Microsoft single sign-on, förklarat
Vad Microsoft (Entra ID) single sign-on Àr, vilka det gÀller, hur det fungerar tillsammans med de andra inloggningsmetoderna, vad anstÀllda ser och hur inloggningen skyddar dina medarbetare.
Single sign-on (SSO) lÄter dina anstÀllda logga in i CLVR Benefits med det Microsoft-arbetskonto de redan anvÀnder för e-post och Microsoft 365, i stÀllet för en inloggningslÀnk, en engÄngskod eller ett lösenord. Det Àr valfritt, stÀlls in en gÄng per företag och Àr kopplat till en enda e-postdomÀn. Den hÀr artikeln förklarar vad SSO Àr, vilka det gÀller, hur det fungerar tillsammans med de andra inloggningsmetoderna, exakt vad anstÀllda ser och hur inloggningen skyddar dina medarbetare och ditt företag.
Vad anstÀllda ser med SSO
NÀr SSO Àr aktivt för din domÀn anger en anstÀlld sin jobbadress pÄ inloggningssidan, och CLVR visar en kort Microsoft-inloggning-notis och en enda knapp, FortsÀtt med Microsoft. Inga fÀlt för inloggningslÀnk, kod eller lösenord visas. Den anstÀllda fortsÀtter med sitt Microsoft-arbetskonto och hamnar i CLVR Benefits.
Eftersom kontot finns hos Microsoft ser eller lagrar CLVR Benefits aldrig dina anstÀlldas Microsoft-lösenord. Inloggningen sker pÄ Microsofts egna skÀrmar, och företagets befintliga regler (multifaktorautentisering, villkorsstyrd Ätkomst) gÀller automatiskt.
Vilka det gÀller
SSO stÀlls in per företag och Àr kopplat till en e-postdomÀn, till exempel company.com. Det gÀller de anstÀllda vars jobbadress ligger pÄ den domÀnen:
- En anstÀlld pÄ SSO-domÀnen loggar in med FortsÀtt med Microsoft.
- En anstÀlld vars adress ligger pÄ en annan domÀn ser inte Microsoft-alternativet, utan behÄller den metod som gÀller för sin adress.
SSO matchas pÄ e-postdomÀnen, inte pÄ en namnlista. Alla du lÀgger till i CLVR Benefits med en adress pÄ den instÀllda domÀnen fÄr automatiskt Microsoft-inloggning, utan nÄgot extra att aktivera per person.
Hur SSO förhÄller sig till de andra inloggningsmetoderna
Medarbetarna vÀljer aldrig metod sjÀlva. Inloggningssidan lÀser av jobbadressen som var och en anger och erbjuder den första metoden som matchar, med högsta prioritet först, i den hÀr ordningen:
- Microsoft single sign-on. Om adressen ligger pÄ den domÀn ni har konfigurerat för Microsoft-inloggning ser personen aviseringen Microsoft-inloggning och en enda knapp, FortsÀtt med Microsoft, och inga andra alternativ.
- E-post och lösenord. Om domÀnen Àr konfigurerad för lösenordsinloggning (en lista som CLVR underhÄller för företag vars e-postsÀkerhet blockerar lÀnkar) anger personen ett lösenord efter sin e-postadress.
- En inloggningslÀnk. Alla andra fÄr en inloggningslÀnk mejlad till sig genom att vÀlja Skicka inloggningslÀnk. Samma mejl innehÄller ocksÄ en engÄngskod som gÄr att ange istÀllet.
Microsoft-inloggning vinner alltid dÀr den gÀller, sÄ den gÄr före lösenord och inloggningslÀnk för medarbetare pÄ den konfigurerade domÀnen.
Vad som hÀnder med de andra alternativen nÀr SSO Àr pÄ
NÀr SSO Àr aktivt för en domÀn tar det helt över för medarbetarna pÄ den domÀnen. För dem visar inloggningssidan bara aviseringen Microsoft-inloggning och knappen FortsÀtt med Microsoft. InloggningslÀnken, engÄngskoden och lösenordsalternativen döljs alla, sÄ det finns ett tydligt sÀtt att logga in.
Detta pÄverkar bara medarbetare vars e-postadress ligger pÄ er konfigurerade Microsoft-domÀn. Alla pÄ en annan domÀn faller tillbaka pÄ nÀsta metod som gÀller för dem:
- En inloggningslÀnk som standard. De vÀljer Skicka inloggningslÀnk och öppnar lÀnken frÄn mejlet, eller anger engÄngskoden i samma mejl.
- E-post och lösenord, bara om deras domÀn Àr konfigurerad för lösenordsinloggning.
Att aktivera Microsoft-inloggning för er huvuddomÀn lÀmnar alltsÄ alla andra precis dÀr de var tidigare.
Att aktivera SSO Àndrar inte hur nÄgon utanför er Microsoft-domÀn loggar in. En konsult eller en kollega pÄ en annan adress anvÀnder fortfarande Skicka inloggningslÀnk (eller ert lösenordsalternativ), och deras förmÄner fungerar precis likadant.
VÀlkomstmejlet följer samma ordning
NÀr en ny medarbetare lÀggs till skickar CLVR ett VÀlkommen till CLVR Benefits-mejl med inloggningsinstruktioner. Instruktionerna följer samma prioritet som inloggningssidan, sÄ en ny medarbetare pÄ er Microsoft-domÀn uppmanas att logga in med sitt Microsoft-arbetskonto, medan alla andra hÀnvisas till inloggningslÀnken (eller lösenord, om det Àr konfigurerat). Ni behöver inte skriva separata instruktioner: vÀlkomstmejlet speglar redan den metod som gÀller för var och en.
Om SSO senare tas bort eller Àndras
SSO Àr en instÀllning per företag som er CLVR-kontakt sköter, inte nÄgot ni slÄr pÄ eller av frÄn webbappen. Om det nÄgon gÄng tas bort eller konfigurationen Àndras faller medarbetarna pÄ den domÀnen helt enkelt tillbaka pÄ nÀsta metod som gÀller för dem, vanligtvis inloggningslÀnken. Ingen blir utelÄst: deras CLVR-konto och förmÄner Àr oförÀndrade, det Àr bara sÀttet att logga in som flyttas ner till nÀsta tillgÀngliga alternativ.
Inloggningen steg för steg
NÀr Microsoft-SSO Àr aktivt för er domÀn, sÄ hÀr ser det ut precis för en medarbetare pÄ den domÀnen, sÄ att du vet vad du ska berÀtta för teamet:
Medarbetaren öppnar inloggningssidan för CLVR Benefits och fyller i sin arbetsmejl i fÀltet Logga in med e-post. CLVR kontrollerar e-postdomÀnen medan de skriver, och igen nÀr de fortsÀtter, sÄ att rÀtt alternativ visas.
Eftersom deras domÀn har SSO aktiverat visas en informationsruta med rubriken Microsoft-inloggning: "Ditt företag anvÀnder Microsoft-inloggning. Klicka pÄ knappen nedan för att logga in med ditt arbetskonto." Knappen FortsÀtt med Microsoft visas under rutan.
Medarbetaren vÀljer FortsÀtt med Microsoft. CLVR skickar dem till Microsoft för att logga in med arbetskontot och tar dem sedan tillbaka till CLVR Benefits, inloggade.
Vad du berÀttar för medarbetare
- Logga in med din arbetsmejl och vÀlj FortsÀtt med Microsoft.
- Du tas till din vanliga Microsoft-inloggning, samma som du anvÀnder för mejl och andra arbetsverktyg.
- Det finns inget extra att stÀlla in, och inget separat CLVR-lösenord att komma ihÄg.
SÄ fungerar SSO-inloggning och vad den betyder för sÀkerheten
Bakom knappen FortsÀtt med Microsoft ligger Microsofts vanliga OAuth-flöde:
Medarbetaren vÀljer FortsÀtt med Microsoft och skickas vidare till Microsoft för att logga in med sitt arbetskonto.
Microsoft autentiserar dem (och tillÀmpar eventuell tvÄfaktorskontroll som ditt företag redan krÀver) och skickar tillbaka dem till CLVR Benefits med en engÄngskod (authorization code).
CLVR Benefits byter den koden mot en Ätkomsttoken hos Microsoft och lÀser sedan bara medarbetarens e-postadress och namn frÄn Microsoft Graph (behörigheten User.Read).
CLVR matchar e-postadressen mot en aktiv medarbetare i ditt företag och skapar CLVR-sessionen. Medarbetaren landar pÄ sin översikt.
Vad CLVR lÀser och lagrar
- Vad CLVR lÀser frÄn Microsoft: medarbetarens e-postadress och visningsnamn, via behörigheten User.Read. Mer Àn sÄ efterfrÄgas inte.
- Vad CLVR aldrig ser: medarbetarens Microsoft-lösenord. Autentiseringen sker helt hos Microsoft, sÄ CLVR Benefits tar aldrig emot, hanterar eller lagrar det.
- Vad CLVR lagrar Ät ditt företag: anslutningsuppgifterna till Microsoft (domÀn, tenant-ID, client-ID och client secret) som IT anger vid konfigurationen. De förvaras sÀkert och anvÀnds endast för att möjliggöra Microsoft-inloggning för din domÀn.
Sessionen varar i upp till 24 timmar. DÀrefter loggar medarbetaren in med Microsoft igen. DÀremellan behöver de inte ange nÄgot pÄ nytt inne i CLVR.
Vem som slÀpps in
Inloggningen lyckas bara nÀr allt detta stÀmmer, sÄ att rÀtt personer kommer in och ingen annan:
- Microsoft-kontots e-postadress ligger pÄ den domÀn ditt företag har konfigurerat för SSO.
- E-postadressen matchar en aktiv medarbetare i ditt företag i CLVR.
- Medarbetaren Àr inte markerad som avslutad.
Om nÄgon kontroll misslyckas blockeras inloggningen och medarbetaren fÄr ett tydligt meddelande i stÀllet för att slÀppas in. Ett konto pÄ en annan domÀn, eller ett konto som har lÀmnat företaget, kan inte logga in.
Integritet och sÀkerhet
- Lösenord stannar hos Microsoft, aldrig hos CLVR.
- Endast den e-postadress och det namn som behövs för att identifiera medarbetaren lÀses, inget mer.
- De lagrade Microsoft-uppgifterna förvaras sÀkert och anvÀnds bara för att möjliggöra inloggning.
- CLVR Benefits följer GDPR. För hela bilden, se vÄr integritetspolicy och vÄrt Trust Center.
SSO Àr valfritt
Du mÄste inte anvÀnda SSO. Företag utan SSO loggar som standard in med en inloggningslÀnk, eller med e-post och lösenord pÄ domÀner som Àr instÀllda för det. SSO Àr vÀrt att begÀra om ditt team redan jobbar i Microsoft 365 och du vill ha en uppsÀttning inloggningsuppgifter mindre att hÄlla reda pÄ.
Att aktivera SSO Àr en engÄngsinstÀllning. Ditt HR-team startar den tillsammans med din CLVR-kontakt, som skickar en sÀker, tidsbegrÀnsad instÀllningslÀnk till er IT- eller Microsoft 365-kontakt. Er IT-kontakt registrerar en applikation i Microsoft och anger de tekniska uppgifterna pÄ instÀllningssidan. Ditt HR-team samordnar begÀran men hanterar inte inloggningsuppgifterna. NÀr instÀllningen har sparats kan anstÀllda pÄ domÀnen logga in med Microsoft direkt. För att komma igÄng, se hur du begÀr SSO för ditt företag.
Felsökning
- En medarbetare pÄ vÄr domÀn ser fortfarande inloggningslÀnken, inte Microsoft-knappen. SSO kanske inte Àr aktivt Àn, eller sÄ anger de en annan adress. Kontrollera att adressen ligger pÄ er konfigurerade Microsoft-domÀn och se sedan "BekrÀfta att SSO Àr aktivt" och "SSO visas inte pÄ inloggningssidan".
- NÄgon pÄ en annan domÀn kan inte anvÀnda Microsoft. Det Àr förvÀntat. De ska anvÀnda Skicka inloggningslÀnk och öppna lÀnken frÄn sitt mejl, eller ange engÄngskoden i samma mejl.
- InloggningslÀnkar kommer aldrig fram för en grupp medarbetare. Deras e-postsÀkerhet kan hÄlla tillbaka lÀnkar. FrÄga er CLVR-kontakt om den domÀnen bör flyttas till e-post och lösenord istÀllet.
- Du vill bekrÀfta att SSO faktiskt Àr aktivt. Inloggningssidans beteende Àr den snabbaste kontrollen: en arbetsmejl pÄ er domÀn ska bara visa rutan Microsoft-inloggning och FortsÀtt med Microsoft. Se "BekrÀfta att SSO Àr aktivt" för hela checklistan.