Hoppa till innehållet
Boka en demo

Microsoft single sign-on, förklarat

Konfigurera single sign-on 7 min läsningUppdaterad 3 dagar sedan

Vad Microsoft (Entra ID) single sign-on är, vilka det gäller, hur det fungerar tillsammans med de andra inloggningsmetoderna, vad anställda ser och hur inloggningen skyddar dina medarbetare.

Single sign-on (SSO) låter dina anställda logga in i CLVR Benefits med det Microsoft-arbetskonto de redan använder för e-post och Microsoft 365, i stället för en inloggningslänk, en engångskod eller ett lösenord. Det är valfritt, ställs in en gång per företag och är kopplat till en enda e-postdomän. Den här artikeln förklarar vad SSO är, vilka det gäller, hur det fungerar tillsammans med de andra inloggningsmetoderna, exakt vad anställda ser och hur inloggningen skyddar dina medarbetare och ditt företag.

Vad anställda ser med SSO

När SSO är aktivt för din domän anger en anställd sin jobbadress på inloggningssidan, och CLVR visar en kort Microsoft-inloggning-notis och en enda knapp, Fortsätt med Microsoft. Inga fält för inloggningslänk, kod eller lösenord visas. Den anställda fortsätter med sitt Microsoft-arbetskonto och hamnar i CLVR Benefits.

Eftersom kontot finns hos Microsoft ser eller lagrar CLVR Benefits aldrig dina anställdas Microsoft-lösenord. Inloggningen sker på Microsofts egna skärmar, och företagets befintliga regler (multifaktorautentisering, villkorsstyrd åtkomst) gäller automatiskt.

Vilka det gäller

SSO ställs in per företag och är kopplat till en e-postdomän, till exempel company.com. Det gäller de anställda vars jobbadress ligger på den domänen:

  • En anställd på SSO-domänen loggar in med Fortsätt med Microsoft.
  • En anställd vars adress ligger på en annan domän ser inte Microsoft-alternativet, utan behåller den metod som gäller för sin adress.
Note.

SSO matchas på e-postdomänen, inte på en namnlista. Alla du lägger till i CLVR Benefits med en adress på den inställda domänen får automatiskt Microsoft-inloggning, utan något extra att aktivera per person.

Hur SSO förhåller sig till de andra inloggningsmetoderna

Medarbetarna väljer aldrig metod själva. Inloggningssidan läser av jobbadressen som var och en anger och erbjuder den första metoden som matchar, med högsta prioritet först, i den här ordningen:

  1. Microsoft single sign-on. Om adressen ligger på den domän ni har konfigurerat för Microsoft-inloggning ser personen aviseringen Microsoft-inloggning och en enda knapp, Fortsätt med Microsoft, och inga andra alternativ.
  2. E-post och lösenord. Om domänen är konfigurerad för lösenordsinloggning (en lista som CLVR underhåller för företag vars e-postsäkerhet blockerar länkar) anger personen ett lösenord efter sin e-postadress.
  3. En inloggningslänk. Alla andra får en inloggningslänk mejlad till sig genom att välja Skicka inloggningslänk. Samma mejl innehåller också en engångskod som går att ange istället.

Microsoft-inloggning vinner alltid där den gäller, så den går före lösenord och inloggningslänk för medarbetare på den konfigurerade domänen.

Vad som händer med de andra alternativen när SSO är på

När SSO är aktivt för en domän tar det helt över för medarbetarna på den domänen. För dem visar inloggningssidan bara aviseringen Microsoft-inloggning och knappen Fortsätt med Microsoft. Inloggningslänken, engångskoden och lösenordsalternativen döljs alla, så det finns ett tydligt sätt att logga in.

Detta påverkar bara medarbetare vars e-postadress ligger på er konfigurerade Microsoft-domän. Alla på en annan domän faller tillbaka på nästa metod som gäller för dem:

  • En inloggningslänk som standard. De väljer Skicka inloggningslänk och öppnar länken från mejlet, eller anger engångskoden i samma mejl.
  • E-post och lösenord, bara om deras domän är konfigurerad för lösenordsinloggning.

Att aktivera Microsoft-inloggning för er huvuddomän lämnar alltså alla andra precis där de var tidigare.

Note.

Att aktivera SSO ändrar inte hur någon utanför er Microsoft-domän loggar in. En konsult eller en kollega på en annan adress använder fortfarande Skicka inloggningslänk (eller ert lösenordsalternativ), och deras förmåner fungerar precis likadant.

Välkomstmejlet följer samma ordning

När en ny medarbetare läggs till skickar CLVR ett Välkommen till CLVR Benefits-mejl med inloggningsinstruktioner. Instruktionerna följer samma prioritet som inloggningssidan, så en ny medarbetare på er Microsoft-domän uppmanas att logga in med sitt Microsoft-arbetskonto, medan alla andra hänvisas till inloggningslänken (eller lösenord, om det är konfigurerat). Ni behöver inte skriva separata instruktioner: välkomstmejlet speglar redan den metod som gäller för var och en.

Om SSO senare tas bort eller ändras

SSO är en inställning per företag som er CLVR-kontakt sköter, inte något ni slår på eller av från webbappen. Om det någon gång tas bort eller konfigurationen ändras faller medarbetarna på den domänen helt enkelt tillbaka på nästa metod som gäller för dem, vanligtvis inloggningslänken. Ingen blir utelåst: deras CLVR-konto och förmåner är oförändrade, det är bara sättet att logga in som flyttas ner till nästa tillgängliga alternativ.

Inloggningen steg för steg

När Microsoft-SSO är aktivt för er domän, så här ser det ut precis för en medarbetare på den domänen, så att du vet vad du ska berätta för teamet:

1

Medarbetaren öppnar inloggningssidan för CLVR Benefits och fyller i sin arbetsmejl i fältet Logga in med e-post. CLVR kontrollerar e-postdomänen medan de skriver, och igen när de fortsätter, så att rätt alternativ visas.

2

Eftersom deras domän har SSO aktiverat visas en informationsruta med rubriken Microsoft-inloggning: "Ditt företag använder Microsoft-inloggning. Klicka på knappen nedan för att logga in med ditt arbetskonto." Knappen Fortsätt med Microsoft visas under rutan.

3

Medarbetaren väljer Fortsätt med Microsoft. CLVR skickar dem till Microsoft för att logga in med arbetskontot och tar dem sedan tillbaka till CLVR Benefits, inloggade.

Vad du berättar för medarbetare

  • Logga in med din arbetsmejl och välj Fortsätt med Microsoft.
  • Du tas till din vanliga Microsoft-inloggning, samma som du använder för mejl och andra arbetsverktyg.
  • Det finns inget extra att ställa in, och inget separat CLVR-lösenord att komma ihåg.

Så fungerar SSO-inloggning och vad den betyder för säkerheten

Bakom knappen Fortsätt med Microsoft ligger Microsofts vanliga OAuth-flöde:

1

Medarbetaren väljer Fortsätt med Microsoft och skickas vidare till Microsoft för att logga in med sitt arbetskonto.

2

Microsoft autentiserar dem (och tillämpar eventuell tvåfaktorskontroll som ditt företag redan kräver) och skickar tillbaka dem till CLVR Benefits med en engångskod (authorization code).

3

CLVR Benefits byter den koden mot en åtkomsttoken hos Microsoft och läser sedan bara medarbetarens e-postadress och namn från Microsoft Graph (behörigheten User.Read).

4

CLVR matchar e-postadressen mot en aktiv medarbetare i ditt företag och skapar CLVR-sessionen. Medarbetaren landar på sin översikt.

Vad CLVR läser och lagrar

  • Vad CLVR läser från Microsoft: medarbetarens e-postadress och visningsnamn, via behörigheten User.Read. Mer än så efterfrågas inte.
  • Vad CLVR aldrig ser: medarbetarens Microsoft-lösenord. Autentiseringen sker helt hos Microsoft, så CLVR Benefits tar aldrig emot, hanterar eller lagrar det.
  • Vad CLVR lagrar åt ditt företag: anslutningsuppgifterna till Microsoft (domän, tenant-ID, client-ID och client secret) som IT anger vid konfigurationen. De förvaras säkert och används endast för att möjliggöra Microsoft-inloggning för din domän.
Note.

Sessionen varar i upp till 24 timmar. Därefter loggar medarbetaren in med Microsoft igen. Däremellan behöver de inte ange något på nytt inne i CLVR.

Vem som släpps in

Inloggningen lyckas bara när allt detta stämmer, så att rätt personer kommer in och ingen annan:

  • Microsoft-kontots e-postadress ligger på den domän ditt företag har konfigurerat för SSO.
  • E-postadressen matchar en aktiv medarbetare i ditt företag i CLVR.
  • Medarbetaren är inte markerad som avslutad.

Om någon kontroll misslyckas blockeras inloggningen och medarbetaren får ett tydligt meddelande i stället för att släppas in. Ett konto på en annan domän, eller ett konto som har lämnat företaget, kan inte logga in.

Integritet och säkerhet

  • Lösenord stannar hos Microsoft, aldrig hos CLVR.
  • Endast den e-postadress och det namn som behövs för att identifiera medarbetaren läses, inget mer.
  • De lagrade Microsoft-uppgifterna förvaras säkert och används bara för att möjliggöra inloggning.
  • CLVR Benefits följer GDPR. För hela bilden, se vår integritetspolicy och vårt Trust Center.

SSO är valfritt

Du måste inte använda SSO. Företag utan SSO loggar som standard in med en inloggningslänk, eller med e-post och lösenord på domäner som är inställda för det. SSO är värt att begära om ditt team redan jobbar i Microsoft 365 och du vill ha en uppsättning inloggningsuppgifter mindre att hålla reda på.

Att aktivera SSO är en engångsinställning. Ditt HR-team startar den tillsammans med din CLVR-kontakt, som skickar en säker, tidsbegränsad inställningslänk till er IT- eller Microsoft 365-kontakt. Er IT-kontakt registrerar en applikation i Microsoft och anger de tekniska uppgifterna på inställningssidan. Ditt HR-team samordnar begäran men hanterar inte inloggningsuppgifterna. När inställningen har sparats kan anställda på domänen logga in med Microsoft direkt. För att komma igång, se hur du begär SSO för ditt företag.

Felsökning

  • En medarbetare på vår domän ser fortfarande inloggningslänken, inte Microsoft-knappen. SSO kanske inte är aktivt än, eller så anger de en annan adress. Kontrollera att adressen ligger på er konfigurerade Microsoft-domän och se sedan "Bekräfta att SSO är aktivt" och "SSO visas inte på inloggningssidan".
  • Någon på en annan domän kan inte använda Microsoft. Det är förväntat. De ska använda Skicka inloggningslänk och öppna länken från sitt mejl, eller ange engångskoden i samma mejl.
  • Inloggningslänkar kommer aldrig fram för en grupp medarbetare. Deras e-postsäkerhet kan hålla tillbaka länkar. Fråga er CLVR-kontakt om den domänen bör flyttas till e-post och lösenord istället.
  • Du vill bekräfta att SSO faktiskt är aktivt. Inloggningssidans beteende är den snabbaste kontrollen: en arbetsmejl på er domän ska bara visa rutan Microsoft-inloggning och Fortsätt med Microsoft. Se "Bekräfta att SSO är aktivt" för hela checklistan.
På den här sidan
Vad anställda ser med SSOVilka det gällerHur SSO förhåller sig till de andra inloggningsmetodernaVad som händer med de andra alternativen när SSO är påVälkomstmejlet följer samma ordningOm SSO senare tas bort eller ändrasInloggningen steg för stegVad du berättar för medarbetareSå fungerar SSO-inloggning och vad den betyder för säkerhetenVad CLVR läser och lagrarVem som släpps inIntegritet och säkerhetSSO är valfrittFelsökning
14 dagars onboarding · live till nästa lönekörning

Inte redo att ansöka?
Vi tar bara ett snack.

30 minuter, ingen säljpresentation, inget behovsmöte. Vi visar dig den riktiga produkten med riktiga siffror från din bransch. Passar det, toppen. Gör det inte, säger vi vem som gör det.

  • Se den riktiga produkten
    Live-app, formad av era data, ingen Loom-inspelning.
  • Era siffror, ingen mall
    Vi modellerar förmånsbesparingen utifrån ert antal anställda och lönenivåer.
  • Ingen säljteater
    Passar vi inte, pekar vi dig mot någon som gör det.
Prata med en grundare

Se vad CLVR Benefits kan göra för ert team.

Dela några detaljer så kommer vi förberedda med siffror från din bransch. Oftast svar inom en arbetsdag.

Genom att skicka in detta formulär godkänner du vår Integritetspolicy och Användarvillkor.