Oppsett av Single Sign On (SSO)

Pindena har integrasjon mot Azure Active Directory (AD) slik at dere selv kan kontrollere hvem som skal ha tilgang til Pindena påmeldingssystem, hvilket tilgangsnivå de skal ha og hvilken avdeling de hører til. Du kan lese mer om Microsoft Azure AD her.

Slik fungerer det

Når deres brukere skal logge inn i påmeldingssystemet gjør de det ved å trykke på knappen "Logg inn med Active Directory" i steden for brukernavn og passord i påmeldingssystemet. Når de har logget inn via AD opprettes eller oppdateres brukeren i påmeldingssystemet med data fra AD (både navn, epost, mobil, avdeling og tilgangsnivå). Hvis dere endrer brukerens data i AD vil det bli oppdatert i påmeldingssystemet neste gang brukeren logger inn.

Azure AD App

For at vi skal kunne koble påmeldingssystemet til deres Azure AD-konto må dere lage en App i App Registrations. Denne appen må ha noen innstillinger:

• Redirect URI: https://din-org.pameldingssystem.no/sso/azure/callback
  Bytt ut "din-org" med domenet til deres påmeldingssystem.
• API Permissions: User.Read
  Kanskje også GroupMember.Read.All

Tilkobling

Dere må sende oss Client ID og Client Secret (som dere genererer i deres Azure AD-miljø).

I tillegg må dere velge eller lage Security groups som skal kobles til et tilgangsnivå i påmeldingssystemet og sende oss tilhørende Object ID, se Tilgangsnivåer lenger ned.

Pindena legger inn tilsendte ID-er og nøkler og Single Sign On er klart til bruk.

Eksisterende brukere

Hvis dere har eksisterende brukere som skal ha samme tilgang som før er det viktig å sjekke at avdelingsnavnene er like i Azure AD og påmeldingssystemet. Les mer om hvorfor i neste kapittel, Avdelinger.

Avdelinger

Vær oppmerksom på at brukerne flyttes til en ny avdeling hvis dere endrer avdelingsnavnet. Det er bare avdelingsnavnet, ingen ID eller nøkkel, i dataene som overføres fra AD, så det er ikke mulig å endre navn på avdelinger automatisk.

Det er likevel mulig å endre avdelingsnavn, men da må det endres manuelt i påmeldingssystemet samtidig som dere endrer i AD.

Tilgangsnivåer

Vi har tre tilgangsnivåer med Enterprise-lisens:

• Bruker - Har full tilgang til aktiviteter i egen avdeling.
• Admin - Ikke relevant med SSO (har tilgang til å opprette nye brukere i egen avdeling).
• Superadmin - Har full tilgang til alle aktiviteter i alle avdelinger.

For andre lisenser er det bare tilgangsnivået Bruker som er tilgjengelig siden det ikke er tilgang til flere avdelinger.