För att WinLas ska kunna tilldela roller utifrån AD/SAML2 behöver dessa ingå i claim till WinLas.

Claims mapping

WinLas behöver följande attribut från aktuell Identity Provider (IdP) för att SSO ska fungera:

• NameID i formatet "transient"

• Personnummer (med antingen 12 eller 10 siffror) under attributet "PERSNR"

Behörighetsmappning

Behörighetsmappning i WinLas innebär att attribut från SAML-inloggningen används för att ge användaren behörigheter i systemet. På IdP-sidan behöver grupptillhörighet skickas med i claimet under attributet “ROLES”. Claim-värdet kan vara vad som helst men förslagsvis används gruppen som namn. WinLas har stöd för att ta emot flera grupptillhörigheter i samma claim.

Efter detta behöver behörighetsmappning göras i WinLas. Läs mer i följande artikel: Tilldela roller med behörigheter via mappning (SSO). “Rollnamn i behörighetssystemet” ska vara det utgående värdet under attributet "ROLES", dvs gruppnamnet från er IdP.

Efter detta kommer rollerna mappas direkt vid inloggning. Rollerna utvärderas vid varje inloggning så om en användare blir borttagen ur en grupp som ger behörigheter försvinner de behörigheterna från användaren vid nästa inloggning.

Om enbart chefsroll ska tilldelas automatiskt

WinLas har även möjlighet att identifiera chefsroll utifrån in-data om roller inte kan skickas med i claim. Genom att använda systeminställning Logga in via tankade användare får chefer sin behörighet via intankad data från lönesystemet.