämän jälkeen Tallenna tallentaaksesi antamasi asetukset portaaliin. Pelkkä OK-painikkeen painaminen ei tallenna asetuksia!
Sosiaaliturvatunnusten käsittely
Jotkin palveluntarjoajat saattavat lähettää tiedot sellaisessa muodossa, joka ei sovellu tietojen muuhun käyttöön. Esimerkiksi Telia BankID palauttaa sosiaaliturvatunnuksen muodossa SE/FI/YYYYMMDDXXXXXX, joka ei vastaa sosiaaliturvatunnuksen normaalia muotoilua. Voimme kuitenkin määrittää tietyn cf_telia-kentän käytettäväksi CRM UID-kenttänä, ottaa arvon sosiaaliturvatunnus-kentästä (tai muusta kentästä, jossa sosiaaliturvatunnus sijaitsee järjestelmässä) ja käyttää seuraavaa kaavaa:
{if $social_security_number}{assign var=soseno value=$social_security_number|regex_replace:”/[^a-zA-Z0-9]/”:””}FI/SE{$soseno}{else}{$cf_telia}{/if}
Arvo var voi olla mikä tahansa mukautettu nimi, jonka keksit muuttujalle; esimerkissä käytimme lyhennettyä versiota sosiaaliturvatunnuksesta (soseno).
Huomautus: Automaattista tietojenkäsittelyä varten sosiaaliturvatunnuksen päivämäärämuodon on järjestelmässä oltava YYYYMMDD-muodossa YYMMDD:n sijasta.