Oppsett av Single Sign-On (SSO) med SAML 2.0 for Microsoft Entra ID <-> FAMAC

🎯 Før vi dykker ned i tekniske detaljer:

Dette er som å bygge en LEGO Death Star - det krever litt tålmodighet og presisjon, men vi tar det steg for steg sammen! 🚀

🔗 Generell SAML-guide: Oppsett av Single Sign-On (SSO) med SAML 2.0 i FAMAC

Hvis du bruker Microsoft Entra ID (tidligere Azure AD) som din identitetsleverandør (IdP), følger du denne guiden for å sette opp SAML SSO-integrasjonen med FAMAC.

Krav før oppstart

Før du setter opp SAML SSO med Entra ID, må du ha:

✅ Verifisert domenet ditt i FAMAC. Les hvordan her: Domeneverifikasjon

✅ Administratorrettigheter i Microsoft Entra ID

✅ Rolle Byggeieradmin i FAMAC

1. Opprette en ny SAML-applikasjon i Microsoft Entra ID

1. Logg inn på Microsoft Entra ID (entra.microsoft.com)
2. Gå til Enterprise applications > New application
3. Klikk på Create your own application, gi den et navn (f.eks. “FAMAC SSO”), og velg Integrate any other application you don’t find in the gallery (Non-gallery)
4. Når applikasjonen er opprettet, gå til Single sign-on > SAML

📌 Hold dette vinduet åpent – du skal snart kopiere verdier fra FAMAC.

• Under punkt 4. "Set up {your-app-name} SSO"

Microsoft Entra ID SSO setup screen showing Login URL, Identifier, and Logout URL fields needed for FAMAC configuration.

• Under punkt 3. “SAML Signing Certificate” > Last ned “Base64 certificate"

Screenshot showing the SAML Signing Certificate section in Microsoft Entra ID, displaying certificate details and download options including the Base64 certificate download feature.

2. Opprette SAML-konfigurasjon i FAMAC

1. Logg inn i FAMAC (famacweb.no)
2. Gå til Grunninnstillinger > Sikkerhet > SAML og klikk Ny konfigurasjon

3. Fyll inn følgende:

   • Navn på konfigurasjonen: (f.eks. “Microsoft innlogging”)
   • Domene: Velg domenet som er verifisert
   • Navn på SSO-knapp: (Eksempel: “Logg inn med Microsoft”)
   • Login URL: (”Login URL” kopieres fra Entra ID)
   • Entity ID: (”Microsoft Entra Identifier” kopieres fra Entra ID)
   • Logout URL: (”Logout URL” kopieres fra Entra ID)
   • X.509-sertifikat: (”Certificate (Base64)” lastes ned fra Entra ID, åpnes i teksteditor, og innholdet kopieres og limes inn. Husk å fjerne eventuelle mellomrom før og etter teksten.)
   • NameID format: Unspecified

   

   The screenshot shows the SAML configuration form in FAMAC with fields for setting up Single Sign-On.

4. Klikk Lagre, men ikke aktiver ennå.

5. Klikk på navnet til konfigurasjon

   

   The screenshot shows a SAML configuration page in FAMAC with various fields and settings for Microsoft login integration. It displays configuration details, including Entity ID, ACS URL, Login URL, Relay State, and other SAML-specific parameters required to set up Single Sign-On with Microsoft Entra ID.

3. Legg inn Basic SAML Configuration i Entra ID

1. Gå til Single sign-on > SAML og klikk Edit.
2. Legg til Identifier (Entity ID):
   1. Klikk på “Add identifier”.
   2. I FAMAC, åpne SAML configuration.
   3. Kopier Entity ID (øverst på siden) fra FAMAC og lim det inn som Identifier i Entra ID.
3. Legg til Reply URL (Assertion Consumer Service URL):
   1. Klikk på “Add reply URL”.
   2. Kopier ACS URL fra FAMAC og lim det inn som Reply URL i Entra ID.
4. Legg til Sign on URL (valgfritt):
   1. Kopier Login URL fra FAMAC og lim det inn som Sign on URL i Entra ID.
5. Legg til Relay State (valgfritt):
   1. Kopier Relay State fra FAMAC og lim det inn som Relay State i Entra ID.
6. Legg til Logout URL (valgfritt):
   1. Kopier Logout URL fra FAMAC og lim det inn som Logout URL i Entra ID.

7. Klikk Save øverst på siden i Entra ID for å lagre endringene.

   

   The screenshot shows the Basic SAML Configuration section in Microsoft Entra ID (formerly Azure AD), where administrators configure essential SAML SSO settings, including Identifier, Reply URL, and more.

4. Konfigurere Attributes & Claims i Entra ID

For at FAMAC skal gjenkjenne brukere riktig, må NameID settes opp med ObjectID:

1. Gå til Attributes & Claims > Klikk Edit

2. Under Unique User Identifier (Name ID):

   • Endre Name identifier format til “Unspecified”
   • Endre Source attribute til “user.objectid”

   

   This image shows the settings for “Name identifier format” and “Source attribute” in Microsoft Entra ID.

💡 Hvorfor?

• user.objectid er en unik og uforanderlig identifikator, som sikrer at brukere gjenkjennes selv om e-post eller navn endres.
• Unspecified gir fleksibilitet og unngår kompatibilitetsproblemer med faste formater som e-post eller Windows-brukernavn.

5. Legge til påkrevde attributter i Entra ID

FAMAC krever minimum navn og e-post for at brukere skal opprettes og oppdateres riktig.

1. Gå til Attributes & Claims vurder eksisterende verdier under “Additional claims” eller legg til nye ved å klikke Add new claim

2. Legg inn følgende verdier:

   Name	Namespace	Source	Source attribute
   givenname	(tomt)	Attribute	user.givenname
   surname	(tomt)	Attribute	user.surname
   emailaddress*	(tomt)	Attribute	user.userprincipalname
   emailaddress*	(tomt)	Attribute	user.mail

   • Stjerne på emailaddress indikerer at userprincipalname eller mail må velges og brukes som e-postadresse. Verdien som velges må matche e-postadressen som er registrert på brukeren i FAMAC.

   

   Screenshot showing attribute settings in Microsoft Entra ID, where standard user attributes such as email, first name, last name, and username are configured for SAML authentication.

💡 Viktig

• Namespace for hver attributt skal være tom. Husk å fjern standard verdien som Entra ID legger til.
• For eksisterende brukere må epost som deles fra Entra ID matche eksisterende epost registrert i Famac
• I noen Entra ID-oppsett er user.userprincipalname ofte brukt som e-post og matcher det som er registrert i Famac, mens i andre tilfeller er dette kun et brukernavn og user.mail vil være mer rett å bruke.
• Andre attributter er også tilgjengelig - se hvilke ved å klikke på "Ny mapping" i Famac.

6. Mapping av brukerdata i FAMAC

For at brukere skal få riktig navn og e-post i FAMAC, må du sette opp Attribute Mapping:

1. Gå til Grunninnstillinger > Sikkerhet > SAML
2. Klikk på Handlinger (tre prikker) > Mappings

3. Klikk Ny mapping, og legg inn følgende:

   1. FAMAC: Name
   2. IDP Field: givenname
   3. Klikk + knappen til høyre
   4. Deretter IDP Field: surname
   5. Klikk + knappen til høyre igjen
   6. Klikk Lagre

   

   Example of name mapping setup in FAMAC SAML configuration, where the first name and last name are combined to form the user’s full name.

4. Klikk Ny mapping, og legg inn følgende:

   1. FAMAC: E-mail
   2. IDP Field: emailaddress
      1. Or name if user.userprincipalname is the same as E-mail in Famac
   3. Klikk + knappen til høyre
   4. Klikk så Lagre

   

   Screenshot showing the setup of email and name attribute mapping in the FAMAC SAML configuration. The mapping links FAMAC fields to the corresponding IdP fields from Microsoft Entra ID.

💡 Attributter blir kun oppdatert i FAMAC ved innlogging hvis "Sync user attributes from IdP" er aktivert i SAML-konfigurasjonen.

7. Aktivere og teste SSO

1. Gå til Sikkerhet > SAML i FAMAC
2. Klikk på Handlinger > Aktiver
3. Test innlogging fra Entra ID ved å går til Enterprise applications > Single sign-on > Single sign-on
   • Entra ID har en “Test single sign-on”-knapp øverst og nederst på siden.

📌 Viktig: Når alt fungerer som det skal, kan du vurdere å aktivere "Enable SSO enforcement" på domenet i Famac. Dette vil kreve SSO-pålogging for alle brukere (Famac-passord blir deaktivert). Sørg for å teste grundig først og verifiser at alle har tilgang før du aktiverer denne innstillingen..

🎉 Gratulerer!

Hvis du har kommet hit og alt fungerer, fortjener du en high-five! 🖐️ Du har nettopp fullført et teknisk maraton som ville fått selv en IT-guru til å svette litt.

Du kan nå stolt si at du har mestret kunsten å koble sammen systemer som snakker SAML som er omtrent like imponerende som å få en pingvin til å danse samba! 🐧

⚠️ Merk: Entra ID er i kontinuerlig utvikling

Microsoft oppdaterer jevnlig brukergrensesnittet i Entra ID. Dette betyr at menyer, knapper og skjermbilder kan avvike noe fra det som er vist i denne guiden. Hovedprinsippene og feltene som skal fylles ut forblir de samme, men plasseringen og utseendet kan variere.

Hvis du oppdager betydelige endringer eller har problemer med å finne frem, ikke nøl med å kontakte support for oppdatert veiledning.

💭 Støtte på noen utfordringer underveis?

Vi er her for å hjelpe! Kontakt support så hjelper vi deg videre 🤝 📬

📝 Fungerte guiden for deg?

Vi setter stor pris på tilbakemeldinger - både positive og konstruktive! La oss vite om noe kunne vært tydeligere eller om du savner informasjon, så kan vi forbedre guiden for andre. Send gjerne en henvendelse til support 📨📬

❓ Ofte stilte spørsmål (FAQ)

• Kan vi teste SSO-oppsettet før vi aktiverer det for alle brukere?

  Delvis. Når SSO-integrasjonen er aktivert, vil den være synlig i innloggingsbildet for alle brukere med det aktuelle domenet. Men du kan aktivere integrasjonen, teste med utvalgte brukere, og deaktivere igjen før du aktiverer "SSO enforcement" for hele domenet. Dette muliggjør en kontrollert testfase.

• Kan vi ha både SSO og vanlig pålogging samtidig?

  Ja, med mindre "Enable SSO enforcement" er aktivert på domenet. Dette gir mulighet for en gradvis overgang til SSO der brukere kan teste før full utrulling.

• Hva skjer med eksisterende brukere når vi aktiverer SSO?

  Eksisterende brukere beholder sine kontoer, men må bruke SSO for pålogging hvis det er påkrevd. Deres Famac-passord blir deaktivert når "SSO enforcement" er aktivert.

• Hvorfor får jeg "User not found" når jeg prøver å logge inn?

  Dette skjer vanligvis når e-postadressen i Entra ID ikke matcher den som er registrert i FAMAC. Sjekk at attributt-mappingen er korrekt og at riktig e-postfelt (user.mail eller user.userprincipalname) brukes.

• Hva gjør jeg hvis brukere ikke får oppdatert informasjon fra Entra ID?

  Verifiser at "Sync user attributes from IdP" er aktivert i SAML-konfigurasjonen i Famac og at alle nødvendige attributter er riktig mappet. Brukere må logge inn på nytt for at endringer skal tre i kraft.

• Hvorfor må vi bruke ObjectID som NameID?

  ObjectID er en unik og permanent identifikator som ikke endres selv om brukerens e-post eller navn endres. Dette sikrer stabil brukeridentifikasjon over tid.

• Kan vi ha flere SAML SSO-integrasjoner samtidig?

  Ja, FAMAC støtter flere samtidige SAML SSO-integrasjoner. Dette er nyttig for organisasjoner som bruker ulike identitetsleverandører for forskjellige brukergrupper.

• Hva skjer hvis SSO-tjenesten er nede?

  Det anbefales å ha en backup-administrator med lokalt FAMAC-passord på et annet domene som kan deaktivere SSO midlertidig hvis det oppstår problemer med identitetsleverandøren. Dette er viktig siden SSO enforcement legges på domenenivå.

• Hvordan fungerer SSO med mobilapplikasjonen?

  FAMAC mobilapp bruker samme SSO-innlogging som web-versjonen. Når SSO er aktivert, vil brukere kunne logge inn på mobilappen med samme påloggingsmetode. Alle SSO-innstillinger og begrensninger gjelder også for mobilappen.

• Hvordan håndterer vi eksterne konsulenter/midlertidige brukere med SSO?
  • Hvis de har e-postadresser fra et annet domene enn det som er konfigurert med SSO, kan de fortsatt bruke standard FAMAC-pålogging.
  • Hvis de bruker e-postadresser fra ditt SSO-konfigurerte domene, må de opprettes som brukere i Entra ID.

• Hva er forskjellen mellom SAML SSO og andre autentiseringsmetoder?

  SAML SSO er en standardisert, sikker autentiseringsmetode som tilbyr flere fordeler sammenlignet med andre metoder:

  • 🔐 Økt sikkerhet: Brukerinformasjon overføres kryptert og signert
  • 🔑 Single Sign-On: Brukere trenger kun å logge inn én gang for tilgang til flere tjenester
  • ⚡️ Sentralisert brukerhåndtering: Enklere administrasjon av brukerkontoer og tilganger
  • 📱 Bred støtte: Fungerer på tvers av plattformer og enheter

  Andre metoder som OAuth2 eller OpenID Connect kan være enklere å implementere, men SAML er ofte foretrukket i enterprise-miljøer på grunn av sikkerhet og funksjonalitet.

• Hva er Just-in-time (JIT) user provisioning og hvordan fungerer det?

  Just-in-time user provisioning er en funksjon som automatisk oppretter en ny bruker i FAMAC første gang de logger inn via SSO, hvis brukeren ikke eksisterer fra før.

  • Når denne funksjonen er aktivert, vil nye brukere automatisk bli opprettet ved første pålogging
  • Brukeren blir opprettet uten noen spesifikke rettigheter eller roller
  • Den nye brukeren vil være synlig under "Ingen roller definert" i Grunninnstillinger > Brukere
  • En administrator må manuelt tildele nødvendige roller og rettigheter til den nye brukeren

  Dette forenkler prosessen med å legge til nye brukere, men krever fortsatt aktiv oppfølging fra administrator for å sikre riktig tilgangsstyring.

• Kan vi deaktivere SSO etter at det er aktivert?

  Ja. Du kan deaktivere SAML-konfigurasjonen i FAMAC ved å gå til Sikkerhet > SAML og velge "Deaktiver". Alternativt kan du eller deaktivere "Enable SSO enforcement" under Sikkerhet > Domener for å gjenopprette vanlig innlogging.

• Hva skjer hvis vi aktiverer "Enable SSO enforcement"?

  Når "Enable SSO enforcement" aktiveres:

  • Alle brukere med e-postadresser i det aktuelle domenet må bruke SSO for å logge inn
  • Vanlig FAMAC-passord blir deaktivert for disse brukerne
  • Brukere kan ikke lenger velge mellom SSO og standard pålogging
  • Brukere med e-postadresser på det SSO-konfigurerte domenet som ikke er opprettet i Entra ID vil miste tilgang til FAMAC. Brukere på andre domener påvirkes ikke.

  ⚠️ Viktig: Test grundig med et utvalg brukere før du aktiverer denne innstillingen for hele organisasjonen.

💡 Tips: Denne FAQ-en oppdateres jevnlig basert på tilbakemeldinger fra kunder. Har du et spørsmål som ikke er besvart her? Ta kontakt med support!