FAQ - Microsoft Entra ID (f.d Azure AD)

Här hittar ni en samling vanligt förekommande frågor som våra kunder ställt om integrationen med med Microsoft Entra ID.

Jag klickade runt lite som admin, men kunde inte hitta någon information hur jag aktiverar Microsoft Entra ID i systemet.

Det stämmer att det inte finns någon aktivering av Microsoft Entra ID i systemet. Kopplingen mot Microsoft Entra ID måste idag aktiveras av AM System. Anledningen till detta är att vi önskar gå igenom hur integrationen fungerar för att undvika problem och missförstånd.

Vilka är systemkraven för att aktivera synkronisering av användare via Microsoft Entra ID?

Detta stöd finns i version 6 av AM System. Om ni idag har version 5 så är ett första steg mot inloggning via Microsoft Entra ID i så fall att uppdatera till version 6. Detta kan ni själva göra genom den "uppgraderingsguide" som finns tillgänglig för alla administratörer i ert system. Med hjälp av guiden kan ni kunna ladda ner en rapport som beskriver hur ert system påverkas av uppgraderingen och på egen hand stega er igenom all information och själva uppgradera till 6.0.

Går det att ha en mixad miljö för inloggning, det vill säga både användare länkade till Microsoft Entra ID och lokala användare i AM system?

Ja, det kan man. Dock kan samma användare inte finnas som både lokal användare AM system och i Microsoft Entra ID. Det vill säga, en användare är antingen en lokal användare eller länkad till Microsoft Entra ID.

Det står att man skall kontrollera dubbletter av e-postadresser innan aktivering av Microsoft Entra ID. Varför det?

Systemet nyttjar användarens e-postadress för att matcha befintliga användare i AM System med Microsoft Entra ID. Användare matchas med användarens mailadress (fältet "E-post / E-mail" i  i AM system) mot User principal name (userPrincipalName) i Microsoft Entra ID. Finns användaren i båda systemen med samma e-postadress så matchas dessa två användare och ärver inställningar och historik. Men, finns det dubbletter av e-postadresser, det vill säga fler än en användare som har samma mailadress så vet inte systemet vilken av användarna som matchningen ska ske mot. Läs mer under rubriken "Matchning av befintliga användare" i vår dokumentation.

Vi använder inte användarens mailadress i User Principal Name. Kan vi använda annat fält för att matcha våra användare?

Nej, i dagsläget kan vi bara använda UPN för att matcha användare. Om ni inte använder användarens mailadress i UPN måste ni istället ändra e-postadress på era befintliga användare i AM System till den UPN som ni använder er av i Microsoft Entra ID för att matchning av befintliga användare ska gå att genomföra.

Kan man skapa lokala användare i systemet med mailadresser till annan domän än den som används i Microsoft Entra ID eller finns det risk för konflikt vid synkroniseringen med Microsoft Entra ID?

Ja, det är inga problem att skapa lokala användare som ligger i AM som har "egna" mailadresser (under förutsättning att det finns lediga licenser såklart). Anledningen till att vi brukar ta upp detta med mailadresser och dubbletter är för att minska risken att flera användare har samma mailadress med domänen som är länkade till Microsoft Entra ID lokalt i systemet, vilket innebär att systemet inte kan para ihop Microsoft Entra ID användare med lokala användare vid första synkroniseringen.   

Kan vi som administrerar användare i AM system se om användaren är en lokal användare eller en användare som är länkad till Microsoft Entra ID?

Ja. Först och främst kan du via Personal » Visa alla ta fram all personal och i sökresultatet därefter se denna information under kolumnen Länkad användare. Informationen Linked Azure AD visas även på personkortet till de användare som är länkade till Microsoft Entra ID. Azure AD Info

Går det på något sätt att söka fram alla användare som har eller inte har koppling till Microsoft Entra ID?

Den funktion som finns idag beskrivs i frågan ovan där kolumen går att sortera. Däremot finns ingen exportfunktion.

Jag har lagt till användare i vårt Microsoft Entra ID, men kan inte se dem i AM System. När synkroniseras användarna och med vilka intervaller?

Så snart en användare givits tillåtelse att använda den application som integrerats med AM System kommer användaren att synkroniseras till AM System. Denna synkronisering sker via SCIM provisioning och sker vanligtvis med intervaller om ca 40 minuter. Det är därför normalt att det tar upp 40 minuter innan nya användare finns i AM System. Använder ni Microsoft on-premise måste ni även räkna in den tid det tar för uppdateringen att nå Microsoft Extra ID.

Vi har ett antal användare i Microsoft Entra ID som vi konfigurerat att få åtkomst till AM System, men alla användare har inte skapats i AM System.

Synkroniseringen mellan Microsoft Entra ID och AM system sker löpande med vissa tidsintervaller. Vanligtvis ska detta inte ta mer än dryga 60 minuter. (Använder ni Microsoft on-premise måste ni även räkna in den tid det tar för uppdateringen att nå Microsoft Extra ID vilket i vissa fall kan ta några timmar.) Om användaren inte skapas kan det bero på att AM System kräver att användaren har både för och efternamn (givenName, surname) angivit i Microsoft Entra ID för att användaren ska skapas. Säkerställ därför att användarna har dessa uppgifter. 

Måste det finnas tillräckligt med licenser när nya användare synkroniseras från Microsoft Entra ID eller kan man lägga till licenser efter att användarna synkroniserats upp?

Aktiveringen och synkroniseringen av användaren kommer inte att misslyckas även om antalet licenser inte är tillräckligt. Men utökas inte licenserna så innebär det att ni inte kommer att kunna göra några ändringar i profilinställningarna, förrän antalet licenser är tillräckligt för att täcka upp för antalet användare. Därför rekommenderar vi att alltid börja med att lägga till antalet licenser innan aktivering av Microsoft Entra ID.

Kan våra användare slippa inloggningssidan nu när vi använder Microsoft Entra ID?

Ja, användare som har är länkade till Microsoft Entra ID kan använda sig av er system URL men lägga till /auth i slutet på adressen (https://*****.amsystem.com/auth) OBS! auth måste skriva med gemener. Har användaren redan autentiserat sig kommer användaren med automatik in direkt i AM System utan att klicka på Logga in med Azure AD  samt ange användarnamn eller lösenord. Har användaren inte autentiserat sig så visas i stället Microsofts webbautentiseringsdialog.
Observera att eftersom AM System är ett webbaserat system krävs det att webbläsaren är medveten om att användaren redan autentiserat sig med Microsoft Entra ID för att användaren ska slippa ange loginuppgifter.

Har ni stöd för Microsoft Entra ID via SAML 2.0?

Idag har vi endast stöd för OAuth och provisioning via SCIM.

Kan vi använda oss av nästlade grupper (grupper i grupper) i för att tilldela användare till application?

Nej, det är inget vi rekommenderar. Microsoft skriver själva: "When you assign a group to an application, only users directly in the group will have access. The assignment does not cascade to nested groups."

Ni har någon guide för hur man sätter upp integration mellan Microsoft Entra ID och AM System?

Ja, här finns en exempelkonfiguration. Observera att detta på inget sätt ska ses som en manual då er setup av Microsoft Entra ID kan se annorlunda ut. 

Har ni någon sammanfattande dokumentation med vilka inställningar som krävs för vår enterprise application i Microsoft Entra ID?

Nedan finns en sammanfattande dokumentation som kan fungera som ett stöd för den som sedan tidigare har goda kunskaper i Microsoft Entra ID.

  • Skapa en enterprise application av typen "Integrate any other application you don't find in the gallery (Non-gallery)"
  • Via Provisioning / Get started:
    • Välj Automatic på fältet "Provisioning Mode" och lägg till adressen https://api.amsystem.com/scim/v2 på "Tenant URL". Secret Token får ni av AM System vid aktiveringstillfället.
    • Avaktivera Provision Azure Active Directory Groups
    • Konfigurera Provision Azure Active Directory Users:
      • Avmarkera Delete på inställningen Target Object Actons.
      • Behåll följande attribut: 
        • userPrincipalName
        • Switch([IsSoftDeleted], , "False", "True", "True", "False")
        • givenName
        • surname
        • mobile - valfritt att behåll om ni önskar skicka med telefonnummer till AM System
        • mail - valfri att använda, men bör användas om er UPN INTE är samma som användarens mailadress
        • mailNickname
      • Byt Azure AD Attributet mailNickname till objectId
      • Era Attribute Mappings bör därefter se ut som nedan:

Attribute Mappings

  • Välja därefter vilka användare som ska få tillgång till applikationen. Starta ej provisioning!
  • Justera Application Permissions och lägga till en Redirect URI (Microsoft Graph och Delegated permissions). Lägg till User.Read och Grant admin consent for Default Directory. Add a Redirect URI och välj Web samt fyll i er systemadress. Välj slutligen endast alternativet Access tokens (used for implicit flows) och spara.

De uppgifter AM System sedan behöver för att integrera AM system med Microsoft Entra ID är:

  • Program-ID (klient)
  • Katalog-ID (klientorganisation)

Är det något annat vi bör tänka på?

Innan funktionen aktiveras i AM System är det att rekommendera att informera användarna och eventuella externa leverantörer om att denna funktion ska implementeras samt vad det i praktiken innebär. Exempelvis att loginfönstret kommer att se lite annorlunda ut och att det till skillnad från tidigare visas upp en separat logindialog där användaren loggar in med sina Microsoft loginuppgifter. För användare som inte är länkade mot Microsoft Entra ID så kan länken "Logga in med local login"användas.

Login1

 

Login2

 

En till viktigt detalj är att se till så att alla användare loggar in i er sajt med den exakta adressen utan extra tillägg efter domänen. Exempelvis fungerar https://abc123.amsystem.com/ bra, men https://abc123.amsystem.com/index.php kommer inte att fungera och ger ett felmeddelande liknande "AADSTS50011: The redirect URI 'https://abc123.amsystem.com/index.php' specified in the request does not match the redirect URIs configured for the application...".

Observera: Vi avråder från att använda "inkognito/InPrivate/privat"-funktionen i webbläsare när Microsoft Entra ID aktiverat då detta medför att loginförfarandet kommer att misslyckas.

Vi har idag en integration med med Microsoft Entra ID och AM System men skall flytta vår tenant till att ingå i en annan tenant. Går denna att flytta och hur gör man i så fall?

Ja, det går att migrera från en tenant till en annan, men det kräver en del manuellt jobb. Vi använder oss av Object-ID för att identifiera befintliga användare och eftersom object-ID inte är samma i befintliga tenant och en ny tenant behöver vi få en export med samtliga användare som ingår i den befintliga applikationen och deras Object-ID samt användarnas nya Object-ID. Därefter måste vi planera in ett möta där vi tillsammans med er genomför migrationen. Konkret innebär detta att ni i samband med mötet måste sätta upp en ny enterprise application samtidigt som vi byter ut användarnas Object-ID i AM System. Detta byte tar vanligtvis ca 1-2 timmar att genomföra och under tiden kommer vi att stänga ned systemet och inga användare kan därför nyttja systemet under denna migrering.

Relaterat innehåll:

Senast uppdaterad:15 juli, 2024