Hoppa till innehållet
Boka en demo

Så begär och sätter du upp Microsoft single sign-on

Konfigurera single sign-on 15 min läsningUppdaterad 3 dagar sedan

Den kompletta guiden till Microsoft single sign-on, från din HR-förfrågan genom vad IT skapar i Azure, konfigurationsmejlet, självbetjäningssidan, uppgiftsfälten, omdirigerings-URI:n och admingodkännandet IT måste ge.

Microsoft (Entra ID) single sign-on låter medarbetare logga in i CLVR Benefits med sitt befintliga Microsoft-arbetskonto, så det finns inget separat lösenord eller någon inloggningslänk att hålla reda på. Att aktivera det är en kort process i två delar: ditt HR-team ber er CLVR Benefits-kontakt att starta den, och er IT- eller Microsoft 365-kontakt slutför den tekniska inställningen via en säker länk. Ditt HR-team anger aldrig några Azure-uppgifter.

Den här guiden följer hela flödet från början till slut: vad ditt HR-team lämnar, vad IT behöver veta i förväg, konfigurationsmejlet IT får, självbetjäningssidan IT går igenom, vad varje uppgiftsfält betyder, omdirigerings-URI:n som måste matcha exakt, och det enda admingodkännande IT måste ge innan inloggningen fungerar.

Det här lämnar ditt HR-team

För att komma igång, kontakta er CLVR Benefits-kontakt och lämna två saker:

  • Den e-postdomän era medarbetare använder, till exempel company.com. Ange bara domänen, utan @ och utan en hel e-postadress.
  • E-postadressen till den IT- eller Microsoft 365-kontakt som ska konfigurera kopplingen i Azure.

Mer än så behöver ditt HR-team inte lämna. Er CLVR-kontakt sköter resten.

Vad som händer sedan

1

CLVR skickar en säker, tidsbegränsad inställningslänk direkt till den IT-kontakt ni angav. Länken går rakt till IT, så ditt HR-team hanterar inga Azure-uppgifter.

2

Er IT-kontakt öppnar länken och följer de steg-för-steg-instruktioner som finns på sidan. De skapar en appregistrering i Azure och anger tre värden: Program (klient) ID, Katalog (tenant) ID och en Klienthemlighet. E-postdomänen är redan ifylld åt dem.

3

Så snart IT skickar in uppgifterna aktiveras Microsoft-inloggning automatiskt för alla på er domän. Det finns inget mer för ditt HR-team att göra i CLVR.

Note.

Inställningslänken är giltig i 7 dagar. Om den går ut eller kommer bort innan IT är klar är det bara att be er CLVR-kontakt skicka en ny.

Vad IT behöver för att sätta upp Microsoft SSO

Installationssidan listar allt IT behöver, men det hjälper att informera IT i förväg så att de kan ha värdena redo. Här är hela checklistan över vad ert IT-team skapar i Microsoft Entra ID (Azure) och de tre värden de klistrar in i formuläret.

Vad IT skapar i Azure

Ert IT-team går igenom fem korta steg i Azure Portal, alla visade på installationssidan bredvid formuläret:

1

Skapa en appregistrering. Gå till Microsoft Entra ID, sedan Appregistreringar och Ny registrering. Ge den ett tydligt namn (till exempel "CLVR Benefits - Ert Företag") och välj Kontotyper som stöds: Endast konton i den här organisationskatalogen.

2

Lägg till en omdirigerings-URI. Under Autentisering, sedan Lägg till en plattform och Webb, lägg till den exakta omdirigerings-URI som visas på installationssidan. Den pekar tillbaka till CLVR så att Microsoft vet vart medarbetarna ska skickas efter att de loggat in.

3

Lägg till behörighet i Microsoft Graph. Under API-behörigheter, lägg till Microsoft Graph och Delegerade behörigheter, sök efter User.Read, lägg till den och välj sedan Bevilja administratörsmedgivande för organisationen. Utan medgivande för denna behörighet kan inloggningen inte slutföras.

4

Skapa en klienthemlighet. Under Certifikat och hemligheter, sedan Ny klienthemlighet, kopiera det hemliga värdet (inte Hemligt ID). Värdet visas bara en gång, så det måste kopieras direkt.

5

Ange uppgifterna. Fyll i de tre värdena i formuläret och välj Spara och aktivera.

Informera IT på en rad

Om du bara behöver ett kort meddelande att skicka IT inför länken räcker detta: skapa en appregistrering i Microsoft Entra ID för vårt företag, lägg till omdirigerings-URI:n från installationssidan, lägg till den delegerade Microsoft Graph-behörigheten User.Read med administratörsmedgivande, skapa en klienthemlighet och klistra sedan in Program (klient) ID, Katalog (tenant) ID och klienthemlighetens värde i CLVR:s installationsformulär.

Kontrollera att IT har rätt behörighet

Några steg kräver administratörsrättigheter i Azure, så IT bör logga in i Azure Portal med ett administratörskonto, till exempel global administratör eller programadministratör. Särskilt dessa två åtgärder kräver det:

  • Att skapa appregistreringen.
  • Att bevilja administratörsmedgivande för Microsoft Graph-behörigheten User.Read.

Om personen som gör installationen inte kan bevilja administratörsmedgivande fungerar inte inloggningen förrän någon med rätt rättigheter gör det. Det är bra att bekräfta detta innan de börjar, så att de inte fastnar halvvägs.

Konfigurationsmejlet IT får

När ni begär Microsoft single sign-on skickar CLVR ett säkert konfigurationsmejl direkt till den IT- eller Microsoft 365-kontakt ni har angett. IT pausar ibland vid ett oväntat mejl som ber om Azure-uppgifter, vilket är klokt, så här är exakt hur det mejlet ser ut. Med den i handen kan du intyga för din IT-kontakt att meddelandet är äkta innan de klickar vidare.

Vem som skickar det och vad ämnesraden säger

Mejlet kommer från CLVR Benefits och landar direkt i din IT-kontakts inkorg, inte i din. Ämnesraden lyder:

  • Microsoft OAuth-konfiguration för [ert företagsnamn]

Det kommer på svenska som standard, eller på engelska beroende på vilket språk som är inställt för mottagaren. Både brödtexten och rubriken upprepar samma rad, så IT kan matcha ämnet mot meddelandet med en snabb blick.

Vad mejlet säger

Mejlet förklarar i två korta meningar varför det skickades:

  • För att aktivera Microsoft-inloggning för era medarbetare behöver CLVR era Azure-appuppgifter. Det här är en säker, tidsbegränsad länk från CLVR Benefits.
  • Öppna länken för att ange uppgifter. Steg-för-steg-instruktioner finns på själva sidan, och länken går ut om 7 dagar.

Det finns ingen bilaga och inget att ladda ner. Det enda som behöver göras är att följa länken.

Knappen och reservlänken

Mejlet har en huvudåtgärd: en knapp med texten Ange uppgifter. Under den skriver mejlet även ut hela konfigurationslänken som vanlig text, inledd med "Om knappen inte fungerar, kopiera och klistra in den här länken i webbläsaren." Så om knappen tas bort eller blockeras av e-postsäkerhet kan IT ändå kopiera in hela adressen för hand.

Tip.

Konfigurationslänken pekar till CLVR-portalen (en adress under clvrbenefits.com). IT kan kontrollera destinationen innan de klickar genom att hålla muspekaren över knappen eller läsa den utskrivna reservlänken. Länken innehåller en engångstoken för konfigurationen, så uppmuntra IT att använda hela adressen i stället för en förkortad kopia.

Så fungerar IT-självbetjäningssidan

När länken öppnas landar IT på en självbetjäningssida där de anger era uppgifter från Azure-appregistreringen, helt utan att logga in i CLVR. Du fyller inte i detta själv: sidan är gjord för den som hanterar er Microsoft Entra ID (Azure). Här är en genomgång avsnitt för avsnitt, så att du kan göra överlämningen och svara på frågor med trygghet.

Vad sidan visar

Sidan heter Microsoft OAuth-inställning och har två halvor:

  • Till vänster en kort notis under Hur vi hanterar dina uppgifter och själva formuläret.
  • Till höger steg-för-steg-instruktioner (Instruktioner) för att skapa appregistreringen i Azure-portalen.

Inledningstexten anger företaget och, när CLVR har satt er e-postdomän på länken, den domän som ska använda Microsoft-inloggning. Ditt HR-team ser eller anger aldrig dessa uppgifter: hela den tekniska delen sker mellan IT och den säkra sidan.

Notisen "Hur vi hanterar dina uppgifter"

Ovanför formuläret förklarar en informationsruta att uppgifterna IT anger lagras säkert, bara används för att aktivera Microsoft-inloggning för era medarbetare och inte delas med tredje part. Den nämner att CLVR Benefits följer GDPR och länkar till integritetspolicyn och Trust Center för mer information, med en kontaktadress (hello@clvrbenefits.com) för frågor. Den finns där för att lugna IT innan de klistrar in en klienthemlighet.

Att spara och bekräftelsen

När alla fyra fälten är ifyllda väljer IT Spara och aktivera. När det lyckas ersätts formuläret med en bekräftelse, Inställning klar, som säger att Microsoft-inloggning nu är aktiverad och att medarbetare kan logga in med sitt arbetskonto. Det är signalen att överlämningen är klar.

Vad som händer i bakgrunden

Att spara gör två saker som är bra att känna till:

  • Länken IT använde markeras som använd och kan inte öppnas igen.
  • Eventuella andra setup-länkar som fortfarande väntar för ert företag återkallas automatiskt. Om CLVR skickade fler än en (till exempel en omsändning) räknas bara den IT slutförde, och resten slutar fungera.

Därefter ser medarbetare på den konfigurerade domänen Fortsätt med Microsoft på CLVR:s inloggningssida. För att bekräfta att det fungerar, se artikeln om att bekräfta att SSO är aktivt.

Uppgiftsfälten förklarade

Formuläret frågar efter fyra värden från er Azure-appregistrering. Här är vad varje fält betyder och exakt var i Azure-portalen IT hittar värdet, så att du kan hjälpa din IT-kontakt att hitta rätt innan de börjar. Fälten, uppifrån och ner, är:

  • E-postdomän
  • Program (klient) ID
  • Katalog (tenant) ID
  • Klienthemlighet

Alla fyra är obligatoriska. Formuläret kan inte sparas förrän varje fält är ifyllt; om något fält är tomt avvisas sparandet med ett meddelande om att alla fält är obligatoriska.

E-postdomän

Det är delen av jobbadressen efter @-tecknet, till exempel foretag.se, angiven ensam utan @-tecken och utan namn framför. CLVR använder den för att avgöra vilka medarbetare som loggar in med Microsoft. I de flesta uppsättningar fyller din CLVR-kontakt i detta åt dig när länken skapas, och då visas fältet men är låst. Om länken skickades utan domän skriver IT in den själv, utan @ (bara foretag.se).

Program (klient) ID

Ett unikt ID för appregistreringen som ert IT-team skapade i Azure. Fältets beskrivning i formuläret lyder "Finns på Översikt-sidan för din appregistrering". I Azure-portalen visas det på appregistreringens Översikt-sida, märkt Program-ID (klient). Det ser ut som en lång rad bokstäver och siffror i fem grupper (till exempel xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).

Katalog (tenant) ID

Ett ID för organisationens Microsoft-katalog (er Entra ID-tenant). Fältets beskrivning lyder "Finns på samma Översikt-sida, under Program-ID". Det ligger direkt under Program-ID (klient) på samma Översikt-sida, märkt Katalog-ID (klient), och har samma format med fem grupper.

Tip.

Klient-ID och tenant-ID finns båda på samma Översikt-sida, det ena ovanför det andra, så IT kan kopiera båda på samma ställe. De är identifierare, inte lösenord, så de döljs inte.

Klienthemlighet

Det här är det enda riktiga lösenordet av de fyra, så det kräver mest omsorg. IT skapar det i Azure under Certifikat och hemligheter. När en ny klienthemlighet skapas visar Azure två kolumner: Värde och Hemligt ID.

  • Kopiera kolumnen Värde. Det är vad som ska in i det här fältet.
  • Kopiera inte Hemligt ID. Det är en annan sträng och fungerar inte för inloggning.

Formuläret förtydligar detta i fältbeskrivningen: kolumnen "Värde" (inte "Hemligt ID") under Certifikat och hemligheter. I CLVR-formuläret beter sig fältet som ett lösenordsfält, så tecknen maskeras när IT skriver eller klistrar in.

Heads up.

Azure visar det hemliga Värdet bara en gång, direkt efter att det skapats. Om IT lämnar sidan Certifikat och hemligheter utan att kopiera det går värdet inte längre att läsa, och en ny hemlighet måste skapas. Be din IT-kontakt att kopiera Värdet till formuläret direkt.

Omdirigerings-URI:n förklarad

Omdirigerings-URI:n är den webbadress som Microsoft skickar tillbaka era medarbetare till efter att de loggat in, och det är den del av installationen som oftast orsakar ett "något gick fel"-fel om den är det minsta felaktig. IT anger den inte i CLVR-formuläret; de registrerar den i Azure som en del av appregistreringen.

Vad omdirigerings-URI:n är

När en medarbetare loggar in med Microsoft lämnar de CLVR Benefits, bekräftar sin identitet hos Microsoft och lämnas sedan tillbaka till CLVR för att slutföra inloggningen. Omdirigerings-URI:n är den exakta returadress som Microsoft använder för den sista överlämningen. För alla företag är det samma värde:

https://app.clvrbenefits.com/api/auth/oauth/microsoft/callback

Adressen byggs upp av CLVR Benefits webbapp, så det är den skarpa produktionsadressen. Det är aldrig en personlig enhet, en lokal testadress eller ditt eget företags domän.

Varför den måste matcha exakt

Microsoft skickar bara tillbaka en medarbetare till en returadress som har registrerats i förväg, tecken för tecken. Din IT-kontakt registrerar värdet i företagets app-registrering i Microsoft (Entra ID), under Autentisering, genom att välja Lägg till en plattform och sedan Webb. När det registrerade värdet och värdet CLVR använder matchar fungerar inloggningen. Om de inte matchar avvisar Microsoft begäran och medarbetaren når aldrig CLVR.

Vanliga sätt som värdet hamnar fel på:

  • Att använda http i stället för https.
  • Att tappa eller ändra någon del av sökvägen, som måste sluta med /api/auth/oauth/microsoft/callback.
  • Att lägga till ett snedstreck i slutet.
  • Ett skrivfel någonstans i adressen.
Tip.

Din IT-kontakt behöver inte skriva något av detta för hand. Den säkra konfigurationssidan som CLVR skickar visar den exakta omdirigerings-URI:n i ett kopieringsklart kodblock, så det säkraste är alltid att kopiera den därifrån och klistra in den direkt i Azure.

Därför måste IT ge admingodkännande för User.Read

Microsoft single sign-on behöver exakt en behörighet för att fungera: den delegerade Microsoft Graph-behörigheten User.Read. CLVR Benefits använder den för att läsa den inloggade medarbetarens jobbadress och grundläggande profil, så att personen kan matchas mot sitt CLVR-konto. Här är var IT lägger till behörigheten, varför en administratör måste godkänna den och vad CLVR läser (och inte läser).

Den enda behörighet SSO behöver

När en medarbetare loggar in med Microsoft ber CLVR Microsoft om behörigheten User.Read. När medarbetaren har godkänt på Microsofts skärm läser CLVR de grundläggande uppgifterna från Microsoft Graph och använder jobbadressen för att hitta rätt medarbetare i ert företags CLVR-konto. Det är hela utbytet: ingen åtkomst till brevlåda, kalender, filer eller katalog.

CLVR läser bara:

  • Medarbetarens jobbadress, som CLVR använder för att matcha personen mot sitt CLVR-konto.
  • Grundläggande profiluppgifter (till exempel visningsnamn) som följer med samma anrop.

Namnet som visas inne i CLVR kommer från medarbetarposten som ert HR-team har lagt upp, inte från Microsoft, så profilläsningen används enbart för att bekräfta identiteten vid inloggning.

Var IT lägger till User.Read

I den Azure-appregistrering som er IT-kontakt skapar för CLVR finns behörigheten under API permissions:

1
Öppna appregistreringen och gå till API permissions.
2
Välj Add a permission och sedan Microsoft Graph.
3
Välj Delegated permissions, sök efter User.Read och lägg till den.

User.Read är en standardbehörighet med låg behörighetsnivå i Microsoft. I många tenanter finns den redan som standard på en ny appregistrering, så IT kan ofta bara behöva bekräfta att den finns i listan i stället för att lägga till den.

Varför admingodkännande krävs

Att lägga till behörigheten räcker inte i sig. En administratör för er Microsoft-tenant måste godkänna den för hela organisationen genom att välja Grant admin consent for [your organization] på samma sida, API permissions. Tills den knappen har använts och behörigheten visar grön status "Granted" kan medarbetarnas inloggning inte slutföras.

Heads up.

Personen som ger godkännandet behöver administratörsrättigheter i er Microsoft-tenant, till exempel Global Administrator eller Application Administrator. Ett vanligt medarbetarkonto kan inte godkänna åt organisationen.

Ett admingodkännande räcker en gång för alla medarbetare, så ingen enskild medarbetare behöver godkänna något själv.

Vad medarbetare ser om godkännandet saknas

Utan admingodkännande startar inloggningen men kan inte slutföras. Ett typiskt inloggningsförsök ser ut så här:

  • Medarbetaren väljer Fortsätt med Microsoft och skickas till Microsoft för att logga in.
  • De autentiserar sig korrekt med sitt Microsoft-jobbkonto.
  • De skickas tillbaka till CLVR med ett fel i stället för till sin översikt, eftersom CLVR aldrig fick läsa profilen som behövs för att identifiera dem.

Om medarbetare rapporterar att Microsoft-inloggningen "skickas tillbaka" eller slutar på en felsida direkt efter att de loggat in, är ett saknat admingodkännande en av de första sakerna att kontrollera.

Vad medarbetarna ser när det är aktivt

När inställningen är klar ser alla som loggar in med en jobbadress på er domän en kort notis och en enda knapp, Fortsätt med Microsoft, utan några andra alternativ. Medarbetarna behöver inte göra något för att byta över: CLVR känner av Microsoft-inloggning utifrån deras e-postdomän automatiskt. För att bekräfta att det fått effekt, se artikeln om att bekräfta att SSO är aktivt.

Felsökning

  • Inställningslänken har gått ut eller visar "Ogiltig eller utgången länk". Setup-länkar är giltiga i 7 dagar och varje länk fungerar bara en gång. En utgången länk kan inte återaktiveras, och när en ny har skickats slutar äldre väntande länkar för ert företag att fungera. Be er CLVR-kontakt skicka en ny länk till er IT-kontakt.
  • IT är osäker på om mejlet är äkta. Bekräfta de tre sakerna ovan: det kommer från CLVR Benefits, ämnet är "Microsoft OAuth-konfiguration för [ert företagsnamn]", och den enda åtgärden är en knapp Ange uppgifter som leder till en konfigurationssida på clvrbenefits.com. Om IT fortfarande vill ha en bekräftelse kan du eller din CLVR-kontakt intyga det direkt.
  • Knappen i mejlet gör ingenting. Be IT använda den fullständiga länken som skrivs ut under knappen i stället, inklistrad i webbläsarens adressfält i ett stycke.
  • IT fick aldrig mejlet. Kontrollera skräppost och karantän, och bekräfta med din CLVR-kontakt att e-postadressen du angav för IT var korrekt.
  • IT kan inte slutföra formuläret, eller saknar rätt åtkomst i Azure. Några steg kräver ett administratörskonto (global administratör eller programadministratör) för att skapa appregistreringen och bevilja administratörsmedgivande. Ta in den som hanterar er Microsoft-tenant.
  • IT kan inte ändra fältet E-postdomän. Det är väntat när CLVR har satt domänen på länken. Om domänen är fel, be er CLVR-kontakt om en korrigerad länk i stället för att gå runt det.
  • IT är osäker på vilket värde som hör vart. Klient-ID och tenant-ID finns båda på appregistreringens Översikt-sida; hemligheten kommer från Certifikat och hemligheter. Varje fält har en ledtext, och instruktionerna till höger upprepar detta bredvid formuläret.
  • Det hemliga värdet syns inte längre i Azure. Azure visar det hemliga Värdet bara en gång, så det går inte att återställa. IT skapar en ny klienthemlighet och använder dess Värde i stället.
  • Inloggning misslyckas efter installationen, trots att formuläret sparades. Den vanligaste orsaken är fel klienthemlighet: kontrollera att IT kopierade kolumnen Värde och inte Hemligt ID, och att hemligheten inte har gått ut. Vid tveksamhet kan IT skapa en ny klienthemlighet i Azure, och din CLVR-kontakt kan skicka en ny installationslänk.
  • Microsoft visar ett svars-URL- eller omdirigeringsfel. Den registrerade omdirigerings-URI:n matchar inte. Kopiera https://app.clvrbenefits.com/api/auth/oauth/microsoft/callback på nytt från CLVR:s konfigurationssida och jämför tecken för tecken med det som står i Azure, och håll utkik efter ett avslutande snedstreck, http i stället för https, en saknad sökväg eller ett extra mellanslag. Om ingen omdirigerings-URI finns listad alls, lägg till den som en omdirigering för plattformen Webb under Autentisering.
  • Medarbetare når Microsoft men hamnar på ett fel i CLVR. Kontrollera att User.Read finns under API permissions och att Grant admin consent har använts, så att behörigheten visas som godkänd för er organisation. Om knappen Grant admin consent är gråtonad har den inloggade personen inte rättigheter att godkänna; be någon med rättigheterna Global Administrator eller Application Administrator att ge godkännandet.
  • Inloggningen visar fortfarande en inloggningslänk eller ett lösenord. Microsoft-inloggning gäller bara exakt den domän ni angav. Om vissa medarbetare använder en annan e-postdomän, nämn det för er CLVR-kontakt så att även den kan täckas in.
På den här sidan
Det här lämnar ditt HR-teamVad som händer sedanVad IT behöver för att sätta upp Microsoft SSOVad IT skapar i AzureInformera IT på en radKontrollera att IT har rätt behörighetKonfigurationsmejlet IT fårVem som skickar det och vad ämnesraden sägerVad mejlet sägerKnappen och reservlänkenSå fungerar IT-självbetjäningssidanVad sidan visarNotisen "Hur vi hanterar dina uppgifter"Att spara och bekräftelsenVad som händer i bakgrundenUppgiftsfälten förklaradeE-postdomänProgram (klient) IDKatalog (tenant) IDKlienthemlighetOmdirigerings-URI:n förklaradVad omdirigerings-URI:n ärVarför den måste matcha exaktDärför måste IT ge admingodkännande för User.ReadDen enda behörighet SSO behöverVar IT lägger till User.ReadVarför admingodkännande krävsVad medarbetare ser om godkännandet saknasVad medarbetarna ser när det är aktivtFelsökning
14 dagars onboarding · live till nästa lönekörning

Inte redo att ansöka?
Vi tar bara ett snack.

30 minuter, ingen säljpresentation, inget behovsmöte. Vi visar dig den riktiga produkten med riktiga siffror från din bransch. Passar det, toppen. Gör det inte, säger vi vem som gör det.

  • Se den riktiga produkten
    Live-app, formad av era data, ingen Loom-inspelning.
  • Era siffror, ingen mall
    Vi modellerar förmånsbesparingen utifrån ert antal anställda och lönenivåer.
  • Ingen säljteater
    Passar vi inte, pekar vi dig mot någon som gör det.
Prata med en grundare

Se vad CLVR Benefits kan göra för ert team.

Dela några detaljer så kommer vi förberedda med siffror från din bransch. Oftast svar inom en arbetsdag.

Genom att skicka in detta formulär godkänner du vår Integritetspolicy och Användarvillkor.