Problem med Microsoft-inloggning (SSO)
Alla fel vid Microsoft-inloggning på ett ställe: inte konfigurerad, något gick fel, en utgången setup-länk, en domän som inte stämmer, inget konto hittades, knappen som inte syns, en avslutad anställd som blockeras och personer på en annan domän.
Microsoft single sign-on (SSO) kan misslyckas på flera ställen, och meddelandet på skärmen avslöjar inte alltid vilket. Den här artikeln samlar varje problem med Microsoft-inloggning på ett ställe: hitta symtomet som matchar det medarbetarna ser och följ sedan lösningen för just det. De flesta problem reds ut antingen i företagets Microsoft-appregistrering (Entra ID) eller i den anställdas post i HR-delen, inte genom att försöka logga in igen.
Microsoft-inloggning är inte konfigurerad för ditt företag
Om en medarbetare försöker logga in med Microsoft och ser Microsoft-inloggning är inte konfigurerad för ditt företag. Kontakta din IT-administratör. kunde CLVR inte hitta en komplett och aktiv Microsoft-inloggning som matchar medarbetarens e-postdomän.
CLVR visar det här felet när det inte kan matcha medarbetarens e-postdomän mot en färdig konfiguration. För att en konfiguration ska räknas som klar måste allt nedan stämma:
- Microsoft-inloggning är påslagen för företaget.
- Den sparade konfigurationen har ett klient-ID, ett tenant-ID, en klienthemlighet och en domän.
- Den sparade domänen matchar exakt det som står efter
@i medarbetarens e-postadress.
Om något av detta saknas eller inte stämmer behandlar CLVR företaget som ej konfigurerat för den domänen och visar felet i stället. Det finns tre vanliga orsaker:
- Konfigurationen blev aldrig klar. Er IT-kontakt fick installationslänken men slutförde inte formuläret, så ingen konfiguration sparades.
- De sparade uppgifterna är ofullständiga. Konfigurationen påbörjades men ett av värdena (klient-ID, tenant-ID, klienthemlighet eller domän) lämnades tomt, så konfigurationen går inte att använda.
- Domänen stämmer inte. Domänen som angavs vid installationen skiljer sig från domänen i de berörda medarbetarnas e-postadresser, till exempel en konfiguration sparad för
foretag.commedan personalen loggar in med@foretag.se.
En felaktig eller felmatchad domän ser likadan ut för medarbetarna som om ingen konfiguration alls fanns: båda ger meddelandet om att inloggningen inte är konfigurerad. Så en till synes färdig konfiguration kan ändå utlösa felet om domänen inte matchar adresserna folk faktiskt loggar in med.
Så här löser ni det:
Bekräfta att konfigurationen blev klar. Stäm av med er CLVR-kontakt (eller IT-kollegan som skötte det) att installationsformuläret för Microsoft-inloggning faktiskt slutfördes och sparades, inte bara öppnades.
Kontrollera domänen som finns sparad. Jämför domänen som angavs vid installationen med den verkliga e-postdomän som de berörda medarbetarna använder för att logga in. De måste matcha exakt.
Gör om konfigurationen om något värde saknas. Klient-ID, tenant-ID, klienthemlighet och domän sparas tillsammans, så en halvfärdig konfiguration kan inte lagas fält för fält. Be er CLVR-kontakt om en ny installationslänk och låt ert IT-team ange alla fyra värdena på nytt i ett svep.
Bekräfta att det är aktivt. När konfigurationen är sparad med rätt domän, låt en medarbetare på den domänen testa Microsoft-inloggningen.
Ingen blir utelåst medan detta åtgärdas. Medarbetare på den berörda domänen kan fortfarande logga in med en inloggningslänk som mejlas till dem (med en engångskod i samma mejl), eller med e-post och lösenord om ert företag är konfigurerat för lösenordsinloggning. Inloggningssidan känner av rätt reservmetod automatiskt så snart de anger sin jobbadress.
Något gick fel med Microsoft-inloggningen
När en medarbetare försöker logga in med Microsoft och inloggningen inte kan slutföras visar CLVR Benefits Något gick fel med Microsoft-inloggningen. Försök igen. Det är medvetet ett generellt meddelande: flera olika problem visar sig på samma sätt, och nästan alla löses i företagets Microsoft-appregistrering (Entra ID) snarare än i CLVR.
Meddelandet visas så fort Microsoft-steget i inloggningen inte kan slutföras. Det kan inträffa på tre ställen: Microsoft avvisar förfrågan innan den når CLVR (till exempel en omdirigering som inte stämmer eller en behörighet som saknas); CLVR tar emot inloggningen men kan inte växla in den hos Microsoft mot en access-token (till exempel för att klienthemligheten är fel eller har gått ut); eller token fungerar, men CLVR kan inte läsa medarbetarens profil från Microsoft (anropet till User.Read misslyckas). Alla tre hamnar på samma skärm, så meddelandet i sig avslöjar inte vilket av dem det var.
De allra flesta fall handlar om någon av dessa tre orsaker:
- Omdirigerings-URI:n stämmer inte. Omdirigerings-URI:n som är registrerad i Azure måste matcha den CLVR använder exakt, tecken för tecken. Ett stavfel, en saknad sökväg eller ett extra avslutande snedstreck räcker för att Microsoft ska avvisa förfrågan.
- Godkännande för User.Read saknas. CLVR läser den inloggade medarbetarens e-post och namn via Microsoft Graph med behörigheten User.Read. Om den behörigheten inte är tillagd, eller om godkännande för den aldrig gavs för organisationen, kan inloggningen inte slutföras.
- Klienthemligheten har gått ut eller är fel. Klienthemligheter i Azure går ut vid ett datum som sätts när de skapas. När en hemlighet har gått ut (eller om fel värde angavs vid konfigurationen) kan CLVR inte längre växla in inloggningen hos Microsoft.
Be ert IT-team bekräfta följande i företagets Microsoft Entra-appregistrering:
Omdirigerings-URI. Under Authentication, bekräfta att exakt den omdirigerings-URI som CLVR uppgav är registrerad som en omdirigering för plattformen Web, utan stavfel eller extra tecken.
Microsoft Graph-behörighet. Under API permissions, bekräfta att Microsoft Graph → User.Read (Delegated) finns med, och att Grant admin consent har gjorts för organisationen. Utan godkännande för den behörigheten kan inloggningen inte slutföras.
Klienthemlighet. Under Certificates & secrets, bekräfta att en klienthemlighet finns och inte har passerat sitt utgångsdatum. Kom ihåg att bara hemlighetens Value fungerar, aldrig Secret ID.
Om alla tre ser korrekta ut men inloggningen ändå misslyckas, låt ert IT-team göra ett inloggningsförsök och notera den exakta texten Microsoft visar innan CLVR-skärmen, eftersom CLVR för vidare den texten och den brukar peka direkt på orsaken.
En klienthemlighet är den enda delen av konfigurationen som går ut av sig själv, så det är den vanligaste anledningen till att en Microsoft-inloggning som tidigare fungerat plötsligt slutar. När det händer skapar ert IT-team en ny klienthemlighet under Certificates & secrets och kopierar det nya Value, och matar sedan in det i CLVR igen via samma säkra konfigurationssida som de använde från början. Eftersom den sidan nås via en engångslänk skickar din CLVR-kontakt en ny konfigurationslänk så att den nya hemligheten kan skickas in. Du matar inte in hemligheten själv inifrån CLVR Benefits, och hemlighetens värde visas aldrig tillbaka för dig efter att det sparats.
Om skärmen säger att inloggningen inte är konfigurerad i stället för att något gick fel så slutfördes eller sparades konfigurationen aldrig, det är inte en befintlig konfiguration som har slutat fungera. Se avsnittet om "inte konfigurerad" ovan i stället för att felsöka Azure.
E-postdomänen stämmer inte vid inloggning
När ditt företag använder Microsoft single sign-on kontrollerar CLVR att e-postadressen Microsoft returnerar ligger på exakt den domän som är konfigurerad för ditt företag. Om någon slutför Microsoft-inloggningen med ett konto på en annan domän nekas försöket innan någon session skapas, och personen hamnar tillbaka på Logga in med samma allmänna meddelande Något gick fel med Microsoft-inloggningen. Försök igen.
Jämförelsen är skiftlägesokänslig, så skillnader i stora och små bokstäver (Foretag.se jämfört med foretag.se) är aldrig orsaken. Spärren handlar om själva domänen, inte om hur den skrevs. Den vanligaste orsaken är att någon nådde Microsoft-steget med ett arbetskonto på en annan domän eller med ett privat Microsoft-konto, i stället för kontot på er konfigurerade företagsdomän, till exempel:
- En sekundär eller äldre e-postdomän som ditt företag också äger men som inte är den som är konfigurerad för SSO.
- Ett privat Microsoft-konto som råkade vara inloggat i webbläsaren.
- Ett gästkonto i en annan Microsoft-tenant.
Det här är avsiktligt. Kontrollen är det som hindrar konton utanför er konfigurerade domän från att få en CLVR-session via företagets single sign-on. Den berörda personen bör logga in med rätt konto på er konfigurerade företagsdomän (att först logga ut från Microsoft i webbläsaren undviker att fel konto plockas upp automatiskt), eller falla tillbaka på en inloggningslänk, engångskoden i samma mejl, eller e-post och lösenord där det är aktiverat.
En domän som inte stämmer får ingen egen text på skärmen, så om du hjälper någon att felsöka är domänen på kontot de använde det första du bör kontrollera.
Inget konto hittades för e-postadressen
När en anställd loggar in med Microsoft tar CLVR e-postadressen som Microsoft skickar tillbaka och letar efter en matchande anställd i ert företag. Om ingen anställd har exakt den e-postadressen stoppas inloggningen med Inget konto hittades för denna e-postadress, trots att både Microsoft-lösenordet och domänkontrollen gick igenom.
En lyckad Microsoft-inloggning bevisar vem personen är för Microsoft, men den skapar inte ett konto i CLVR Benefits i sig. Inget konto hittades för denna e-postadress betyder att CLVR ännu inte har någon anställd med den e-postadressen. Den anställde ser meddelandet tillsammans med en Försök igen-knapp, men att försöka igen hjälper inte i sig, eftersom den underliggande uppgiften behöver rättas först. Det finns två vanliga orsaker till att matchningen misslyckas:
- Den anställde har inte lagts till i CLVR Benefits ännu. Microsoft kan logga in vem som helst i er tenant, men bara de personer som ert HR-team har lagt till i CLVR har ett konto här.
- E-postadressen i CLVR skiljer sig från Microsoft-jobbadressen. CLVR använder adressen som Microsoft skickar tillbaka från jobbkontot. Om den anställde lades till med en annan adress (till exempel en gammal eller annorlunda stavning) stämmer de två inte överens.
Lösningen är att se till att det finns en aktiv anställd i CLVR Benefits med exakt den e-postadress som Microsoft returnerar. HR-användare gör detta från avsnittet Anställda:
Öppna Anställda (under Lägg till / Hantera anställda) och sök efter personen på namn.
Om personen inte finns med alls, lägg till den med Lägg till anställd. Använd Lägg till enskild anställd för en person, eller Massimport för flera. Ange Microsoft-jobbadressen i fältet E-post.
Om personen finns med men med en annan adress, öppna posten och rätta fältet E-post så att det exakt matchar Microsoft-jobbadressen.
När posten finns med rätt e-postadress, be den anställde gå tillbaka till inloggningssidan och välja Fortsätt med Microsoft igen.
När ni ändrar en anställds e-postadress i CLVR Benefits uppdateras inloggningsidentiteten automatiskt med den. Ni behöver inte uppdatera någon separat inloggningsadress. Var uppmärksam på små skillnader som en extra punkt, en saknad bokstav eller ett annat alias på samma domän: CLVR matchar hela adressen, så varje skillnad räknas som en annan e-postadress.
Knappen Fortsätt med Microsoft dyker inte upp
Om knappen Fortsätt med Microsoft inte dyker upp för er domän har inloggningssidan inte hittat någon aktiv Microsoft-inloggning för den e-postadressen. Sidan kontrollerar e-postdomänen medan du skriver och igen när du fortsätter, och visar Fortsätt med Microsoft endast när allt detta stämmer för domänen:
- Microsoft-inloggningen blev klar och sparad.
- Alla obligatoriska värden finns med: domänen, klient-ID, klientorganisations-ID och klienthemlighet.
- Den konfigurerade domänen matchar e-postdomänen exakt.
När något av detta saknas faller sidan tillbaka på nästa tillgängliga metod, vilket oftast är en inloggningslänk (och ett lösenordsalternativ för företag som är konfigurerade så). Gör de här kontrollerna:
Bekräfta att konfigurationen faktiskt blev klar. Fråga ert IT-team om de nådde bekräftelsen Setup complete på konfigurationssidan efter att ha valt Save and enable. Om de stängde sidan innan bekräftelsen sparades aldrig uppgifterna, så inget är aktivt ännu.
Kontrollera att domänen matchar exakt. Domänen som angavs vid konfigurationen måste matcha det medarbetarna skriver efter @, tecken för tecken. Om medarbetarna använder company.com men en regional variant som company.se sparades, visar sidan inte Microsoft för adresser på company.com. Stora och små bokstäver spelar ingen roll, men resten av domänen måste vara identisk.
Ange en fullständig jobbadress. Domänkontrollen körs först när det finns en komplett adress med en domän efter @. En halvskriven e-postadress, eller bara ett namn utan @company.com, utlöser inte Microsoft-alternativet.
Testa på den konfigurerade domänen. Använd en riktig jobbadress på exakt den domän som konfigurerades. En kollega på en annan domän ser fortsatt sin egen inloggningsmetod, vilket är väntat och inte ett fel.
När allt stämmer byter sidan ut knappen Skicka inloggningslänk mot en notis med rubriken Microsoft-inloggning ("Ditt företag använder Microsoft-inloggning. Klicka på knappen nedan för att logga in med ditt arbetskonto.") och en enda knapp Fortsätt med Microsoft. Det bytet är tecknet på att SSO är aktivt för domänen.
En avslutad anställd kan inte logga in
En lyckad Microsoft-inloggning bevisar vem någon är för Microsoft, men den avgör inte om personen fortfarande har tillgång till CLVR Benefits. Efter att Microsoft har bekräftat identiteten matchar CLVR den jobbadress som returneras mot en anställd i ditt företag och kontrollerar om personen fortfarande är aktiv. Om den matchade anställda har avslutats stoppar CLVR inloggningen i detta sista steg, och inloggningssidan visar ett meddelande med rubriken Konto avslutat:
Ditt konto har avslutats. Du har inte längre tillgång till CLVR Benefits.
Till skillnad från de flesta inloggningsfel erbjuder detta ingen Försök igen-knapp, eftersom ett nytt försök med samma Microsoft-konto leder till samma resultat. Blockeringen ligger hos CLVR, inte hos Microsoft: Microsoft kan fortfarande logga in personen, CLVR hittar fortfarande personens anställningspost eftersom e-postadressen matchar, men CLVR ser sedan att posten är markerad som avslutad och vägrar skapa en session. Att avsluta någon i din medarbetarlista i CLVR räcker för att stänga av deras tillgång; du behöver inte inaktivera deras Microsoft-konto för att åstadkomma det.
En anställd avslutas när ditt HR-team anger ett Avslutsdatum för personen i panelen Avsluta anställd på den anställdas post (under Lägg till / Hantera anställda). Ett datum i det förflutna markerar personen som avslutad omedelbart; ett datum i framtiden behåller åtkomsten fram till det datumet och tar sedan bort den automatiskt. Om någon som fortfarande arbetar hos er ser Konto avslutat är den troligaste orsaken att deras post avslutades av misstag, till exempel ett bakåtdaterat avslutsdatum eller en felaktig inmatning:
Öppna Anställda (under Lägg till / Hantera anställda) och sök upp personen med namn.
Öppna posten och titta på avslutspanelen. Om den visar att personen avslutades ett visst datum är det därför de blockeras.
Kontrollera om avslutet verkligen var avsett. Om inte, kontakta din CLVR-kontakt så att avslutet kan rättas för den personen.
När posten är aktiv igen kan den anställda gå tillbaka till inloggningssidan och välja Fortsätt med Microsoft. Om en tidigare anställd kommer tillbaka och ska få åtkomst igen, hantera det som en HR-ändring först: deras post i CLVR behöver vara aktiv innan Microsoft-inloggningen fungerar igen. Att enbart återaktivera deras Microsoft-konto återställer inte tillgången, eftersom blockeringen ligger i CLVR-posten.
En massimport av medarbetarlistan kan också markera personer som avslutade om de saknas i den uppladdade filen. När du importerar bör du granska listan över anställda som flaggas som "inte med i den uppladdade filen" innan du bekräftar, så att ingen avslutas av misstag.
En anställd på en annan domän saknar Microsoft-knappen
Microsoft single sign-on är kopplad till en e-postdomän som ditt företag har konfigurerat, till exempel @foretag.se. Bara anställda vars jobbadress ligger på exakt den domänen erbjuds Fortsätt med Microsoft. Den som har en annan domän, som en konsult eller ett dotterbolag med egen adress, loggar in med standardalternativen i stället. Det är som det ska, inget fel: deras konto fungerar precis likadant när de väl är inne.
Inloggningssidan utgår från jobbadressen var och en anger och jämför dess domän mot din konfigurerade domän för Microsoft-inloggning. Om domänen stämmer ser personen aviseringen Microsoft-inloggning och en enda knapp, Fortsätt med Microsoft; om den inte stämmer ser personen standardalternativen. Anställda vars adress inte ligger på din Microsoft-domän hamnar på en inloggningslänk som mejlas till dem (de väljer Skicka inloggningslänk), engångskoden i samma mejl, eller e-post och lösenord om ditt företag är konfigurerat för lösenordsinloggning.
CLVR stöder för närvarande en enda domän för Microsoft-inloggning per företag. En andra företagsdomän kan ännu inte få sin egen Microsoft-inloggning, även om båda hör till samma organisation, så räkna med att alla utanför den konfigurerade domänen använder inloggningslänken i stället. Om det är viktigt för ditt företag att täcka en andra domän, ta upp det med din CLVR-kontakt som en önskan: det är inget du kan slå på själv från webbappen i dag.
En setup-länk har gått ut eller är ogiltig
När ditt företag ska aktivera Microsoft single sign-on mejlar din CLVR-kontakt en engångslänk till ert IT-team, som öppnar den för att fylla i Microsoft-uppgifterna. Den länken gäller inte för alltid, och den är tänkt att användas en gång. Om ert IT-team öppnar den och ser ett felmeddelande i stället för formuläret kan en länk sluta fungera av några skäl:
- Den har gått ut. Setup-länkar är giltiga i 7 dagar från att de skickas. Därefter slutar de fungera.
- Den är redan använd. När konfigurationen har slutförts med en länk är den länken förbrukad och kan inte öppnas igen.
- Den har ersatts. När en setup-länk används återkallas alla andra väntande länkar för ditt företag samtidigt. Om din CLVR-kontakt medvetet har återkallat en länk slutar även den att fungera.
- Webbadressen är ofullständig. Länken fungerar bara med hela setup-token i adressen. En avklippt eller handskriven länk saknar den token.
Meddelandet på sidan visar vilket fall det rör sig om. Ogiltig eller utgången länk visas för en utgången, använd eller återkallad länk, och hänvisar dig till att be din CLVR-kontakt om en ny. Ogiltig länk betyder att adressen saknar setup-token, vilket oftast händer när en länk kopieras eller vidarebefordras och blir avklippt.
Om ert IT-team ser meddelandet Ogiltig länk (saknad setup-token), be dem öppna länken direkt från det ursprungliga mejlet i stället för att klistra in den, så att hela adressen bevaras.
En gammal länk kan inte återaktiveras, så lösningen är alltid en ny: be din CLVR-kontakt skicka en ny setup-länk, låt ert IT-team öppna den från mejlet och slutföra formuläret inom 7 dagar, och när uppgifterna är sparade aktiveras single sign-on och alla äldre väntande länkar slutar fungera automatiskt.
Felsökning
- Det fungerar för vissa medarbetare men inte andra. Ett problem med omdirigering, behörighet eller hemlighet drabbar alla på domänen, så det är oftast inte orsaken för en enskild person. Om en person är blockerad medan kollegorna loggar in utan problem, kontrollera om personen har en annan e-postadress, en andra företagsdomän eller ett avslutat konto i stället. För "inget konto hittades", lägg till de berörda kollegorna på samma sätt: varje person behöver en egen anställdpost med sin egen Microsoft-jobbadress.
- Felet började plötsligt efter månader av att ha fungerat. Misstänk en utgången klienthemlighet först, kontrollera sedan om något har ändrats i Azure-appregistreringen.
- Microsoft visar ett eget meddelande innan CLVR-skärmen. Läs den texten noga och dela den med ert IT-team. CLVR för vidare den just för att den är den mest användbara ledtråden.
- Inloggningslänken visas fortfarande för rätt domän. Konfigurationen sparades troligen inte. Be ert IT-team bekräfta att de nådde Setup complete; om inte kan de behöva en ny konfigurationslänk.
- En grupp personer på en andra domän kan inte logga in. Kontakta din CLVR-kontakt, eftersom endast en SSO-domän stöds per företag.
- Inloggningslänken kommer aldrig fram för någon som faller tillbaka på den. Be personen kolla skräppost och spam först. Om länkar regelbundet blockeras av deras e-postsäkerhet, fråga din CLVR-kontakt om deras domän bör flyttas till e-post och lösenord.