Kuinka ottaa kertakirjautuminen (SSO) käyttöön

SSO-lisäpalvelu on suunniteltu virtaviivaistamaan sisäänkirjautumista ja vahvistamaan tietoturvaa. Vapaaehtoisena lisäosatuotteena SSO mahdollistaa käyttäjien kertakirjautumisen Trail -kalustonhallintapalveluun ilman useiden erillisten salasanojen hallintaa.

Microsoft Entra ID Single Sign-On (SSO) -aktivointi

Tämä ohje auttaa sinua aktivoimaan Microsoft Entra ID SSO-lisäpalvelun ja tekemään tarvittavat määrittelyt, varmistaen sujuvan ja turvallisen sisäänkirjautumisen. Jos olet kiinnostunut SSO:n aktivointiin Trail-ympäristössäsi, ota yhteyttä osoitteeseen sales@trail.fi.

Microsoft Entra ID SSO autentikointi ja käyttäjähakemiston synkronointi

❗Huomioithan, että tämä ohjeistus sisältää vaiheita ja kuvauksia myös toisen ohjelmiston hallintapaneelin käytöstä. Ohjeistus perustuu kyseisen ohjelmiston käyttöliittymään ja toiminnallisuuksiin ohjeen laatimishetkellä. Koska kyseessä on ulkopuolisen tahon kehittämä ohjelmisto, Trail Systems Oy ei vastaa mahdollisista käyttöliittymän muutoksista, päivityksistä tai toiminnallisuuksien uudelleenjärjestelyistä, jotka voivat vaikuttaa tämän ohjeen paikkansapitävyyteen. Mikäli toisen ohjelmiston käyttöliittymässä tapahtuu muutoksia, osa tässä ohjeessa kuvatuista vaiheista tai valikkopoluista ei välttämättä enää vastaa ajantasaista tilannetta.

Aiheita:

  1. Microsoft Entra ID SSO autentikointi web-sovellukselle

        1.1. Luo Sovellus (Application (non-gallery)) Trail-palvelulle Microsoft Entra ID portaalissa

        1.2. Konfiguroi miten käyttäjät autentikoituvat (SSO)

        1.3. Konfiguroi SAML SSO-metodiksi (SAML)

  1. Microsoft Entra ID SSO autentikointi mobiilisovellukselle

       2.1. Luo sovellus (Application (non-gallery)) Trail-palvelulle Microsoft Entra ID portaalissa

       2.2. Luo Client Secret (OAuth/OIDC)

  1. Trail-palvelun autentikointi käyttäjätietojen hakemiseen Microsoft Entra ID -palvelusta

       3.1. Konfiguroi API luvat.

  1. Microsoft Entra ID-käyttäjäryhmien linkittäminen manuaalisesti Trail-käyttäjäryhmiin ja manuaalisen käyttäjädeaktivoinnin käynnistäminen

      4.1. Konfiguroi Group Claim-tiedot auktorisointia varten Microsoft Entra ID -palvelussa

      4.2. Valitse oleelliset ryhmät ja lataa UUID tunniste

      4.3. Yhdistä Microsoft Entra ID -ryhmät käyttäjäryhmiin Trail-palvelussa

      4.4. Manuaalisen käyttäjäpoiston käynnistäminen


 1. Microsoft Entra ID SSO autentikointi web-sovellukselle

Vaiheet:

  1. Avaa Microsoft Entra ID portaali
  2. Valitse Applicatios -> App registrations
  3. Valitse New registration
  4. Syötä:
    1. Sovelluksen nimi: Esimerkiksi ‘Trail Asset Management’
    2. Tuettu account type
  5. Valitse Register

Lopputulema: Microsoft Entra ID luo sovelluksen (client) ja sille (1) Application (Client) ID:n sekä (2) Directory (Tenant) ID:n

➡️ Toimita Application (Client) ID ja Directory (Tenant) ID osoitteeseen support@trail.fi

1.2. Konfiguroi miten käyttäjät autentikoituvat (SSO)

Vaiheet:

  1. Avaa App registration ja mene kohtaan Authentication
  2. Lisää Redirect URI
  3. Aktivoi (enable)
    1. ID tokenit
    2. Access tokenit (mikäli API-kutsut ovat tarpeellisia)

Lopputulema: Kun käyttäjä klikkaa “Kirjaudu Microsoftilla”, heidät ohjataan Microsoft Entra ID -kirjautumissivulle.

1.3. Konfiguroi SAML SSO-metodiksi (SAML)

Vaiheet:

  1. Valitse Enterprise Applications -> Single sign-on
  2. Valitse metodi: SAML
  3. Konfiguroi:
    1. Identifier (Entity ID) – yksilöllinen palveluntarjoajan ID: https://youraddress.trail.fi/saml/metadata
    2. Reply URL (Assertion Consumer Service URL) – minne SAML-vastaukset lähetetään https://youraddress.trail.fi/saml/acs
    3. Sign-on URL – valinnainen URL sisäänkirjautumisen aloittamiseen
    4. Tallenna
  4. Kopioi seuraavat Entra IdP endpointit (in the Set up <Application Name> section)
    1. Login URL
    2. SAML-sertifikaatti
    3. Logout URL

➡️ Toimita Login URL, SAML-sertifikaatti ja Logout URL osoitteeseen support@trail.fi.


Kuinka löytää SAML-sertifikaatti?

Mene Application -> Single Sign On ja etsi “SAML Certificates”. Lataa Federation Metadata XML ja lähetä tiedosto osoitteeseen support@trail.fi tai vaihtoehtoisesti lähetä App Federation Metadata URL -linkki.

2. Microsoft Entra ID SSO autentikointi mobiilisovellukselle

Vaiheet:

  1. Avaa Microsoft Entra ID portaali
  2. Mene Applications -> App registrations
  3. Valitse New registration (on suositeltavaa luoda uusi rekisteröinti mobiilisovellukselle, vaikka samalle palvelulle olisi olemassa jo rekisteröinti)
  4. Lisää:
    1. Sovelluksen nimi
    2. Tuetut tilityypit (account types): Vain tämän organisaation hakemistossa olevat tilit (trail.fi only - Single tenant) tai minkä tahansa organisaation hakemistossa olevat tilit (Any Microsoft Entra ID directory - Multitenant)
  5. Valitse Register
  6. Mene Manage -> Authentication

IOS:

  1. Valitse Add a platform
  2. Valitse iOS /macOS
  3. Lisää bundle ID: fi.trail.Trail
  4. Valitse Configure

Android:

  1. Valitse Add a platform
  2. Valitse Android
  3. Lisää Package name: fi.trail.Trail
  4. Lisää Signature hash: pXqTwDZFxc7DtzbQqnmjDGnwdHI=
  5. Valitse Configure

Tämän jälkeen:

  1. Manage -> Token configuration
  2. Valitse Add optional claim
  3. Valitse ID Token-tyypille ja valitse email claim-kolumnissa
  4. Valitse Add
  5. Manage -> Overview
  6. Lähetä arvot seuraavista kentistä osoitteseen support@trail.fi
    1. Application (Client) ID
    2. Directory (Tenant) ID

❗ Tärkeää: Käyttäjillä täytyy olla sähköposti määriteltynä yhteystiedoissaan (Users in Tenant). Tätä sähköpostia käytetään Trailissa. Katso alla oleva siitä kuinka käyttäjälle määritetään sähköposti.


A screenshot of a computer AI-generated content may be incorrect.

2.2. Luo Client Secret (OAuth/OIDC)

Vaiheet:

  1. Mene Certificates & Secret
  2. Valitse New client secret
  3. Aseta
    1. Kuvaus (Description)
    2. Vanhenemisaika (Expiration) (esim. 12 tai 24 kuukautta)
  4. Kopioi client secret -arvo

➡️ Toimita Client secret osoitteeseen support@trail.fi

3. Trail-palvelun autentikointi käyttäjätietojen hakemiseen Microsoft Entra ID -palvelusta

Entra ID -integraatio tarjoaa mahdollisuuden automatisoituun käyttäjätiedon ylläpitoon sekä aktivoitujen että deaktivoitujen käyttäjien kohdalla. Tämä mahdollistaa myös käyttäjäryhmätiedon päivittämisen.

  • Uudet käyttäjät: Kun uusi käyttäjä luodaan Microsoft Entra ID:ssa, käyttäjä luodaan automaattisesti myös Trail-palveluun integraatioajon jälkeen (kerran päivässä)
  • Deaktivoidut käyttäjät: Kun käyttäjä on deaktivoitu tai poistettu Microsoft Entra ID -palvelusta, hänet automaattisesti deaktivoidaan/poistetaan myös Trail-palvelusta.

Tässä vaihtoehdossa käyttäjätieto haetaan AD-käyttäjähakemistosta (active users + user rights). API vaatii luvan päästäkseen käsiksi käyttäjätietoon. Minimitietovaatimus käyttäjätiedoille on: ID, s-posti, etunimi, sukunimi, tili aktivoitu -tieto (account enabled), käyttäjäryhmät. Microsoft Entra ID:ssa ei kuitenkaan ole välttämättä mahdollisuutta rajoittaa haettavaa tietoa vähimmäisvaatimusten mukaiseksi, ja siksi tyypillisesti pääsytaso integraation mahdollistamiseksi on User.Read.All.

3.1. Konfiguroi API luvat

Vaiheet API-lupien lisäämiseksi:

  1. Vasemmassa valikossa, valitse API Permission
  2. Valitse Add permission
  3. Valitse Microsoft Graph
  4. Valitse Application permissions
  5. Lisää ‘Group.Read.All’ ja ‘User.Read.All’
  6. Valitse Delegated permissions
  7. Add ’User.Read’
  8. Valitse Add permissions
  9. Mikäli tarpeellista anna lupa valitsemalla ‘Grant admin consent for <...>’

Lopputulos: API luvat on konfiguroitu siten, että Trail voi hakea käyttäjätietoa suoraan Microsoft Entra ID -palvelusta.

4. Microsoft Entra ID-käyttäjäryhmien linkittäminen manuaalisesti Trail-käyttäjäryhmiin ja manuaalisen käyttäjädeaktivoinnin käynnistäminen

Käyttäjäryhmien synkronointi -lisäosa on suunniteltu yksinkertaistamaan käyttäjähallintaa ja varmistamaan, että tiimeilläsi on aina oikeat pääsyoikeudet Trail -kalustonhallintapalvelussa. Vapaaehtoisena lisäosatuotteena se synkronoi käyttäjäryhmät automaattisesti identiteetinhallintajärjestelmästäsi, vähentäen manuaalista työtä ja pitäen oikeudet ajan tasalla.

Microsoft Entra ID -käyttäjäryhmien synkronointi

Tämä ohje auttaa Käyttäjäryhmien synkronointi -lisäosan aktivoinnissa ja määrityksissä. Jos olet kiinnostunut tämän toiminnon ottamisesta käyttöön Trail-ympäristössäsi, ota yhteyttä osoitteeseen sales@trail.fi.

Tätä vaihtoehtoa käytetään silloin kuin käyttäjäryhmä (ja ryhmälle määritellyt oikeudet) Trail-palvelussa pitäisi yhdistää vastaamaan käyttäjäryhmää Microsoft Entra ID-palvelussa, mutta ryhmätiedon automatisoitu hakeminen Microsoft Entra ID-palvelusta integraation kautta ei ole mahdollista.

Tässä vaihtoehdossa käyttäjäryhmät päivittyvät sisäänkirjautumisen yhteydessä. Tämä vaihtoehto ei mahdollista käyttäjien automaattista poistamista tai deaktivointia. Ainoa tapa, jolla käyttäjien poisto voidaan yhdistää tähän mahdollisuuteen, on toimittaa aktiivisten käyttäjien lista (xls, csv) toistuvasti käyttäjäpoistopäivitystä varten. Päivitetyt käyttäjätiedot päivittyvät sisäänkirjautumisen yhteydessä, joten on teoriassa mahdollista, että käyttäjä ei uudelleenkirjaudu ja siksi käyttäjäryhmät päivittyvät viiveellä.

4.1. Konfiguroi Group Claim-tiedot auktorisointia varten Microsoft Entra ID -palvelussa

Vaiheet:

  1. Mene App registration -> Token configuration
  2. Valitse Add group claim
  3. Valitse ne ryhmät, jotka lähetetään Trail-palveluun kirjautumisen yhteydessä (esimerkiksi “All groups” tai “Groups assigned to the application”)
  4. Tallenna

4.2. Valitse oleelliset ryhmät ja lataa UUID tunniste

Vaiheet:

  1. Mene Groups
  2. Valitse ne ryhmät, jotka ovat oleellisia Trail-käyttäjille
  3. Jokaisesta ryhmästä lataa (36-merkkinen) UUID tunniste (Object ID)

4.3. Yhdistä Microsoft Entra ID -ryhmät käyttäjäryhmiin Trail-palvelussa

Vaiheet:

  1. Trail-palvelussa, avaa Admin -> User groups
  2. Avaa toivottu käyttäjäryhmä editointinäkymään
  3. Lisää UUID tunniste  ‘Identifiers’ -kenttään
  4. Tallenna

Lopputulos: Käyttäjäryhmät Microsoft Entra ID-palvelussa on yhdistetty käyttäjäryhmiin Trail-palvelussa ja ryhmän käyttäjien käyttäjäoikeudet määrittyvät näin automaattisesti oikein.

4.4. Manuaalisen käyttäjäpoiston käynnistäminen

Toimita aktiivisten käyttäjien lista (xls, csv) toistuvasti käyttäjäpoistopäivityksen mahdollistamiseksi. Sovi teknisen tuen (support@trail.fi) kanssa Kuinka lista on saatavilla ja kuinka usein sitä päivitetään. Listaa käytetään deaktivoimaan kaikki ei-aktiiviset käyttäjät.