Siirry pääsisältöön
Kaikki kokoelmatKäyttäjähallinta ja Single-Sign-On
Lumoa Single Sign On (SSO) - kertakirjautuminen
Lumoa Single Sign On (SSO) - kertakirjautuminen

Ohjeet kertakirjautumisen asentamiseksi Azure-ympäristössä.

Iana Vesa avatar
Tekijä: Iana Vesa
Päivitetty yli 6 kuukautta sitten

Mitä on SSO?

Single Sign On (SSO) eli kertakirjautuminen on palvelu, joka mahdollistaa kirjautumisen Lumoaan työpaikan sähköpostilla ja hakemistolla (directory). SSO poistaa tarpeen kutsua ihmisiä kirjautumaan Lumoaan erikseen. Yrityksen Azure-hakemistossa olevat käyttäjät voivat siirtyä Lumoan kirjautumissivulle ja päästä välittömästi sisään. Tämä sujuvoittaa kutsuprosessia ja Lumoan käyttöönottoa.

Sen jälkeen, kun SSO:n on asianmukaisesti asennettu ja otettu käyttöön, suosittelemme, että määritätte Azure-ympäristössänne ryhmät ja roolit, jotta tulevat käyttäjät saisivat käyttäjäkohtaiset käyttöoikeudet. Jos sitä ei tehdä, kaikilla Lumoa-tilien käyttäjillä on samat roolit ja oikeudet.

Huomio: SSO:n käyttöönotto on lisämaksullinen palvelu. Lisätietoja antaa Lumoan Customer Success Managerinne. Jos et tiedä kuka on yrityksenne Customer Success Manager, ota yhteyttä osoitteeseen [email protected].

Asennus

1. Kirjaudu osoitteeseen https://portal.azure.com tilillä, jolla on järjestelmänvalvojan oikeudet.

2. Etsi ja avaa "Sovellusrekisteröinnit" (App registrations, osa Azure Active Directorya).

3. Klikkaa "Uusi rekisteröinti", täytä nimi (kuvaava esimerkki: lumoa-nps-dashboard-prod) ja aseta RedirectURI muotoon "https://api.lumoa.me/api/v1/sso/azuread" ja paina "Rekisteröi".

4. Kun sovellus on luotu, kirjoita Yleiskatsaus-osiossa muistiin TenantID ja ApplicationID.

5. Avaa sovelluksen "Todennus" (Authentication) -välilehti ja valitse "ID tokens" kohdassa "Implisiittinen valtuutus" ja klikkaa "Tallenna".

6. Mene kohtaan "Certificates & Secrets" ja luo uusi Client Secret, joka vanhenee 24 kuukauden kuluttua.

7. Kopioi juuri luotu client secret.

Lähetä seuraavat tiedot yrityksenne Lumoan Customer Success Managerille:

  • TenantID

  • ApplicationID (myös staging ApplicationID, jos relevantti)

  • Client secret

  • mitkä domainit SSO:n tulisi kattaa

Siinä kaikki! Lumoa-tiimi hoitaa loput ja ottaa sinuun yhteyttä, kun SSO on aktivoitu 😊

Huomio: Kun SSO on otettu käyttöön, sinun ei enää tarvitse kutsua ihmisiä perustamaan käyttäjätilejä Lumoaan. Pyydä heitä vain siirtymään Lumoan kirjautumissivulle. Kun käyttäjät syöttävät sähköpostiosoitteensa, järjestelmä ohjaa heidät eteenpäin, jos yllä olevat SSO-vaiheet on asennettu oikein (ja jos käyttäjä löytyy hakemistostasi).

SSO-roolien määrittäminen Lumoaa varten

Ilman roolien määrittämistä yrityksen Azure-ympäristössä kaikilla Lumoaan kirjautuvilla on sama peruskäyttäjän rooli, "User". Katso roolien ja käyttöoikeuksien lista tästä.

Jos haluat, että jotkut ihmiset lisätään Lumoa-sovellukseen "Admin" -roolissa, jotta he voivat esimerkiksi ladata dataa tai hallita asetuksia, sinun on suoritettava alla olevat vaiheet, joissa määritetään SSO-roolit.

Huomaa, että kaikki Azure-hakemistossasi luodut ryhmät synkronoituvat Lumoa-palveluun. Tämä tarkoittaa, että jos AD:ssäsi on ryhmä nimeltä "Support Team", jossa on 3 henkilöä, sama ryhmä luodaan Lumoaan samoilla 3 henkilöllä. Lisäksi, jos ryhmää päivitetään AD:ssäsi, muutokset näkyvät Lumoassa.

Tämä mahdollistaa käyttäjiesi näkyvyyden ja toiminnan hallinnan Lumoassa suoraan AD:n kautta. Lisätietoja Lumoa-ryhmistä löydät täältä.

Mene Azure-portaaliisi ja siirry Azure Active Directoryyn. Vasemmasta valikosta valitse Sovellusrekisteröinnit (App registrations), etsi lisäämäsi Lumoa-sovellus ja klikkaa sitä.

  • Valitse vasemmasta valikosta Sovellusroolit ja klikkaa Luo sovellusrooli, ja luo roolit alla olevan kuvakaappauksen mukaisesti. Tärkeä sarake on arvo, sillä niiden on vastattava toisiaan, jotta roolit voidaan oikein yhdistää Lumoa-sovelluksessa ja sallia jäsentyypit. Näyttönimen ja kuvaukset voit määrittää haluamallasi tavalla.

  • Jos sinulla ei vielä ole ryhmiä, joita haluat käyttää Lumoa-sovelluksen rooleihin, mene Azure Active Directoryyn, valitse vasemmasta valikosta Ryhmät ja luo haluamasi ryhmät klikkaamalla Uusi ryhmä. Voit lisätä jäseniä suoraan tai tehdä sen myöhemmin.

  • Palaa nyt Azure Active Directoryyn ja valitse vasemmasta valikosta Yrityssovellukset. Etsi sama sovellusnimi kuin Sovellusrekisteröinnit-kohdassa ja klikkaa sitä.

  • Vasemmalta valikosta pitäisi nyt näkyä kohta Käyttäjät ja ryhmät, klikkaa sitä.

  • Klikkaa lisää käyttäjä/ryhmä.

  • Klikkaa ensin "Ei valittu" kohdassa Käyttäjät ja ryhmät, etsi käyttäjä/ryhmä ja valitse se. Muista klikata "valitse" näytön alareunassa. Klikkaa seuraavaksi "Ei valittu" kohdassa Valitse rooli ja valitse rooli, jonka haluat antaa tälle ryhmälle. Muista taas klikata "valitse" näytön alareunassa. Tämän jälkeen klikkaa "Määritä" -painiketta vasemmassa alakulmassa.

    Huomio: Kun olet luonut nämä roolit, tarkista, että API-oikeuksissa on "openid"-oikeus, ja jos ei ole, myönnä se (katso alla oleva kuva):

Kirjaudu ulos

Huomaa, että Lumoa pyytää päivitetyt käyttäjätiedot 10 minuutin välein. Jos Azure Directory (AD) tunnistaa, että käyttäjä on poistettu käytöstä tai ylläpitäjä peruuttaa heidän käyttöoikeustunnuksensa, käyttäjä kirjataan automaattisesti ulos. Tämä automaattinen uloskirjautuminen koskee vain yrityksiä, jotka ovat antaneet asiakassalaisuutensa Lumoalle.

Ota yhteyttä

📧 Onko sinulla kysyttävää tai kommentteja Lumoa-palvelun käytöstä? Älä epäröi ottaa yhteyttä Lumoa-tukeen sähköpostitse osoitteessa [email protected].

Aiheeseen liittyvät artikkelit
Datan lataus Lumoaan
Käyttäjäroolit ja oikeudet
Havaintojen yhteenvedot UKK
Vastasiko tämä kysymykseesi?