Integrera AM System med Microsoft Entra ID (f.d Azure AD)

Integrationen av Microsoft Entra ID (f.d Azure AD) möjliggör central administration av användaruppgifter och lösenord samt underlättar skapande och underhåll av användare i AM System.

Observera att denna funktion är en tilläggstjänst som ingår i vissa prisplaner, men kan också köpas separat. Kostnaden är då 350 SEK / månad och registreras på kommande faktura.

Om du har frågor om din prisplan, vänligen kontakta sales@amsystem.com.

  • Denna artikel gäller endast version 2 av vår integration med Microsoft Entra ID som bygger på SCIM och OAuth. Använder ni vår gamla integration (version 1) och har frågor eller önskar uppgradera till version 2, är ni välkomna att kontakta vår support.
  • Förutsättning för att kunna aktivera Microsoft Entra ID-integrationen är att ni använder tjänsten Microsoft Entra ID samt version 6 av AM System.  

 

Inledning

Integrationen med Microsoft Entra ID som AM System utvecklat har två funktioner: 

  1. Autentisering för att säkerställa att användaren har rätt att logga in - Single Sign-On (SSO).
  2. Synkroniseringsfunktion av användardata.

Anledningen att integrationen inte bara används för att autentisera användare, är att AM System förutsätter att det finns information om vilka användare som är aktiva i systemet. Det krävs för att administratörer bland annat ska ges möjlighet att konfigurera vem som kan se och göra vad i AM system.

Den information som måste synkroniseras från Microsoft Entra ID och lagras i AM System är "givenName", "surname", "User Principal Name" samt "Object-ID" och dessa uppgifter kan inte ändras i AM System. Detta eftersom synkroniseringen är enkelriktad och endast sker från Microsoft Entra ID till AM System. Utöver ovan nämnda attribut har vi även stöd för att synkronisera "mobile" samt "mail" för kunder som inte har mailadressen i UPN.

Observera❗

  • AM System kräver att användaren i Microsoft Entra ID har data i båda fälten "givenName" och "surname", annars kommer användaren inte att synkroniseras!
  • Användarnas lösenord synkroniseras INTE till AM System och AM System kan därför aldrig se eller ändra dessa lösenord!

Matchning av befintliga användare

Efter aktivering av Microsoft Entra ID-integrationen kommer systemet försöka para ihop befintliga lokala användare i AM System med användare från Microsoft Entra ID. Denna matchning görs vanligtvis via användarens User principal name i Microsoft Entra ID och fältet E-post och syftet är att behålla användarens historik och konfiguration i AM System, så som profiltillhörighet m.m.

Så snart en matchning sker kommer den lokala användaren i AM System att konverteras och kan inte längre logga in på traditionellt vis, utan måste därefter autentiseras via Microsoft Entra ID. Det går inte att konvertera en Microsoft Entra ID användare tillbaka till en lokal användare. 

Notera. Systemet försöker endast matcha användaren en gång, och om ingen matchning hittas kommer en ny användare istället att skapas i AM System. Därefter sker synkronisering av användardata via Object-ID.

Risk för dubletter

Om en användare inte paras ihop med en befintlig användare kan det bero på:

  • Olika mailadresser i fältet E-post i AM System vs User principal name i Microsoft Entra ID.
  • Avsaknad av mailadress i fältet E-post i AM System.
  • Dubbletter av mailadress. (dvs samma adress finns på flera användare vilket orsakar att systemet inte vet vilken användare som ska paras ihop.)

Om avsikten var att användaren skulle matchas, kommer detta resultera i att det finns dubbletter av användare i systemet eftersom både den befintliga lokala användaren och den nya användaren kommer att finnas i systemet.

Om ni får dubbletter i ert system finns det tyvärr inget sätt för er att para ihop dessa användare och därför är det viktigt att se över era användares e-postadresser innan aktivering. Uppstår det dubbletter måste ni kontakta vår support med en lista på vilka användare som ska slås ihop. 

Tips: För att säkerställa att alla era befintliga användare har en giltig och unik mailadress, kan ni med fördel göra en export av alla AM System-användare enligt dessa instruktioner. Med hjälpa av exporten kan ni därefter säkerställa att alla användare har rätt mailadress och att adressen är unik, samt med fördel dela exporten med IT för att säkerställa att användarnas e-post adress är densamma som användarnas "User principal name" i Microsoft Entra ID.

Nya användare

Användare som inte matchas mot en befintlig användare kommer att skapas i AM System och tilldelas då den standardprofil som ni meddelat oss i samband med er beställning av Microsoft Entra ID-integrationen samt ert standardworkspace. Denna profil kan därefter bytas till annan profil i AM System av behörig användare.

Radera användare

Det är inte möjligt att radera en användare i AM System som är kopplad till Microsoft Entra ID. (Se artikel FAQ - Microsoft Entra ID för instruktioner om hur du kan se om användaren är kopplad till Microsoft Entra ID). För att radera en sådan användare måste användaren raderas, avaktiveras, eller tas bort från den grupp i Microsoft Entra ID som definierar att användare har åtkomst till AM System.

Detta gäller även användare som från början skapats som lokala användare och som därefter konverterats till en Microsoft Entra ID-användare. Med andra ord behöver ni inte hålla reda på om användaren först skapades som lokal användare och sedan konverterades till Microsoft Entra ID, eller om användaren skapades direkt via Microsoft Entra ID. 

Notera: Om en användare tas bort och återförs i Microsoft Entra ID inom 60 dagar med samma "Object-ID" (i Microsoft Entra ID) så återfår användaren sin användarhistorik i AM System, inklusive den profil och Workspace som användaren hade. Återförs en användare efter 60 dagar så skapas en helt ny användare och därmed återfår användaren INTE sin användarhistorik och tilldelas då stället den standardprofil som ni meddelat oss i samband med aktivering samt systemet standardworkspace. 

Så snart en användare raderas i AM System så frigörs licenser motsvarande de licenser användaren hade tillgång till.

Begränsningar

  • Observera att användare som är länkade till vår tjänst AM Account - account.amsystem.com inte kan matchas och därmed inte länkas till Microsoft Entra ID. Denna tjänst används vanligast av avtalsägare. Om ni avser att även denna/dessa användare ska hanteras via Microsoft Entra ID måste användaren först ta bort sin länkning. Läs mer här om hur detta går till.
  • Användare som är kopplade till Microsoft Entra ID tar inte hänsyn till funktionen Autentisering som finns i AM System. Det innebär att dessa användare, till skillnad från lokala användare, exempelvis kan läskvittera eller publicera dokument utan att återautentisera sig trots att funktionen är aktiv.

Licenser

Innan aktivering bör antal licenser finnas med god marginal. Precis som med lokala användare, så hanteras licenser separat och antalet licenser justeras inte med automatik när ni lägger till eller tar bort användare. Justering av antalet licenser hanteras av en administratör i ert system under Administratör » Avtal » Uppgradera licens, eller av avtalsägaren via account.amsystem.com.


Beställning

För att beställa Microsoft Entra ID-integrationen fyller ni i formuläret som finns via länken nedan. Vi återkommer därefter till er kontaktperson för att tillsammans boka ett första möte innan integrationen kan aktiveras.

Önskar ni aktivera denna funktion i ert konto, beställ här


Aktivering

Informationsmöte

När vi har mottagit er beställning genom formuläret ovan kommer vi att kontakta er för ett första möte som varar i cirka 45 minuter. Det är viktigt att minst en ansvarig administratör för er sajt deltar vid detta möte. Om ni önskar kan ni även inkludera en lämplig IT-ansvarig i mötet, men det är inte nödvändigt för vår del. Vid detta möte kommer vi att diskutera följande punkter:

  • Matchning av befintliga användare, och vikten av att se över användarnas e-postadresser.
  • Microsoft Entra ID-användare vs. lokala användare (leverantörer, gäster m.m).
  • Användare som ska matchas bör inte vara inloggade när matchning sker.
  • Skapa grupp för att avgränsa användare. (Om ni använder MS on-premises bör ni skapa gruppen lokalt innan aktiveringstillfället)
  • Nya användare (som inte matchas med befintliga användare).
    • Standardprofil
    • Standardworkspace
    • Kompletta användaruppgifter (kräver både för och efternamn)
  • Avtalsägare med länkat AM Account konto (Se artikel för att plocka bort kopplingen).
  • Ny login-dialog och nytt login-förfarande (för de flesta nytt lösenord).
  • Vikten av att ha tillräckligt med licenser och hur de hanteras.
  • Använder ni fler än en domän/adress för att nå er sajt?
  • Använder ni funktionen "Autentisering"?
  • Dokumentation till IT - Inställningar av "enterprise application", SCIM och OAuth
  • Övriga frågor.

Avslutningsvis planerar vi tillsammans in när nästa möte för konfiguration och aktivering ska ske, samt vilka som ska medverka. Vid detta möte är det viktigt att minst en lämplig IT-ansvarig deltar som har rätt att konfigurera upp en ny "enterprise application".

Aktiveringsmöte

Under aktiveringsmötet (som varar cirka 45 minuter) kommer vi att tillsammans med er skapa en "enterprise application" och aktivera integrationen. Ni kommer att få den "Token" som behövs för att integrationen ska fungera, och ni meddelar oss följande information..

Program-ID (klient) [eng: Application (client) ID], Katalog-ID (klientorganisation) [eng: Directory (tenant) ID].

Tillsammans säkerställer vi sedan att integrationen fungerar.

Relaterat innehåll:

Senast uppdaterad:15 juli, 2024