Hur man konfigurerar Single Sign On (SSO) med Microsoft Entra

Funktionen 'Single Sign On' möjliggör för ditt företag att ha en säkrare miljö genom att tillhandahålla ökad säkerhet gällande åtkomst till dina Dalux-projekt. Med den här funktionen kan du kontrollera hur användarna i din organisation får åtkomst till projekt genom att ge dem möjlighet att eller kräva att de använder SSO.

Denna artikel går igenom hur du ställer in SSO för dina projekt med Microsoft Login (MS Entra, tidigare AzureAD).

Inloggning måste godkännas av både Dalux och kundens organisation för att tillåta användare att logga in med sin Microsoft-login.

Konfigurationsalternativ

Vid inställning av SSO har du olika alternativ för att kontrollera hur inloggningen bör se ut för din organisations användare. I vilket fall som helst måste Dalux registreras i Microsoft Entra innan du kan tillhandahålla Dalux med den erforderliga informationen för installationen.

Om du vill använda Microsoft Entra-grupper för att hantera användarrättigheter i Dalux HelpDesk, Operations & Maintenance eller BIM & Documentation, se till att registrera Dalux som 'Multitenant'.

Microsoft-administratör med Dalux-åtkomst

1. Dalux möjliggör Microsoft-inloggning för kunddomän
2. En administratör med lämplig åtkomst i Microsoft Entra loggar in på Dalux. Här uppmanas de att ge åtkomst till alla organisationsanvändare.
3. (Valfritt) Om administratörssamtycke inte gavs vid den första Microsoft-inloggningen till Dalux, kan Dalux-applikationen hittas under 'Applications' i Microsoft Entra. Administratören kan därefter ge samtycke därifrån.
4. I Dalux definierar du organisationens inloggningspolicy.

Microsoft-administratör utan Dalux-åtkomst

1. Dalux möjliggör Microsoft-inloggning för kunddomän
2. Organisationens Dalux-administratör definierar organisationens inloggningspolicy
3. Microsoft-administratören ger samtycke till applikationen i Microsoft Entras 'Applikationer'.

Aktivera godkännandeförfrågningar

Du kan bestämma om du vill ge samtycke för dina organisationsanvändare i allmänhet eller om en granskare bör ge samtycke individuellt.

För att göra detta, aktivera samtyckesförfrågningar i Microsoft Entra och lägg till minst en granskar-typ. På detta sätt, när en användare försöker logga in med Microsoft-login, visas ett formulär för godkännandeförfrågan:

Granskaren kan sedan godkänna eller neka begäran för denna användare i Microsoft Entra.

Information att tillhandahålla till Dalux

Dalux stöder Single-Sign-On (SSO) över OAuth2.0 via Microsoft Entra och Microsoft Graph. Begär aktivering genom att kontakta din Dalux-konsult och tillhandahålla följande information:

• SSO-aktivering: Låt din konsult veta att du vill aktivera SSO för din organisation.
• Domäner: Lista de domäner du vill aktivera SSO för och tillhandahåll DNS TXT-posten för Dalux (DALUX=COXXXXXX) för att identifiera Dalux som kontrollant av den registrerade domänen.
• Namnet på din organisation i Dalux (Företagsprofil)

Hantera inloggningspolicys

Du kan specificera hur dina organisationsanvändare kan logga in på Dalux. Det är möjligt att konfigurera en domän som ”rent SSO”, vilket betyder att användare registrerade med en e-post från domänen endast kommer att tillåtas åtkomst till Dalux efter lyckad autentisering av AD. Detta kommer att förhindra användare från att ha separata lösenord i Dalux.

Du kontrollerar detta alternativ i följande inställningar. För Field, Box, Tender eller Handover, gå till

Företagsprofiler Välj ditt företag Inställningar 'Hanterade domäner'

För HelpDesk, Operations & Maintenance eller BIM & Documentation, gå till

InställningarIntegrationer'Domäninstallation'

Välj en domän som är kopplad till din organisation och välj dess 'Inloggningspolicy'.

• Kräv AD: Kräver att användare loggar in med sitt Microsoft-login
• Både AD och DaluxID: Användare kan välja att logga in med Microsoft-login eller sitt Dalux-konto.

Användarhantering i Dalux FM med Entra

Hantera användarrättigheter

Dalux FM gör att du kan hantera dina Dalux-användargrupper med grupper från Microsoft Entra. Med detta kan du hantera användarrättigheter i ditt AD, vilket synkroniseras med Dalux.

Se till att dina användargrupper i Dalux FM är korrekt inställda och navigera till

InställningarIntegrationerAzure AD

Kopiera 'Client Id' och 'Tenant Id' från Microsoft Entra och ange 'Client Secret' i det framträdande fönstret, klicka sedan på 'Spara'. Endast efter sparande kommer tjänsten att försöka ansluta. Om anslutningen lyckas kommer de faktiska mappningsalternativen för Microsoft-grupper, Dalux-grupper och områden att visas.

Mappning av dina AD-grupper med användargrupper och användarregioner gör det möjligt för en AD-grupp att mappas till en enskild Dalux-användargrupp och region. Det tillåter inte mappning till flera kombinationer. Du kan mappa flera AD-grupper till samma Dalux-användargrupp och område.

När du anger AD-gruppens namn kan du klicka på 'Validera' för att säkerställa att Dalux hittar gruppen i din katalog.

Nya Dalux-användargrupper eller AD-grupper visas omedelbart och kan mappas, synkronisering utförs varje natt, så ändringar tar en dag att visas i Dalux.

Uppdatera användarinformation

När en användare autentiserar via Microsoft Entra kan den lokala Dalux-användarprofilen uppdateras med följande värden från Microsoft Graph API (user.read):

• Användare.email -> E-post
• Användare.givenName -> Namn
• Användare.surname -> Namn
• User.companyName -> Företag
• User.mobilePhone -> Telefon

Denna data i Dalux skrivs över av inmatningar gjorda i din katalog. Om värdet i din katalog är tomt, behålls datan i Dalux.