Single Sign-On for administratorer

På denne siden har vi samlet det Microsoft 365-administratorer trenger å vite for å tillate SSO hos REN.

Illustrasjonsbilde av mann som ser på en innloggingsside på en datamaskin

SSO-løsningen vi tilbyr involverer en rekke komponenter: Keycloak, vårt kundesystem, Wildy, RENs Azure og kundens Azure. Den siste har naturlig nok ikke REN kontroll over. For at kundens brukere skal kunne logge seg på våre nettsider ved hjelp av SSO, må kundens Microsoft 365-administrator konfigurere kundens Azure.

Behovet til REN

For å kunne bruke Microsoft til SSO hos REN, må REN få tilgang til noe data om brukeren fra Microsoft. Denne tilgangen er det bare administrator hos brukerens selskap som kan gi.

REN ønsker å kunne:

  1. Lese brukerens e-postadresse - for å koble brukeren til en bruker i våre systemer
  2. Lese brukerens navn - for å kunne opprette brukeren automatisk når brukerens arbeidsgiver har avtalt dette med REN
  3. Sjekke om brukeren har slått på to-faktorautentisering (MFA) - for at brukeren skal slippe to-faktorautentisering hos REN hvis det allerede er gjort hos Microsoft
  4. Lagre denne informasjonen i våre systemer - for å kunne huske brukeren til neste besøk

Konfigurasjonsalternativer

Singletenantkunde - Enklest

Det enkleste oppsettet for administrator er å følge denne lenken: https://login.microsoftonline.com/organizations/adminconsent?redirect_uri=https://www.ren.no/sso-admin&state=1&client_id={Client_ID} der `Client_ID` er 'Application ID' fra appen i REN sin Azure.

https://login.microsoftonline.com/organizations/adminconsent?redirect_uri=https://www.ren.no/sso-admin&state=1&client_id=644629f0-8862-4f81-973b-0437bb3f92e2

Skjermbilde av Permissions requested fra Microsoft

Når en administrator følger lenken, vil man først følge en vanlig påloggingsløype hos Microsoft. Deretter vises en godkjenningsskjermbilde for at REN kan lese data om brukerne.

Multitenantkunde

Dersom kunden har flere tenants, vil dette godkjenning tilgang til den tenant som er default for den gjeldende admin. Dersom dette ikke er den riktige, må "organizations" i URL-en over erstattes med ID til riktig tenant. URL blir da slik: https://login.microsoftonline.com/{Kundens_Tenant_ID}/adminconsent?redirect_uri=https://www.ren.no/sso-admin&state=1&client_id={Client_ID}

Utover dette, vil løypen være identisk med den over.

Approval required

Dersom stegene ovenfor ikke utføres, vil brukerne som kommer inn til applikasjonen bli møtt med dialogboks der de blir oppfordret til å gi en begrunnelse for hvorfor de ønsker denne tilgangen.

Skjermbilde av "Approval required"-dialogen fra Microsoft

Dette vil medføre en e-post til administrator som der vil kunne en løype tilsvarende de som er nevnt ovenfor. Det er viktig å huske på at alt dette skjer under pålogging hos Microsoft.