Single Sign On

Senast uppdaterad: 2017-06-27

Single-sign on / SAML i admin

Kodmyran Commerce har ifrån version 5.9.6 fullt stöd för single-sign on (SSO) via en standard som heter SAML 2.0. Alla företag med 10+ anställda, hög personalomsättning, höga säkerhetskrav eller som bara vill spara lite tid kan dra nytta av SAML.

Med SSO/SAML så kan du centralisera din hantering av användare och rättigheter till ett ställe, oavsett om det är Kodmyran Commerce, Office 365, Google Docs, inloggning i Windows eller andra tjänster.
När en nyanställd börjar eller en gammal medarbetare slutar så behöver du bara skapa/ta bort den användaren på ett ställe, inte i varje system. Användaren behöver också normalt bara logga in en enda gång för en hel arbetsdag.

Man kan ibland använda det även för användare av temporär eller extern natur, där man istället för att lägga upp en vanlig användare kan koppla ihop ett externt konto med tjänsten. Det kan vara bra för t.ex. en revisor som då kan använda sin vanliga inloggning och inte behöver komma ihåg lösenord till alla sina kunder.

Det ökar din säkerhet eftersom man kan koppla in olika former av extra kontroller, så som att låsa inloggningar till vissa länder, enbart i kombination med säkerhetsdosa, en mera komplex inloggning första gången man loggar in ifrån en ny enhet och liknande. Som administratör kan man då också få loggar och statistik på vilka applikationer som används och av vilka, vid vilka tidpunkter mm. - ifrån en gemensam källa.

Rent tekniskt så går till som så att man har en tredje part som kontrollerar att det är rätt person och att man har tillstånd att använda just den applikationen. En sådan leverantör kallas för en "Identity Provider" (IdP).

Kodmyran Commerce är testat med flera vanliga IdP leverantörer:
  • OneLogin
  • Okta
  • Microsoft AzureAD (Office365)
(Sannolikt fungerar många andra också, men detta är en lista på de som är testade)

De testade leverantörerna har samtliga olika former av kopplingar som gör att man kan presentera sin befintliga interna active directory och LDAP katalog som vanligt, dvs användaren kan utnyttja sitt vanliga Windows lösenord om de är delar av en gemensam katalogtjänst. De allra flesta större organisationer som kör med t.ex. Office365 har redan idag SAML möjlighet via Microsofts Active Directory Federation Services (ADFS), då är integrationen mycket enkel.
 

Licens

SAML/SSO funktionen är tillgängligt utan extra kostnad i paketet Kodmyran Commerce Flex och är att betrakta som en avancerad funktion. För att slå igång den kontakta Kodmyran support som guidar dig genom vilka inställningar ni behöver göra. 

Notera att IdP tjänsten kan vara förenad med en extra kostnad ifrån IdP leverantören. Normalt tar de betalt per användare och funktionsnivå, men i vissa paketeringar av t.ex. Office365 så kan denna funktion ingå i ett grundläggande utförande.

OneLogin erbjuder också en gratis variant som idag är begränsad till ett fåtal användare och max tre applikationer.
 

Användarens upplevelse

Användaren kommer att märka att de antingen direkt är/blir inloggade i admin, utan uppmaning till lösenord. I de få fall användaren ändå måste logga in så finns det en speciell länk där det står "logga in med min organisations konto" som direkt leder till en gemonförd inloggning, alternativt visas inloggningsrutan för den IdP tjänst man använder.

Användaren behöver bara komma ihåg ett enda lösenord, oavsett vilken appliktion/tjänst som de vill använda. Man får också automatiskt möjligheter till olika former av lösenordsåterställning för att hantera när användaren glömt sitt lösenord efter t.ex. semestern.

I extremfall så kan man använda tjänster i t.ex. Windows 10 (Windows Hello) som känner igen ansiktet på personen som använder datorn och automatiskt loggar in dig enbart på det sättet. Du behöver sedan inte ange lösenord i dina applikation er heller utan enbart ansiktet räcker.
 

Nya användare

När man som administratör skapar nya användare/delar ut tillgång till en applikation med SAML så måste man traditionellt även skapa användaren i slutsystemet. Kodmyran Commerce har dock funktionalitet för att genomföra s.k. "auto-provisioning" där användaren i Kodmyran Commerce skapas automatiskt första gången användaren loggar in. De får alla sina rättigheter kopierade ifrån en mall användare så att det är minimalt med arbete att lägga upp nya användare.
 

Allmän integration

Exakt hur detta fungerar skiljer sig något åt mellan olika IdP leverantörer, men i stora drag så gör man följande:
  • Skapar en ny applikation i sin IdP tjänst, man får då ut ett antal nycklar och URL:er som vi på Kodmyran behöver. Du behöver också normalt uppge lite URL:er för att kunna skapa applikationen. Du får den information du behöver ifrån oss.
  • Vi skapar en SAML konfiguration med information ifrån ovanstående i Kodmyran Commerce
  • Du skapar användare i din valda tjänst, och tilldelar dem applikationen Kodmyran Commerce
  • Nu kan användaren utnyttja tjänsten
     

Integration med Office365

Specifikt med Office365 så kan man få Kodmyran Commerce att dyka upp som en applikation i webbversionen, så att den syns när man klickar på ikonen uppe i vänstra hörnet. Man kan då mycket snabbt hoppa mellan olika program. Notera att den möjligheten kan kräva specifika licensformer av Office365.

Okta och OneLogin har en liknande startsida där man kan välja att visa Kodmyran Commerce som en tillgänglig applikation, ett klick på ikonen för Kodmyran Commerce och man är automatiskt inloggad direkt i admin.
Ja Jag blev hjälpt av den här artikeln

Kontakta oss

support@kodmyran.se
https://cdn.desk.com/
false
KodmyranSupport
Laddar
sekunder sedan
en minut sedan
minuter sedan
en timme sedan
timmar sedan
en dag sedan
dagar sedan
ca
false
Ogiltiga tecken upptäckta
/customer/sv/portal/articles/autocomplete
sökresultat i
Visa alla
Visa färre