Artikeln beskriver hur man skapar och konfigurerar ett Azure AD-inloggningssystem i Palms för Single Sign On, inklusive registrering i Azure-portalen, inställningar för team, roller, synkronisering, säkerhet och radering av användare. Den riktar sig till portaladministratörer och systemansvariga med administratörsbehörighet i Entra/Azure AD.
Förord
-
Vem har nytta av den här artikeln
- Portaladministratörer
- Systemansvariga för katalogtjänster
-
Artikelns uppbyggnad
- Instruktionerna förutsätter att du har administratörsbehörighet i er Entra / Azure AD-portal. Vissa steg görs i Palms, andra i Entra / Azure. Vi utgår från att du har grundläggande kunskap om hur du navigerar och gör inställningar i Entra / Azure-gränssnittet.
Om inloggningssystem i Palms
Det finns flera sätt att logga in i Palms. Standardsättet är användarnamn och lösenord.
Om ni vill använda Single Sign On (SSO) krävs en katalogtjänst. I dagsläget har vi stöd för:
- Active Directory (via ADFS)
- Microsoft Entra / Azure
Om ni vill använda en annan katalogtjänst via LDAP eller OpenID – kontakta vår support.
1. Skapa ett Azure-inloggningssystem
Ett nytt inloggningssystem skapas i Palms under systeminställningarna, i sektionen Inloggningssystem.
Välj typ av inloggning i dropdown-menyn (i detta fall Azure AD) och klicka sedan på Skapa.
2. Inställningar för inloggningssystemet
Inställningarna för inloggningssystemet är indelade i följande sektioner:
- Generellt
- Inloggningssidan
- Data från azure-portalen
- Team och Roll
- Synkronisering
Nedan följer en genomgång av respektive sektion.
2.1 Generellt
Namn
Det namn du vill ge inloggningssystemet. Namnet visas bland annat på login-knappen för användarna. I vårt exempel heter det “Intermezzon Azure AD”.
Intern beskrivning
Anteckningar för administratörer. Denna text syns endast här och visas inte för slutanvändarna.
2.2 Inloggingssidan
Information till användarna
Varje inloggningssystem kan ha en beskrivande text med instruktioner till slutanvändarna. Du kan använda både text och markdown för att t.ex. lägga in bilder och formatera innehållet.
Här kan du t.ex. beskriva när användaren ska välja Azure-inloggning, hur processen går till, samt vem de kontaktar vid problem.
Sekundär inloggning (minimeras på inloggningssidan)
Markera den här kryssrutan om du vill att inloggningssystemet ska döljas bakom länken “Visa fler sätt att logga in”. Det är praktiskt om ni har flera alternativa inloggningssätt och inte vill visa alla direkt
2.3 Data från Azure-portalen
2.3.1 Registrera Palms i Azure-portalen
För att inloggning via Azure ska fungera så behöver man registrera Palms som en Azure-app.
- Logga in i Azure portalen som administratör.
- Gå till “Azure Active Directory” i menyn.
- Klicka in på “App registrations” och välj “New registration”.
Fyll i:
-
Name
Ett tydligt namn på inloggningen. Tänk på att namnet visas för användarna när de loggar in, t.ex. “Elearningportalen”. -
Account type
Välj “Single tenant” -
Redirect URI
Viktig inställning. Värdet hittar du i Palms under inloggningssystemet, t.ex https://minportal.palms.academy/devphp/auth/azure_sso - Klicka sedan på “Register”
På översiktssidan för app-registreringen hittar du:
- Application (client) ID
- Directory (tenant) ID
Dessa värden behöver fyllas i Palms.
För att Palms ska kunna läsa information från Azure när användaren loggar in behöver du även skapa en Client secret:
- Gå till Certificates & secrets.
- Klicka på New client secret.
- Sätt en beskrivning och välj giltighetstid.
- Kopiera värdet på nyckeln direkt – det visas bara en gång – och lägg in det i Palms i fältet Nyckel.
2.3.2 Rättigheter i Azure
För att kunna använda Azure för Single Sign On så behövs inga extra rättigheter utöver “Microsoft Graph User.Read” som är aktiverat som standard.
Om ni även vill synkronisera alla användare från Azure krävs fler rättigheter:
- Under “API permissions”, klicka “Add a permission”
- Välj “Microsoft Graph” och “Application permissions”
- Leta fram och välj "User.Read.All" och "Group.Read.All" (eller enbart “Directory.Read.All”) som tillåter Palms att läsa hela katalogen med användare och grupper. Alternativt enbart "User.Read.All" om Palms inte ska läsa in grupper från Azure.
- Klicka på "Grant admin consent for [company]" för att rättigheterna ska börja gälla.
2.3.3 Azure-data i Palms
Fälten i denna sektion fylls med uppgifter från Azure-registreringen ovan.
Katalog-ID
Kallas också Tenant ID och är ert unika organisations-ID hos Microsoft Azure.
Program-ID
Det ID som appen i Azure får vid registrering. Detta ID behövs för att Palms ska kunna kommunicera med ert Azure AD. När du registrerar appen i Azure ska du även ange login-URL – den hittar du i Palms i den blå informationsrutan i denna sektion.
Nyckel
Det värde du fick när du skapade en client secret i Azure. Detta fungerar som appens “lösenord”. Kom ihåg att värdet bara visas en gång i Azure – spara det direkt och fyll in det i Palms.
OBS!
När du fyllt i korrekt Katalog-ID, Program-ID och Nyckel (värdet) är det en god idé att spara inloggningssystemet längst ned på sidan innan du fortsätter. Då blir vissa av de resterande inställningarna enklare att fylla i.
2.4 Team och roll
I denna sektion kan du styra var nya användare hamnar första gången de skapas i Palms. Det gör det t.ex. möjligt att publicera introduktionsutbildningar till ett särskilt team och/eller en viss roll som de får direkt vid första inloggningen.
Befintliga användare i portalen påverkas inte av dessa inställningar.
För att använda team- och rollfunktionaliteten behöver ni först ha skapat team och roller i Palms.
Team för oplacerade personer
Systemet försöker matcha den inloggande användaren mot befintliga användare. Om ingen matchning hittas kan du här ange ett särskilt team för “opplacerade” personer, så att administratörer enkelt kan hitta och placera dem rätt.
Rotteam
Teamstrukturen i Palms är hierarkisk. Här anger du vilket team som ska vara rot för just detta inloggningssystem. Detta är särskilt viktigt om automatisk användarsynk används.
Standardroll
Den roll som nya, oplacerade användare automatiskt får när de skapas.
Låt användaren välja team och roll vid första inloggning
Kryssa i detta om du vill att användaren själv ska kunna välja team och roll första gången hen loggar in. När funktionen är aktiverad kan du:
- Välja vilka roller som ska vara valbara.
- Begränsa hur högt upp i teamstrukturen användaren kan gå när hen väljer team.
2.5 Synkronisering
Synkronisering innebär en automatisk, daglig synk av användare från Azure till Palms. I standardläget hanteras nya användare på samma sätt som om de loggat in själva:
- De placeras i Team för oplacerade personer.
- De får den Standardroll du angivit.
Om du har aktiverat inställningen Låt användaren välja team och roll vid första inloggning får de samma möjlighet efter synk som vid manuell inloggning.
Befintliga användare placeras inte om i standardinställningen – men deras uppgifter uppdateras vid behov.
Vad ska synkroniseras? Välj mellan:
- Synkronisera ej – inloggningssystemet används endast för SSO.
- Synkronisera varje natt – en daglig synk av användare utförs.
Synka bara medlemmar i denna grupp
Här kan du välja en specifik grupp i Azure som användare måste vara medlem i för att synkas till Palms. Vi rekommenderar detta för att ha kontroll över vilka användare som synkas, t.ex. genom en särskild “Palms-användare”-grupp i Azure.
Om du redan har sparat inloggningssystemet efter att ha fyllt i Program-ID, Katalog-ID och Nyckel, kan du välja grupp från en rullgardinsmeny. Annars visas ett textfält där du kan fylla i gruppens unika Azure-ID.
Matcha Azure-användares e-postadress med befintliga användare
Om detta är ikryssat försöker Palms matcha Azure-användare mot befintliga användare via e-postadress. Annars skapas en ny användare i Palms för varje användare i Azure.
Vi rekommenderar starkt att ha detta aktiverat om ni redan har användare i Palms.
Anpassad användarsynk
Den verkliga styrkan i synkroniseringen kommer vid en anpassad lösning, där team, roll och behörigheter kan sättas automatiskt baserat på fält och grupptillhörigheter i användaruppgifterna.
Kontakta vår support för konsultation kring anpassad synk.
2.6 Säkerhet
Under Säkerhet ställer du in om en användare ska kunna vara inloggad på flera enheter samtidigt.
Inga begränsningar
Användaren kan vara inloggad på t.ex. telefon, arbetsdator och hemdator samtidigt.
Förhindra inloggning om användaren redan är inloggad
Om användaren redan är inloggad på en enhet (t.ex. arbetsdatorn), kan hen inte logga in på en annan enhet (t.ex. telefonen) utan att först logga ut.
När användaren loggar in loggas hen ut från alla andra enheter
Användaren kan logga in på en ny enhet även om hen inte loggat ut från den gamla. Vid inloggning på den nya enheten loggas hen automatiskt ut från alla andra enheter.
I de flesta fall låter man användare vara inloggade på flera enheter samtidigt. Men vid t.ex. tentamen eller certifieringar kan det vara viktigt att förhindra att flera personer använder samma konto parallellt. Då är dessa begränsningsalternativ användbara.
2.7 Radering
Här ställer du in vad som ska hända med användare som inaktiverats och tillhör detta inloggningssystem.
Det vanligaste är att sätta en tidsgräns, t.ex. 1 år, för hur länge personuppgifter ska sparas efter att en användare inte längre kan logga in. På så sätt lagrar ni inte persondata längre än nödvändigt.
Du kan även välja att meddela användaren innan radering, men vid SSO-inloggning med synk är det oftast mindre relevant. I dessa fall har användaren ofta avslutat sin anställning eller bytt tjänst och ska inte längre ha tillgång till Palms. Inställningen Meddela användaren används oftare för manuella inloggningssystem där användare skapas direkt inuti Palms.
2.8 SCIM API
SCIM (System for Cross-domain Identity Management) är en standard för att automatisera hantering av användaridentiteter och relaterad data mellan system.
SCIM används ofta för att synkronisera användarkonton mellan en organisation och externa tjänster, t.ex. Palms.
Läs mer om SCIM hos simplecloud.info
Lycka till!
Tveka inte att kontakta supporten om du behöver hjälp med att sätta upp SSO eller SSO med synkronisering.
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.