Övrigt

Guide för att sätta upp tvåfaktorsinloggning

Det finns flera mobilapplikationer som kan generera engångskoder för inloggning med tvåfaktorsinloggning. Vi rekommenderar Google Authenticator eller Microsoft Authenticator. I denna guide använder vi oss av Google Authenticator som finns att ladda ner gratis på Google Play Butik (Android) eller App Store (iOS).

Konfigurera Google Authenticator för första inloggningen med INSIKT

Börja med att ladda ner och öppna Google Authenticator på din mobila enhet. Klicka sedan på knappen ”BÖRJA”.

Klicka på “Läs av streckkoden”.

Klicka på “Tillåt”.

För att läsa av QR-koden riktar du mobila enheten mot QR-koden på skärmen. En sexsiffrig engångskod genereras när QR-koden är avläst. Gå tillbaka till INSIKT-fliken i webbläsaren för att läsa av QR-koden.

Ange den sexsiffriga engångskod som har genererats från den mobila enheten. Uppge även ett enhetsnamn för att identifiera just denna enhet om du lägger till flera.

Nu är konfigurationen av tvåfaktorsinloggning och första inloggningen klar.

När Google Authenticator är färdigkonfigurerad loggar du in på följande vis

 
Under kommande inloggningar kommer INSIKT fråga efter en engångskod. Starta Google Authenticator på din mobila enhet och ange den sexsiffriga engångskod som genereras och klicka på ”Spara”.

Nu är inloggningen färdig.

Guide för att koppla INSIKT mot Azure AD

För att synkronisera användare och säkerhetsgrupper från Azure AD ska INSIKT först registreras som en applikation i portalen för Azure AD.

Registrering av INSIKT som applikation

1. Öppna Microsoft Azure
2. Klicka på Appregistreringar
   
3. Klicka på Ny registrering
   
4. Fyll i valfritt namn, helst något som kan förknippas med INSIKT så det känns igen. Välj Endast konton i den här organisationskatalogen och tryck Registrera.

Tilldelning av applikationsbehörigheter

1. Klicka på API-behörigheter under Hantera i panelen till vänster.
2. Tryck på Lägg till en behörighet uppe på sidan.
   
3. En ny panel till höger kommer öppnas upp. Tryck på Microsoft Graph.
   
4. Välj Programbehörigheter.
5. Bocka i User.Read.All under User för att kunna läsa ut information om användarna.
   
6. Bocka i GroupMember.Read.All under GroupMember för att kunna läsa ut information om säkerhetsgrupperna och användarna som är medlem i valda grupperna.
   
7. Tryck på Lägg till behörigheter längst ner.
8. Behörigheterna måste nu godkännas av en admin.
9. När behörigheterna har godkänts av en admin, ska de visas i grönt enligt följande bild.
   

Nu när applikationen är registrerad så ska den konfigureras i INSIKT för att kunna kommunicera med Azure AD.

Konfiguration i INSIKT

1. I INSIKT, gå till Admin > System > Användarkataloger.
   
2. Tryck på Lägg till domän.
3. Välj typen Azure.
4. Ange ett valfritt namn för domänen. Gärna något som har en anknytning till Azure eftersom det är visningsnamnet i andra delar av admingränssnittet.
5. Klientorganisations-ID kan hittas på följande.
   
6. Program-ID finner man på sidan för den registrerade applikationen, där man också finner Klientorganisations-ID.
   
   
7. Klienthemlighet måste genereras för appen i Azure AD portalen. Gå tillbaka till den registrerade appen sedan tryck på Certifikat och hemligheter i panelen till vänster.
8. Tryck sedan på Ny klienthemlighet.
   
9. Skriv en valfri beskrivning och sätt Upphör att gälla till Aldrig, tryck sedan på Lägg till.
10. Hemligheten kommer visas under kolumnen Värde i listan. Kopiera och klistra in i fältet Klienthemlighet i INSIKT. Obs! Klienthemligheten kommer visas bara en gång, vid nästa laddning i portalen kommer den ersättas av stjärnor och då går det inte att ta tillbaks.
11. Tryck på Spara-knappen i INSIKT.

Guide för att konfigurera SAML Single sign-on i INSIKT mot Azure AD.

Se till att du har följande innan du börjar konfigurera Azure AD som IdP (Identity Provider):

1. En existerande instans av Azure Active Directory.
2. En Premium Azure Active Directory-prenumeration (Premium P1 är den miniminivå som SAML SSO blir tillgänglig med icke-galleriprogram, läs mer nedan).

Först måste INSIKT registreras som ett Företagsprogram i portalen för Azure AD.

Registrering av INSIKT som ett företagsprogram

1. Öppna Microsoft Azure
2. Klicka på Företagsprogram
   
   
3. Sedan klicka på Nytt program
   
   
4. Välj Icke-galleriprogram och fyll i valfritt namn, helst något som kan förknippas med INSIKT så det känns igen.
5. Välj att programmet ska använda SAML-baserad enkel inloggning som ”Enkel inloggningsläge”.

Tilldela användare och/eller grupper åtkomst att logga in i INSIKT i Azure-portalen

1. Alla användare som ska logga in med SAML-baserad enkel inloggning i INSIKT via Azure AD måste tilldelas behörighet till företagsprogrammet (som skapades ovan).
2. Klicka på Användare och Grupper
3. Klicka på Lägg till användare
4. Välj de användare (eller grupper) som ska få behörighet att logga in via Single sign-on.
5. Tilldela dem rollen Användare

Konfigurering av INSIKT för SAML-baserad enkel inloggning i Azure-portalen

1. Sätt inställningar för INSIKT i Azure AD portalen enligt bilden nedan
   
   
   1. Identifierare, Svars-URL och Inloggnings-URL ska alla sättas till INSIKTs inloggnings-URL (https://insikt.kund.se/login).
   2. Unik användaridentifierare bör sättas till user.mail.
      1. Här kan användarnamn i Azure AD (user.principalname t ex) användas också om användarna i INSIKT kan identifieras med denna. Det rekommenderas att e-postadress väljs här dock.
2. Hämta XML-federationsmetadata och spara filen till din dator.
   
   

Konfiguration i INSIKT

1. I INSIKT, gå till Admin > System > Autentisering
2. Expandera rubriken SAML 2.0 Single sign-on
3. Importera XML-federationsmetadatat som hämtades i steg 2 under ”Konfigurering av företagsprogram för SAML-baserad enkel inloggning” via knappen ”Importera IDP-metadata”.
   
4. Om inställningarna inte kan läsas in automatiskt måste fälten ”URL till Identity Provider” och ”Identity Providers signeringscertifikat” sättas manuellt. Dessutom måste ”Single sign-on aktiverat” vara påslagen. Tryck sedan på Spara-knappen.
5. Nu kommer alla användare som går till INSIKT att bli omdirigerade till inloggningssidan för Azure AD (https://login.microsoftonline.com/) där de får logga in och sedan direkt dirigeras tillbaka till INSIKT och automatiskt blir inloggade även där.
   
   
   1. Om användaren redan loggat in i Azure AD i sin webbläsar-session sker omdirigeringen direkt till Azure AD och tillbaka till INSIKT utan att behöva skriva in sina användaruppgifter på nytt. Inloggningen kommer alltså att ske direkt i INSIKT, som den användare man loggat in mot Azure AD’t sedan tidigare.
6. Logga ut och in i INSIKT för att testa.

Konfigurering i INSIKT om externa användare (ej tillagda i Azure AD) ska kunna logga in

1. Om externa användare som inte finns i Azure AD’t ska kunna logga in, bör inställningen ”Tillåt formulärinloggning” slås på. Då kan det även vara relevant att sätta ”Visningsnamn för Identity Provider (IDP)” till ett namn som användarna förstår betyder att logga in via Azure AD med Single sign-on.
   
   
2. Nu dirigeras inte användarna direkt till Azure AD för att logga in när de går till INSIKT, utan INSIKTs inloggningssida visas med två alternativ, ett för att logga in via Single sign-on och ett för att logga in direkt i INSIKT (endast relevant för användare som har lösenord sparade i INSIKTs databas, INSIKT-hanterade användare).
   
   

Drag-and-drop themes force you to be the designer. But you're not.

Instead of spending hours dragging and dropping each component into place, marketers using sprocket Rocket can simply stack modules to build pages lightning-fast.