Microsoft AD SSO (kertakirjautuminen)

Miten saan kertakirjautumisen käyttööni ja miten se toimii?

Miten saan kertakirjautumisen käyttööni?

Ole yhteydessä sähköpostitse helpdesk@seclion.fi 

Kertakirjautuminen voidaan ottaa helposti käyttöön. Mikäli kertakirjautumisen yhteydessä tehdään myös oikeuksien määrittämistä, vaatii se asiakkaalta hieman enemmän suunnittelua. Spotillan päässä kaikki määritykset voidaan tehdä hyvin nopeasti ilman mitään erillistä projektia. 

Mitä se tarkoittaa?

SSO (Single Sign On) eli kertakirjautuminen tarkoittaa ratkaisua, jossa käyttäjä voi kirjautua Spotillaan Microsoft AD tunnuksella.

Spotillaan on toteutettu valmis rajapinta sekä selain- että mobiilisovelluksille Microsoft Azure AD kertakirjautumiselle. Spotilla ei tue paikallisia Microsoft AD palvelimia (hybridiratkaisu paikallinen + Azure on tuettu). 

Miten kirjautuminen SSO:n kanssa tapahtuu?

Jos kertakirjautuminen on käytössä, Spotillan käyttäjä ei tarvitse ollenkaan Spotillan sisäistä käyttäjätunnus/salasana yhdistelmää, vaan kirjautuminen tapahtuu Microsoft AD tunnuksella (eli käytännössä sama tunnus, jota käytetään muuhun Office 365 käyttöön, kuten Outlook, Teams jne.).

Kertakirjautuminen mahdollistaa myös ratkaisun, jossa käyttäjän oikeudet Spotillan sisällä perustuvat Azure AD:lla määriteltyihin ryhmiin.


Tekninen toteutus

Tekninen toteutus noudattaa tätä Microsoftin dokumentaatiota

Tekninen tapahtumaketju (kutsujen autorisointi) noudattaa ao. kuvan mukaista Microsoftin määrittämää toteutusta. 

azureflow

Spotilla sovellus kutsuu Asiakkaan Azure AD:n seuraavia tietoja kirjautumisen yhteydessä:

azuerpermission

Käyttöönoton vaiheet

  • Asiakas ilmoittaa haluavansa ottaa Microsoft AD SSO kertakirjautumisen käyttöön ja lähettää sähköpostin os. helpdesk@seclion.fi
  • Pidetään lyhyt etäpalaveri, jossa sovitaan, miten asiakas haluaa toteuttaa kertakirjautumisen.
    • Selvitetään, mikä domain on se AzureAD domain, jota vasten kirjautuminen tehdään.
    • Selvitetään halutaanko, että jokin tietty Azure AD ryhmä on oltava käyttäjällä, jotta tämä pääsee kirjautumaan (muuten kaikki ko. domainin tunnukset pääsevät kirjautumaan)
    • Selvitetään, halutaanko, että käyttäjät saavat Spotillassa oikeuksia suoraan tälle kuuluvien Azure AD-ryhmien perusteella vai käytetäänkö SSO:ta vain kirjautumiseen

Täysi hyöty AD SSO toteutuksesta saadaan, kun käyttäjälle asetetaan suoraan "perusoikeudet" AzureAD ryhmien perusteella. Poikkeavat oikeudet voidaan erikseen määritellä edelleen Spotillan sisällä. 

Käytännössä Azure AD:lle luodaan Spotillaa varten tietyt ryhmät, jotka kohdistetaan Spotillassa luotuihin käyttäjärooleihin. Asiakkaan prosessi helpottuu, kun uudet käyttäjät, jotka luodaan AD:lle ja tarvitsevat pääsyn Spotillaan, saavat suoraan oikeudet, kun nämä lisätään haluttuihin AzureAD-Spotilla ryhmiin. 

  • Spotilla helpdesk kytkee AD SSO:n päälle sovituilla määrityksillä
  • Asiakkaan AzureAD admin käyttäjä hyväksyy asiakkaan käyttäjien puolesta kertakirjautumisen käyttämisen (lisätietoa). Samalla varmistetaan SSO:n toiminta
    • Huom: asiakkaan Azure AD Admin-käyttäjän ei tarvitse tehdä mitään määrityksiä käsin Azure AD:lle. Kun Admin-tunnuksen omaava henkilö tekee ensimmäisen kirjautumisen Spotillaan, Spotilla kysyy Azure AD Amin-käyttäjältä (pop-up ikkuna, jossa lupa pyydetään) antaako tämä organisaation puolesta käyttäjille oikeuden käyttää Spotilla SSO-sovellusta. 
  • Kun toiminta on testattu, Spotilla Helpdesk poistaa kaikki käyttäjätilit Spotillasta
    • Kun käyttäjä seuraavan kerran kirjautuu mobiilisovelluksella tai selaimella, tämä käyttää SSO-kirjautumista. Tässä yhteydessä käyttäjän tili ja sen oikeudet perustetaan Azure AD määritysten mukaisesti
    • Ainoastaan Spotillan pääkäyttäjätunnuksella kirjaudutaan Spotillan sisäille salasanalla/tunnuksella - muut käyttäjät kirjautuvat SSO:lla.