SSO og provisjonering

SSO og provisjonering brukes når organisasjonen vil styre identiteter utenfor Utleggsappen, men fortsatt gi brukerne riktig tilgang og opplevelse inne i løsningen.

Hva SSO løser

• brukere logger inn med kjent bedriftskonto
• færre passord- og tilgangsspørsmål
• enklere offboarding og sentral styring

Hva provisjonering løser

• brukere kan opprettes, oppdateres eller deaktiveres fra et sentralt system
• mindre manuelt adminarbeid i Utleggsappen
• riktigere rolle- og tilgangsgrunnlag over tid

Slik går du fram

1. Avklar om dere bare trenger SSO, eller både SSO og provisjonering.
2. Bestem hvilken identitetsleverandør som er kilden til sannhet.
3. Kartlegg hvilke brukere som allerede finnes i Utleggsappen.
4. Test innlogging og brukeropprettelse med et lite antall personer.
5. Verifiser at riktig organisasjon, rolle og konto faktisk blir opprettet eller koblet.

Kort sjekkliste før dere begynner

• hvem eier brukerlivssyklusen hos dere?
• hvilke attributter skal brukes til matching?
• hvordan håndteres brukere som allerede finnes?
• skal roller styres fullt ut eksternt, eller bare delvis?

Viktige avklaringer før oppsett

• hvem som er identitetskilde
• hvilke attributter som er autoritative
• om roller bare skal styres i identitetsleverandøren eller også lokalt
• hvordan eksisterende brukere skal matches med nye SSO-identiteter

Vanlige fallgruver

• brukere blir opprettet dobbelt fordi matchnøkler er uklare
• SSO virker, men mangler organisasjonstilknytning
• provisjonering deaktiverer brukere raskere enn organisasjonen forventer

Tegn på at oppsettet fungerer

• brukeren kommer inn uten manuell støtte
• riktig organisasjon vises med én gang
• brukeren får riktig rolle og menytilgang
• avsluttede brukere mister tilgang som forventet

SSO-providere som støttes

Provider	Protokoll	Provisjonering
Microsoft Entra ID	OIDC / SAML	SCIM
Google Workspace	OIDC	SCIM (begrenset)
Apple	OIDC	— (kun innlogging)
Vipps	OIDC	— (kun innlogging)
Okta	SAML	SCIM
JumpCloud, OneLogin m.fl.	SAML	SCIM

For konfigurasjon av SCIM (inkludert hvordan attributter mappes og hvordan roller settes), se SCIM-referanse.

Matching og roller — slik fungerer det faktisk

• Matching av eksisterende brukere skjer på userName / e-post. Det er ikke konfigurerbart.
• Roller styres av SCIM-attributtet roles (Admin eller User) — ikke av gruppe-medlemskap. IdP-en din må sende roller eksplisitt.
• Avdeling settes via SCIM enterprise-extension department (format "<nummer> <tittel>").

Se også

• SCIM-referanse
• Brukere, roller og invitasjoner
• API og autentisering