Oppsett av Single Sign On (SSO)
Pindena har integrasjon mot Microsoft Entra ID (tidligere Azure Active Directory, AAD eller AD) slik at dere selv kan kontrollere hvem som skal ha tilgang til Pindena påmeldingssystem, hvilket tilgangsnivå de skal ha og hvilken avdeling de hører til. Du kan lese mer om Microsoft Entra ID her.
Slik fungerer det
Når deres brukere skal logge inn i påmeldingssystemet gjør de det ved å trykke på knappen "Logg inn med Microsoft" i steden for brukernavn og passord i påmeldingssystemet. Når de har logget inn via Microsoft opprettes eller oppdateres brukeren i påmeldingssystemet med data fra Microsoft Entra ID (både navn, epost, mobil, avdeling og tilgangsnivå). Hvis dere endrer brukerens data i Microsoft Entra ID vil det bli oppdatert i påmeldingssystemet neste gang brukeren logger inn.
Microsoft Entra ID App
For at vi skal kunne koble påmeldingssystemet til deres Microsoft-konto må dere lage en App i App Registrations. Denne appen må ha noen innstillinger:
- Redirect URI: https://din-org.pameldingssystem.no/sso/azure/callback
Bytt ut "din-org" med domenet til deres påmeldingssystem. - API Permissions: User.Read
Kanskje også GroupMember.Read.All
Tilkobling
Dere må sende oss Client ID, Tenant ID og Client Secret (som dere genererer i deres Microsoft-miljø).
I tillegg må dere velge eller lage Security groups som skal kobles til et tilgangsnivå i påmeldingssystemet og sende oss tilhørende Object ID, se Tilgangsnivåer lenger ned.
Pindena legger inn tilsendte ID-er og nøkler, og Single Sign On er klart til bruk.
Eksisterende brukere
Hvis dere har eksisterende brukere som skal ha samme tilgang som før er det viktig å sjekke at avdelingsnavnene er like i Microsoft Entra ID og påmeldingssystemet. Les mer om hvorfor i neste kapittel, Avdelinger.
Avdelinger
Vær oppmerksom på at brukerne flyttes til en ny avdeling hvis dere endrer avdelingsnavnet. Det er bare avdelingsnavnet, ingen ID eller nøkkel, i dataene som overføres fra AD, så det er ikke mulig å endre navn på avdelinger automatisk.
Det er likevel mulig å endre avdelingsnavn, men da må det endres manuelt i påmeldingssystemet samtidig som dere endrer i AD.
Tilgangsnivåer
Vi har tre tilgangsnivåer med Enterprise-lisens:
- Bruker - Har full tilgang til aktiviteter i egen avdeling.
- Admin - Ikke relevant med SSO (har tilgang til å opprette nye brukere i egen avdeling).
- Superadmin - Har full tilgang til alle aktiviteter i alle avdelinger.
For andre lisenser er det bare tilgangsnivået Bruker som er tilgjengelig siden det ikke er tilgang til flere avdelinger.