Kertakirjautumisen (SSO) käyttöönotto

Kertakirjautuminen (Single Sign-On, SSO) mahdollistaa organisaation käyttäjien kirjautumisen SignSpace-palveluun ilman erillisiä tunnuksia. Käyttäjät voivat kirjautua organisaationsa identiteettipalvelun, kuten Microsoft Entra ID:n, avulla.

Miksi kertakirjautuminen kannattaa ottaa käyttöön?

  • Käyttäjien ei tarvitse muistaa ja säilyttää erillisiä salasanoja SignSpace-palvelua varten, mikä parantaa organisaation suojaa salasanoihin liittyviä kyberhyökkäyksiä vastaan.

  • Tietoturva paranee entisestään, mikäli kirjautumistunnusten yhteydessä käytetään monivaiheista tunnistautumista.

  • Organisaatio voi hyödyntää keskitettyä käyttöoikeuksien- ja pääsynhallintaa Entra ID:n kautta.

SSO:n kustannukset

Kertakirjautumisen kustannukset määräytyvät käyttäjämäärän ja tarvittavan konfiguraation laajuuden mukaan.

SSO:n käyttöönotto

Integraation voi totettaa kahdessa eri laajuudessa:

  1. Perustason SSO-konfiguraatio mahdollistaa käyttäjien kirjautumisen SignSpace-palveluun SSO:n avulla. Uudet käyttäjät lisätään joko Entra ID:stä käsin tai vaihtoehtoisesti SignSpace-sovelluksen käyttäjähallintanäkymässä.

  2. Jos organisaationne tarvitsee keskitettyä käyttäjähallintaa Entra ID:n kautta, integraatiota voidaan laajentaa siten että käyttäjien pääsyoikeuksia ja näiden muutoksia voidaan hallita suoraan Entra ID:stä.

Perustason SSO-konfiguraatio

Perustason konfiguraatio mahdollistaa kirjautumisen SignSpace-palveluun Entra ID -tunnuksilla.

Käyttäjät joilla on olemassaoleva SignSpace-tili ja SSO kytkettynä käyttöön Entra ID:ssä, ohjataan kertakirjautumaan. Uusi käyttäjä, joka lisätään organisaation identiteettipalvelusta käsin SignSpace-käyttäjäksi, ohjataan kertakirjautumaan kirjautumisikkunasta sähköpostiosoitteen syöttämisen jälkeen tai vaihtoehtoisesti hänelle toimitetusta SSO-kirjautumislinkistä: https://app.signspace.com/srv/login/sso.

Ensikirjautumisen yhteydessä käyttäjälle luodaan SignSpace-tili. Mikäli käyttäjälle on asetettu käyttöoikeuksia, rooleja ja/tai pääsyoikeus useampaan organisaatioon Entra ID:ssä, niin tämä tieto välittyy ensikirjautumisen yhteydessä SignSpace-palveluun ja valitut asetukset astuvat voimaan. Tämän jälkeen käyttäjähallinta hoidetaan SignSpace-käyttöliittymän kautta, eli kertakirjautumisen jälkeen tehdyt muutokset käyttäjäasetuksiin Entra ID:ssä, eivät astu voimaan SignSpace-palvelussa.

Käyttäjä voidaan vaihtoehtoisesti myös kutsua SignSpace-palvelun kautta käyttäjäksi. Tällöin käyttäjä rekisteröi tilin sähköpostiin lähetettävästä linkistä ja kirjautuu palveluun käyttämällä kertakirjatumista, edellyttäen että kertakirjautuminen on asetettu päälle SignSpace-tilin käyttäjäasetuksissa ja käyttäjä on lisättynä SignSpace käyttäjäksi Entra ID:ssä.

Kun kertakirjautuminen on kytketty päälle organisaation tilille, SSO on aina asetettuna oletuksena päälle uusille käyttäjille, riippumatta siitä miten käyttäjä on palveluun käyttäjäksi lisätty!

Käyttäjähallinta Entra ID:n kautta

SignSpace tukee keskitettyä käyttäjähallintaa suoraan Entra ID:stä. Tämän käyttöönotto edellyttää, että käyttäjätiedot välitetään organisaationne identiteettipalvelusta SignSpaceen SSO-tokenin kautta ennalta määrätyssä muodossa.

Seuraavat toiminnot voidaan ottaa käyttöön:

  • Uusien käyttäjien lisääminen suoraan organisaation identiteettipalvelusta

  • Käyttäjäroolien, käyttöoikeuksien, organisaatioiden ja ryhmien määrittäminen suoraan identiteettipalvelusta

  • Käyttäjäroolien ja käyttöoikeuksien muutokset organisaation identiteettipalvelusta

Jos käyttäjien hallinta tapahtuu Entra ID:n kautta, Entra ID:ssä tehdyt muutokset päivittyvät SignSpace-palveluun käyttäjän kirjautuessa sisään. SignSpace-palvelussa tehdyt käyttöoikeusmuutokset ylikirjoitetaan kirjautumisen yhteydessä. Tämän vuoksi käyttäjähallinta tulee hoitaa joko SignSpace-käyttöliittymässä tai Entra ID:ssä, mutta ei molemmissa.

Ennakkovaatimukset

Organisaation tulee käyttää Entra ID -identiteettipalvelua (IdP), joka tukee standardia SSO-protokollaa. Integraation laajuudesta riippuen organisaation identiteetinhallintaan tarvitaan muutoksia, jotta tarvittavat tiedot voidaan välittää SignSpace-palveluun.

SSO:n käyttöönoton vaiheet

  1. SignSpace-yhteyshenkilö toimittaa asiakkaalle Entity ID:n ja Reply URL:in, joita tarvitaan SAML.xml-tiedoston luomista varten.

  2. Asiakas konfiguroi Entra ID:n - katso englanninkielinen ohje.

  3. Asiakas lähettää Federation metadata XML SAML.xml -tiedoston tai linkin, josta uusin versio voidaan ladata, SignSpace-yhteyshenkilölle.

  4. SignSpace-yhteyshenkilö viimeistelee asiakastilin konfiguroinnin ja aktivoi SSO:n halutuille verkkotunnuksille.

  5. Asiakas voi ottaa SSO:n käyttöön halutuille käyttäjille SignSpacen käyttöliittymässä. Tämä koskee niitä käyttäjiä, joiden sähköpostiosoitteet vastaavat konfiguroituja verkkotunnuksia. Aktivointi tehdään käyttäjähallinnan kautta valitsemalla "SSO käytössä" -valintaruutu.

  6. SSO on oletuksena käytössä uusille Entra ID:n kautta lisätyille käyttäjille. Käyttäjä lisätään SignSpace-tilille vasta, kun hän kirjautuu ensimmäisen kerran SSO:lla.

Asiakkaan tulee huolehtia uusien käyttäjien informoimisesta, koska SignSpace ei automaattisesti tiedä, milloin uusi käyttäjä on lisätty organisaation identiteettipalveluun. Esimerkki viestistä, jota voi mukauttaa tarpeiden mukaan:

"Sinulle on myönnetty pääsyoikeus SignSpace-palveluun, jota yrityksemme käyttää sähköiseen allekirjoittamiseen. Kirjaudu palveluun tästä linkistä: https://app.signspace.com/srv/login/sso käyttämällä Microsoft-tilisi tunnuksia."


SSO:n toiminnallisuus

Tässä kappaleessa kuvataan yleisimmät kirjautumisprosessit.

Uuden käyttäjän lisääminen Entra ID:n kautta

Uusi käyttäjä lisätään Entra ID:n kautta SignSpace-organisaation käyttäjiin. Kun käyttäjä kirjautuu sisään ensimmäisen kerran SSO:lla, sisäänkirjautumisprosessissa käyttäjää pyydetään kirjautumaan Microsoft-tilin kautta, tarkistamaan kirjautumisessa käytetyt henkilötietonsa ja hyväksymään Palveluehdot ja Tietosuojakäytäntö.

Uusi käyttäjä kirjautuu palveluun ensimmäisen kerran linkin kautta: https://app.signspace.com/srv/login/sso

Mikäli käyttäjä ei ole vielä kirjautunut, hänet ohjataan kirjautumaan Microsoft-tilille.

Kirjautumisen jälkeen käyttäjä hyväksyy palveluehdot ja tietosuojaselosteen.

Käyttäjä ohjataan SignSpace-palveluun. Käyttäjälle on määritelty rooli ja myönnetty käyttöoikeudet SSO-tokenin sisältämien tietojen perusteella, lisätietoja SSO-tokenista englanninkielisessä ohjeessa

SSO-käyttäjä yrittää kirjautua käyttäjätunnuksella ja salasanalla

Käyttäjät joille SSO on aktivoitu käyttöön, eivät voi kirjautua käyttäjätunnuksella ja salasanalla. Tämä työnkulku esittelee prosessin, kun käyttäjä yrittää kirjautua sisään käyttäjätunnuksella ja salasanalla.

Käyttäjä yrittää kirjautua sisään sähköpostiosoitteella.

Käyttäjä ohjataan sivulle, joka ilmoittaa, että hänen organisaationsa on ottanut kertakirjautumisen käyttöön.

Käyttäjä ohjataan kertakirjautumissivulle.

Jos käyttäjä on jo kirjautunut Microsoft-tilille, hänet ohjataan suoraan SignSpace-palveluun.

Käyttäjä yrittää kirjautua sisään kertakirjautumissivulla käyttämällä sähköpostiosoitetta, jota ei ole linkitetty SSO:hon

Käyttäjälle ilmoitetaan, että sähköpostiosoite ei kelpaa kertakirjautumiseen, ja häntä kehotetaan tarkistamaan sähköpostiosoite tai kirjautumaan sisään käyttäjätunnuksella ja salasanalla.

Käyttöoikeuksien hallinta Entra ID:stä käsin

Mikäli käyttöoikeuksien hallinta Entra ID:stä käsin on otettu käyttöön, niin Entra ID -puolella tehdyt muutokset käyttöoikeuksiin astuvat voimaan käyttäjän seuraavan kirjautumisen yhteydessä.

Käyttäjän poisto Entra ID -puolelta

Entra ID:stä poistettu käyttäjä ei voi enää kirjautua sisään, mutta käyttäjän tililä ei poisteta SignSpacestä, sillä SignSpace-palveluun välittyy tietoa Entra ID:ssa tehdyistä muutoksista ainoastaan käyttäjän SSO-kirjautumistapahtuman yhteydessä.

Last updated