# Kertakirjautumisen (SSO) käyttöönotto
Kertakirjautuminen (Single Sign-On, SSO) mahdollistaa organisaation käyttäjien kirjautumisen SignSpace-palveluun ilman erillisiä tunnuksia. Käyttäjät voivat kirjautua organisaationsa identiteettipalvelun, kuten Microsoft Entra ID:n, avulla.
### **Miksi kertakirjautuminen kannattaa ottaa käyttöön?**
* Käyttäjien ei tarvitse muistaa ja säilyttää erillisiä salasanoja SignSpace-palvelua varten, mikä parantaa organisaation suojaa salasanoihin liittyviä kyberhyökkäyksiä vastaan.
* Tietoturva paranee entisestään, mikäli kirjautumistunnusten yhteydessä käytetään monivaiheista tunnistautumista.
* Organisaatio voi hyödyntää keskitettyä käyttöoikeuksien- ja pääsynhallintaa Entra ID:n kautta.
### SSO:n kustannukset
Kertakirjautumisen kustannukset määräytyvät käyttäjämäärän ja tarvittavan konfiguraation laajuuden mukaan.
{% hint style="success" %}
**Ota yhteyttä** [**SignSpace-asiantuntijaan**](https://site.signspace.com/fi/ota-yhteytta/)**, niin autamme löytämään tarpeisiinne sopivan ratkaisun.**
{% endhint %}
### SSO:n käyttöönotto
Integraation voi totettaa kahdessa eri laajuudessa:
1. [Perustason SSO-konfiguraatio](#perustason-sso-konfiguraatio) mahdollistaa käyttäjien kirjautumisen SignSpace-palveluun SSO:n avulla. Uudet käyttäjät lisätään joko Entra ID:stä käsin tai vaihtoehtoisesti SignSpace-sovelluksen käyttäjähallintanäkymässä.
2. Jos organisaationne tarvitsee [keskitettyä käyttäjähallintaa Entra ID:n kautta](#kayttajahallinta-entra-id-n-kautta), integraatiota voidaan laajentaa siten että käyttäjien pääsyoikeuksia ja näiden muutoksia voidaan hallita suoraan Entra ID:stä.
### **Perustason SSO-konfiguraatio**
Perustason konfiguraatio mahdollistaa kirjautumisen SignSpace-palveluun Entra ID -tunnuksilla.
Käyttäjät joilla on olemassaoleva SignSpace-tili ja SSO kytkettynä käyttöön Entra ID:ssä, ohjataan kertakirjautumaan [*https://app.signspace.com/srv/login/sso*](https://app.signspace.com/srv/login/sso). Uusi käyttäjä, joka lisätään organisaation identiteettipalvelusta käsin SignSpace-käyttäjäksi, ohjataan kertakirjautumaan kirjautumisikkunasta sähköpostiosoitteen syöttämisen jälkeen tai vaihtoehtoisesti hänelle toimitetusta SSO-kirjautumislinkistä.
*Suomenkielinen kirjautumissivu:* [*https://app.signspace.com/srv/login/sso/?lang=fi*](https://app.signspace.com/srv/login/sso/?lang=fi)
*Ruotsinkielinen kirjautumissivu:* [*https://app.signspace.com/srv/login/sso/?lang=sv*](https://app.signspace.com/srv/login/sso/?lang=fi)
*Englanninkielinen kirjautumissivu:* [*https://app.signspace.com/srv/login/sso*](https://app.signspace.com/srv/login/sso)
Ensikirjautumisen yhteydessä käyttäjälle luodaan SignSpace-tili. Mikäli käyttäjälle on asetettu käyttöoikeuksia, rooleja ja/tai pääsyoikeus useampaan organisaatioon Entra ID:ssä, niin tämä tieto välittyy ensikirjautumisen yhteydessä SignSpace-palveluun ja valitut asetukset astuvat voimaan. Tämän jälkeen käyttäjähallinta hoidetaan SignSpace-käyttöliittymän kautta, eli kertakirjautumisen jälkeen tehdyt muutokset käyttäjäasetuksiin Entra ID:ssä, eivät astu voimaan SignSpace-palvelussa.
Käyttäjä voidaan vaihtoehtoisesti myös kutsua SignSpace-palvelun kautta käyttäjäksi. Tällöin käyttäjä rekisteröi tilin sähköpostiin lähetettävästä linkistä ja kirjautuu palveluun käyttämällä kertakirjatumista, edellyttäen että kertakirjautuminen on asetettu päälle SignSpace-tilin käyttäjäasetuksissa ja käyttäjä on lisättynä SignSpace käyttäjäksi Entra ID:ssä.
{% hint style="info" %}
Kun kertakirjautuminen on kytketty päälle organisaation tilille, SSO on aina asetettuna oletuksena päälle uusille käyttäjille, riippumatta siitä miten käyttäjä on palveluun käyttäjäksi lisätty!
{% endhint %}
{% hint style="danger" %}
Mikäli kertakirjautuminen on kytketty päälle ja kutsut käyttäjiä käyttöliittymän kautta, varmista aina ennen kutsun lähettämistä, että käyttäjä on lisättynä Entra ID:n SignSpace-ryhmään. Jos kutsuttua käyttäjää ei löydy Entra ID:n SignSpace-ryhmästä, niin kertakirjautuminen epäonnistuu.
{% endhint %}
### **Käyttäjähallinta Entra ID:n kautta**
SignSpace tukee keskitettyä käyttäjähallintaa suoraan Entra ID:stä. Tämän käyttöönotto edellyttää, että käyttäjätiedot välitetään organisaationne identiteettipalvelusta SignSpaceen SSO-tokenin kautta ennalta määrätyssä muodossa.
Seuraavat toiminnot voidaan ottaa käyttöön:
* Uusien käyttäjien lisääminen suoraan organisaation identiteettipalvelusta
* Käyttäjäroolien, käyttöoikeuksien, organisaatioiden ja ryhmien määrittäminen suoraan identiteettipalvelusta
* Käyttäjäroolien ja käyttöoikeuksien muutokset organisaation identiteettipalvelusta
{% hint style="info" %}
Jos käyttäjien hallinta tapahtuu Entra ID:n kautta, Entra ID:ssä tehdyt muutokset päivittyvät SignSpace-palveluun käyttäjän kirjautuessa sisään. SignSpace-palvelussa tehdyt käyttöoikeusmuutokset ylikirjoitetaan kirjautumisen yhteydessä. Tämän vuoksi käyttäjähallinta tulee hoitaa joko SignSpace-käyttöliittymässä tai Entra ID:ssä, mutta ei molemmissa.
{% endhint %}
### Ennakkovaatimukset
Organisaation tulee käyttää Entra ID -identiteettipalvelua (IdP), joka tukee standardia SSO-protokollaa. Integraation laajuudesta riippuen organisaation identiteetinhallintaan tarvitaan muutoksia, jotta tarvittavat tiedot voidaan välittää SignSpace-palveluun.
### SSO:n käyttöönoton vaiheet
1. **SignSpace-yhteyshenkilö toimittaa asiakkaalle Entity ID:n ja Reply URL:in**, joita tarvitaan `SAML.xml`-tiedoston luomista varten.
2. **Asiakas konfiguroi Entra ID:n** - [**katso englanninkielinen ohje**](https://guide.signspace.com/en/managing-your-organisation-account/how-to-set-up-an-entra-id-enterprise-app-for-signspace-sso).
3. **Asiakas lähettää Federation metadata XML** `SAML.xml` **-tiedoston tai linkin**, josta uusin versio voidaan ladata, SignSpace-yhteyshenkilölle.
4. **SignSpace-yhteyshenkilö viimeistelee asiakastilin konfiguroinnin ja aktivoi SSO:n** halutuille verkkotunnuksille.
5. **Asiakas voi ottaa SSO:n käyttöön halutuille käyttäjille** SignSpacen käyttöliittymässä. Tämä koskee niitä käyttäjiä, joiden sähköpostiosoitteet vastaavat konfiguroituja verkkotunnuksia. Aktivointi tehdään käyttäjähallinnan kautta valitsemalla **"SSO käytössä"** -valintaruutu.
6. **SSO on oletuksena käytössä uusille Entra ID:n kautta lisätyille käyttäjille.** Käyttäjä lisätään SignSpace-tilille vasta, kun hän kirjautuu ensimmäisen kerran SSO:lla.
{% hint style="info" %}
Asiakkaan tulee huolehtia uusien käyttäjien informoimisesta, koska SignSpace ei automaattisesti tiedä, milloin uusi käyttäjä on lisätty organisaation identiteettipalveluun. Esimerkki viestistä, jota voi mukauttaa tarpeiden mukaan:
*"Sinulle on myönnetty pääsyoikeus SignSpace-palveluun, jota yrityksemme käyttää sähköiseen allekirjoittamiseen. Kirjaudu palveluun tästä linkistä:* [*https://app.signspace.com/srv/login/sso/?lang=fi*](https://app.signspace.com/srv/login/sso/?lang=fi) *käyttämällä Microsoft-tilisi tunnuksia."*
{% endhint %}
***
### SSO:n toiminnallisuus
Tässä kappaleessa kuvataan yleisimmät kirjautumisprosessit.
#### Uuden käyttäjän lisääminen Entra ID:n kautta
Uusi käyttäjä lisätään Entra ID:n kautta SignSpace-organisaation käyttäjiin. Kun käyttäjä kirjautuu sisään ensimmäisen kerran SSO:lla, sisäänkirjautumisprosessissa käyttäjää pyydetään kirjautumaan Microsoft-tilin kautta, tarkistamaan kirjautumisessa käytetyt henkilötietonsa ja hyväksymään Palveluehdot ja Tietosuojakäytäntö.
Uusi käyttäjä kirjautuu palveluun ensimmäisen kerran linkin kautta: `https://app.signspace.com/srv/login/sso/?lang=fi`
Mikäli käyttäjä ei ole vielä kirjautunut, hänet ohjataan kirjautumaan Microsoft-tilille.
Kirjautumisen jälkeen käyttäjä hyväksyy palveluehdot ja tietosuojaselosteen.
Käyttäjä ohjataan SignSpace-palveluun. Käyttäjälle on määritelty rooli ja myönnetty käyttöoikeudet SSO-tokenin sisältämien tietojen perusteella, [ **lisätietoja SSO-tokenista englanninkielisessä ohjeessa**](https://guide.signspace.com/en/managing-your-organisation-account/how-to-set-up-an-entra-id-enterprise-app-for-signspace-sso)
#### SSO-käyttäjä yrittää kirjautua käyttäjätunnuksella ja salasanalla
Käyttäjät joille SSO on aktivoitu käyttöön, eivät voi kirjautua käyttäjätunnuksella ja salasanalla. Tämä työnkulku esittelee prosessin, kun käyttäjä yrittää kirjautua sisään käyttäjätunnuksella ja salasanalla.
Käyttäjä yrittää kirjautua sisään sähköpostiosoitteella.
Käyttäjä ohjataan sivulle, joka ilmoittaa, että hänen organisaationsa on ottanut kertakirjautumisen käyttöön.
Käyttäjä ohjataan kertakirjautumissivulle.
Jos käyttäjä on jo kirjautunut Microsoft-tilille, hänet ohjataan suoraan SignSpace-palveluun.
#### Käyttäjä yrittää kirjautua sisään kertakirjautumissivulla käyttämällä sähköpostiosoitetta, jota ei ole linkitetty SSO:hon
Käyttäjälle ilmoitetaan, että sähköpostiosoite ei kelpaa kertakirjautumiseen, ja häntä kehotetaan tarkistamaan sähköpostiosoite tai kirjautumaan sisään käyttäjätunnuksella ja salasanalla.
#### Käyttöoikeuksien hallinta Entra ID:stä käsin
Mikäli käyttöoikeuksien hallinta Entra ID:stä käsin on otettu käyttöön, niin Entra ID -puolella tehdyt muutokset käyttöoikeuksiin astuvat voimaan käyttäjän seuraavan kirjautumisen yhteydessä.
#### Käyttäjän poisto Entra ID -puolelta
Entra ID:stä poistettu käyttäjä ei voi enää kirjautua sisään, mutta käyttäjän tililä ei poisteta SignSpacestä, sillä SignSpace-palveluun välittyy tietoa Entra ID:ssa tehdyistä muutoksista ainoastaan käyttäjän SSO-kirjautumistapahtuman yhteydessä.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://guide.signspace.com/organisaatiotilin-hallinnointi/kertakirjautumisen-sso-kayttoonotto.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.