Förord
-
Vem har nytta av den här artikeln
- Portaladministratörer
- Systemansvariga för katalogtjänster
-
Artikelns uppbyggnad
- Instruktionerna förutsätter att man har administratörstillgång till den egna Entra / Azure ad-portalen. Det finns steg som görs i vår portal och steg som görs i Entra / Azure. Vi förutsätter att man har kunskap i hur man går tillväga för att göra stegen som krävs i Entra / Azure gränssnittet.
Om inloggningssystem i Palms
Det finns några olika alternativ för login i palms, standardsättet är att logga in med ett användarnamn och lösenord. Om man vill använda en Single Sign On-lösning förutsätter detta att man använder en katalogtjänst. I dagsläget har vi stöd för Active Directory (via ADFS) och Microsoft Entra / Azure. Om ni vill använda en annan katalogtjänst via LDAP eller OpenID - vänligen kontakta vår support.
1. Att skapa Azure inloggningssystem
Att skapa ett nytt inloggningssystem görs i systeminställningarna under inloggningssystem
Välj typ av inloggning i dropdown-menyn, i detta fall väljs Azure AD, sedan "Skapa"-knappen.
2. Inställningarna i inloggningssystemet.
Inställningarna i inloggningssystemet är indelat i följande sektioner:
- Generellt
- Inloggningssidan
- Data från azure-portalen
- Team och Roll
- Synkronisering
Nedan följer en förklaring för alla fält, sektion för sektion.
2.1 Generellt
Namn: Det du vill att inloggningssystem ska heta. Detta namn kommer också att pryda login-knappen för användarna. Vårt har vi döpt till "Intermezzon Azure AD"
Intern beskrivning: Antecknar med särskild information till administratörer. Texten syns bara här och är osynlig för slutanvändarna.
2.2 Inloggingssidan
Information till användarna: Varje inloggningssystem kan ha en beskrivande text med inloggningsanvisningar för slutanvändarna. Man är inte begränsad till text utan kan använda markdown för att lägga till bilder samt formatera texten. Nedan ses ett exempel från Intermezzons egna Azure login.
Sekundär inloggning. Minimeras på inloggningssidan: Bocka för denna kryssruta om du vill att loginsättet inte ska visas direkt på loginsidan. Detta är praktiskt om man har fler alternativa inloggingssätt. Alla sekundära inloggningar visas bara när slutanvändaren klickar på länken "visa fler sätt att logga in på"
2.3 Data från Azure-portalen
2.3.1 Registrera i Azureportalen
För att inloggning via Azure ska fungera så behöver man registrera Palms som en Azure-app.
- Logga in i Azure portalen https://portal.azure.com som administratör
- Gå till “Azure Active Directory” från menyn
- Klicka in på “App registrations” och välj att skapa en “New registration”
Det som behöver fyllas i är
- Name: Dvs ett förklarande namn på inloggningen. Tänk på att detta namnet visas för användarna när de loggar in via Azure, så något som förklarar vad det gäller. Tex “Elearningportalen”
- Account type: Ska vara “Single tenant”
- Redirect URI: Denna är viktig och du hittar information om vad denna ska vara i Palms under inloggningssystemet. Tex https://minportal.palms.academy/devphp/auth/azure_sso
- Klicka “Register”
På översiktssidan för din registrering kan du hitta information om Application ID och Directory ID som behöver fyllas i Palms.
För att Palms ska kunna läsa information från Azure när användaren loggar in så behöver det skapas en “Client secret”.
- Gå till “Certificates & secrets” och klicka “New client secret”
- Sätt en beskrivning och eventuellt hur lång tid denna autentisering kommer att gälla.
- Nyckelns värde visas enbart en gång, så kopiera den och lägg in i Palms under “Nyckel”
2.3.2 Rättigheter i Azure
För att kunna använda Azure för Single Sign On så behövs inga extra rättigheter utöver “Microsoft Graph User.Read” som är aktiverat som standard.
Om man också vill kunna synka alla användare från Azure så behövs dock ytterligare rättigheter
- Under “API permissions”, klicka “Add a permission”
- Välj “Microsoft Graph” och “Application permissions”
- Leta fram och välj "User.Read.All" och "Group.Read.All" (eller enbart “Directory.Read.All”) som tillåter Palms att läsa hela katalogen med användare och grupper. Alternativt enbart "User.Read.All" om vi inte ska läsa in grupper från Azure.
- Glöm inte att klicka “Grant admin consent for [company]” för att rättigheten ska slå igenom.
2.3.3 Azure-data i Palms
Fälten i den följande sektionen fås ifrån ovanstående registrering i Azure.
Katalog-ID: Kallas också för "Tenant ID" och är ert unika organisationsID hos Microsoft Azure.
Program-ID: För att lärportalen ska kunna kommunicera med ert Azure AD behövs en App registreras i Azure. När appen har registrerats får denna ett unikt ID. Detta ID ska in i Program-IDfältet. När man registrerar appen i Azure får man möjlighet att registrera login-url. Där ska man fylla i url:en som syns i den blåa rutan i denna sektion.
Nyckel: Samtidigt som man registrerar appen i Azure ska en nyckel skapas (det är värdet som efterfrågas i Palms). Detta fungerar som appens "lösenord" Det är viktigt att anteckna nyckelvärdet direkt när den skapas, eftersom detta är osynligt efteråt i Azure.
OBS! När korrekt Katalog-ID, Program-ID, och Nyckel (Värdet) har fyllts i kan man med fördel spara inloggningssystemet, längst ned på sidan, för att sedan fortsätta med redigeringen. Vissa av de resterande inställningarna blir då enklare att fylla i.
2.4 Team och Roll
I denna sektion har man möjlighet att styra upp vart nya användare hamnar när de först skapas i portalen. Detta ger möjligheten att t.ex publicera introduktionsutbildningar till en viss roll och/eller team som användaren kan gå innan de har hunnit placeras in i rätt team och roll i portalen. (Befintliga användare i portalen påverkas inte av dessa inställingarna.)
För att kunna utnyttja Team- och Rollfunktionaliteten är det viktigt att man redan har skapat teams och roller i portalen.
Team för oplacerade personer: Systemet kommer att försöka matcha den inloggande användaren mot befintliga användare i systemet. Dock finns möjligheten att placera nya användare i ett specifikt team för oplacerade personer, så att dessa lättare kan administreras av en behörig administratör eller superanvändare.
Rotteam: Teamstrukturerna i PALMS är hierarkiska, här kan man specificera vilket team som fungerar som hierarkins rot för just detta inloggningssystem. Detta är särskilt lämpligt om den automatiska användarsynken ska tillämpas.
Standardroll: Här kan man välja rollen som oplacerade användare automatiskt får när de skapas.
Be personerna specificera team och roll första gången de loggar in: Kryssa i här om du vill ge varje användare en möjlighet att välja team och roll. När detta är ikryssat kan man markera vilka roller som användaren får välja mellan, samt hur högt upp i teamstrukturen användaren kan gå för att välja rätt team,
2.5 Synkronisering
Synkronisering tillåter en automatisk, daglig synk av användare från er Azure-tjänst direkt till portalen. I standard utförandet kommer nya användare att hanteras på precis samma sätt som om de hade loggat in, dvs placeras i Team för oplacerade personer och tilldelade den förutbestämda rollen som angivits i standardroll. Har man bockat för "Be personerna specificera team och roll första gången de loggar in" ges givetvis samma möjlighet efter användarsynk. Existerande användare kommer inte att placeras om i standardutförandet - dock kommer deras uppgifter att uppdateras efter behov.
Vad ska synkroniseras: Välj mellan synkronisera ej (inloggningssystemet kommer endast att användas för Single Sign On) eller Synkronisera varje natt (En daglig synk utförs).
Synka bara medlemmarna i denna grupp: Här kan man välja en grupp i er Azure-tjänst som användarna måste vara medlem i för att överhuvudtaget synkas. Detta rekommenderas starkt för att få kontroll över vilka användare som synkas till systemet genom att skapa en specifik användargrupp för portalen i Azure. Om man tidigare har sparat inloggningssystemet efter att ha registrerat Program-ID, Katalog-ID och Nyckel kommer man kunna välja grupp från en rullgardinsmeny, annars visas ett textfält där man kan fylla i gruppens unika azure-ID.
Matcha Azure-användares epostadress med befintliga användare: När denna är förbockad kommer systemet att matcha befintliga användare i portalen med hjälp av deras e-postadress. Annars kommer en ny användare att skapas för varje användare i Azure (Vi rekommenderar starkt att bocka för detta om man redan har användare i portalen.)
Anpassad användarsynk
Den stora styrkan i användarsynken tillkommer när en anpassning görs, där det är då möjligt att automatiskt bestämma team, roll och behörigheter baserat på fält och grupptillhörighet i användaruppgifterna. Kontakta vår support för en konsultation gällande den anpassade synken.
2.6 Säkerhet
Under säkerhet så kan du sätta regler för om en användare ska kunna vara inloggad på flera enheter samtidigt.
Inga begränsningar innerbär att en användare vara inloggad på tex sin telefon, sin arbetsdator och hemma utan problem.
Förhindra inloggning om användaren redan är inloggad Betyder att om man inte loggar ut sin användare på sin arbetsdator så kan man inte logga in på telefonen om man skulle vilja det.
När användaren loggar in så loggas denne ut på alla andra enheter Betyder att om jag ät inloggad på min arbetsdator men kommer på att jag instället vill göra utbildningen på min telefon men inte har loggat ut på min arbetsdator så kommer jag kunna logga in via telefonen men jag blir då utloggad på min arbetsdator och behöver logga in där vid nästa tillfälle.
Vanligtvis så brukar man inte sätta några begränsningar utan låta det vara fritt att vara inloggad på flera enheter samtidigt. Men om man tex arbetar med certifieringar så vill man inte att en person kan logga in i klassrummet på sin tentamen medan en annan person sitter hemma på samma användarkonto och genomför den. Därför finns inställningen så att du kan begränsa möjligheterna att vara inloggad på flera ställen samtidigt.
2.7 Radering
Under rubriken radering så kan du ställa in vad som ska hända med personer som inaktiverats som tillhör inloggningen. Det vanligaste här är att man ställer in ett datum på tex ett år så att man inte lagrar persondata längre än nödvändigt för en person som inte längre kan logga in i systemet. Man kan även meddela användaren att de håller på att bli raderad men det är inte lika vanligt att man vill det när det gäller en inloggning som sker med SSO och har en synk då användaren troligtvis har slutat på företaget eller fått annan tjänst som inte längre ska ha tillgång till Palms. Meddela användaren används främst på inloggningssystem som är manuella och man skarpar varje användare själv.
2.8 SCIM API
SCIM (System for Cross-domain Identity Management) API är en standard för att automatisera hanteringen av användaridentiteter och relaterad data mellan system. Det används ofta för att synkronisera användarkonton mellan en organisation och externa tjänster, så som tex Palms
Du kan läsa mer om SCIM här
Lycka till!
Tveka inte att kontakta supporten om du behöver hjälp med att sätta opp en SSO eller SSO med synk
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.