Kertakirjautumisen (SSO) käyttöönotto
Last updated
🇫🇮 Suomi
Last updated
Kertakirjautuminen (Single Sign-On, SSO) mahdollistaa organisaation käyttäjien kirjautumisen SignSpace-palveluun ilman erillisiä tunnuksia. Käyttäjät voivat kirjautua organisaationsa identiteettipalvelun, kuten Microsoft Entra ID:n, avulla.
Käyttäjien ei tarvitse muistaa ja säilyttää erillisiä salasanoja SignSpace-palvelua varten, mikä parantaa organisaation suojaa salasanoihin liittyviä kyberhyökkäyksiä vastaan.
Tietoturva paranee entisestään, mikäli kirjautumistunnusten yhteydessä käytetään monivaiheista tunnistautumista.
Organisaatio voi hyödyntää keskitettyä käyttöoikeuksien- ja pääsynhallintaa Entra ID:n kautta.
Kertakirjautumisen kustannukset määräytyvät käyttäjämäärän ja tarvittavan konfiguraation laajuuden mukaan.
Ota yhteyttä SignSpace-asiantuntijaan, niin autamme löytämään tarpeisiinne sopivan ratkaisun.
Perustason SSO-konfiguraatio mahdollistaa käyttäjien kirjautumisen SignSpace-palveluun SSO:n avulla. Jos organisaationne tarvitsee keskitettyä käyttäjähallintaa Entra ID:n kautta, integraatiota voidaan laajentaa siten että käyttäjien pääsyoikeuksia ja näiden muutoksia voidaan hallita suoraan Entra ID:stä.
Perustason konfiguraatio mahdollistaa kirjautumisen SignSpace-palveluun Entra ID -tunnuksilla.
Käyttäjät joilla on olemassaoleva SignSpace-tili ja SSO kytkettynä käyttöön Entra ID:ssä, ohjataan kertakirjautumaan. Uusi käyttäjä, joka lisätään organisaation identiteettipalvelusta käsin SignSpace-käyttäjäksi, ohjataan kertakirjautumaan kirjatumisikkunasta sähköpostiosoitteen syöttämisen jälkeen tai vaihtoehtoisesti hänelle toimitetusta SSO-kirjautumislinkistä: https://app.signspace.com/srv/login/sso.
Ensikirjautumisen yhteydessä käyttäjälle luodaan SignSpace-tili. Mikäli käyttäjälle on asetettu käyttöoikeuksia, rooleja ja/tai pääsyoikeus useampaan organisaatioon Entra ID:ssä, niin tämä tieto välittyy ensikirjautumisen yhteydessä SignSpace-palveluun ja valitut asetukset astuvat voimaan. Tämän jälkeen käyttäjähallinta hoidetaan SignSpace-käyttöliittymän kautta, eli kertakirjautumisen jälkeen tehdyt muutokset käyttäjäasetuksiin Entra ID:ssä, eivät astu voimaan SignSpace-palvelussa.
Käyttäjä voidaan vaihtoehtoisesti myös kutsua SignSpace-palvelun kautta käyttäjäksi. Tällöin käyttäjä rekisteröi tilin sähköpostiin lähetettävästä linkistä ja kirjautuu palveluun käyttämällä kertakirjatumista, edellyttäen että kertakirjaituminen on asetettu päälle SignSpace-tilin käyttäjäasetuksissa ja käyttäjä on lisättynä SignSpace käyttäjäksi Entra ID:ssä.
SignSpace tukee keskitettyä käyttäjähallintaa suoraan Entra ID:stä. Tämän käyttöönotto edellyttää, että käyttäjätiedot välitetään organisaationne identiteettipalvelusta SignSpaceen SSO-tokenin kautta ennalta määrätyssä muodossa.
Seuraavat toiminnot voidaan ottaa käyttöön:
Uusien käyttäjien lisääminen suoraan organisaation identiteettipalvelusta
Käyttäjäroolien, käyttöoikeuksien, organisaatioiden ja ryhmien määrittäminen suoraan identiteettipalvelusta
Käyttäjäroolien ja käyttöoikeuksien muutokset organisaation identiteettipalvelusta
Jos käyttäjien hallinta tapahtuu Entra ID:n kautta, Entra ID:ssä tehdyt muutokset päivittyvät SignSpace-palveluun käyttäjän kirjautuessa sisään. SignSpace-palvelussa tehdyt käyttöoikeusmuutokset ylikirjoitetaan kirjautumisen yhteydessä. Tämän vuoksi käyttäjähallinta tulee hoitaa joko SignSpace-käyttöliittymässä tai Entra ID:ssä, mutta ei molemmissa.
Organisaation tulee käyttää Entra ID -identiteettipalvelua (IdP), joka tukee standardia SSO-protokollaa. Integraation laajuudesta riippuen organisaation identiteetinhallintaan tarvitaan muutoksia, jotta tarvittavat tiedot voidaan välittää SignSpace-palveluun.
SignSpace-yhteyshenkilö toimittaa asiakkaalle Entity ID:n ja Reply URL:in, joita tarvitaan SAML.xml-tiedoston luomista varten.
Asiakas konfiguroi Entra ID:n (katso ohje "Miten ottaa käyttöön Entra ID Enterprise App SignSpace SSO:lle").
Asiakas lähettää Federation metadata XML SAML.xml -tiedoston tai linkin, josta uusin versio voidaan ladata, SignSpace-yhteyshenkilölle.
SignSpace-yhteyshenkilö viimeistelee asiakastilin konfiguroinnin ja aktivoi SSO:n halutuille verkkotunnuksille.
Asiakas voi ottaa SSO:n käyttöön halutuille käyttäjille SignSpacen käyttöliittymässä. Tämä koskee niitä käyttäjiä, joiden sähköpostiosoitteet vastaavat konfiguroituja verkkotunnuksia. Aktivointi tehdään käyttäjähallinnan kautta valitsemalla "SSO käytössä" -valintaruutu.
SSO on oletuksena käytössä uusille Entra ID:n kautta lisätyille käyttäjille. Käyttäjä lisätään SignSpace-tilille vasta, kun hän kirjautuu ensimmäisen kerran SSO:lla.
Asiakkaan tulee huolehtia uusien käyttäjien informoimisesta, koska SignSpace ei automaattisesti tiedä, milloin uusi käyttäjä on lisätty organisaation identiteettipalveluun. Esimerkki viestistä, jota voi mukauttaa tarpeiden mukaan:
"Sinulle on myönnetty pääsyoikeus SignSpace-palveluun, jota yrityksemme käyttää sähköiseen allekirjoittamiseen. Kirjaudu palveluun tästä linkistä: https://app.signspace.com/srv/login/sso käyttämällä Microsoft-tilisi tunnuksia."
Tässä kappaleessa kuvataan yleisimmät kirjautumisprosessit.
Uusi käyttäjä lisätään Entra ID:n kautta SignSpace-organisaation käyttäjiin. Kun käyttäjä kirjautuu sisään ensimmäisen kerran SSO:lla, sisäänkirjautumisprosessissa käyttäjää pyydetään kirjautumaan Microsoft-tilin kautta, tarkistamaan kirjautumisessa käytetyt henkilötietonsa ja hyväksymään Palveluehdot ja Tietosuojakäytäntö.
Uusi käyttäjä kirjautuu palveluun ensimmäisen kerran linkin kautta: https://app.signspace.com/srv/login/sso
Mikäli käyttäjä ei ole vielä kirjautunut, hänet ohjataan kirjautumaan Microsoft-tilille.
Kirjautumisen jälkeen käyttäjä hyväksyy palveluehdot ja tietosuojaselosteen.
Käyttäjä ohjataan SignSpace-palveluun. Käyttäjälle on määritelty rooli ja myönnetty käyttöoikeudet SSO-tokenin sisältämien tietojen perusteella.
Käyttäjät joille SSO on aktivoitu käyttöön, eivät voi kirjautua käyttäjätunnuksella ja salasanalla. Tämä työnkulku esittelee prosessin, kun käyttäjä yrittää kirjautua sisään käyttäjätunnuksella ja salasanalla.
Käyttäjä yrittää kirjautua sisään sähköpostiosoitteella.
Käyttäjä ohjataan sivulle, joka ilmoittaa, että hänen organisaationsa on ottanut kertakirjautumisen käyttöön.
Käyttäjä ohjataan kertakirjautumissivulle.
Jos käyttäjä on jo kirjautunut Microsoft-tilille, hänet ohjataan suoraan SignSpace-palveluun.
Käyttäjälle ilmoitetaan, että sähköpostiosoite ei kelpaa kertakirjautumiseen, ja häntä kehotetaan tarkistamaan sähköpostiosoite tai kirjautumaan sisään käyttäjätunnuksella ja salasanalla.
Mikäli käyttöoikeuksien hallinta Entra ID:stä käsin on otettu käyttöön, niin Entra ID -puolella muutetut käyttöoikeudet astuvat voimaan käyttäjän seuraavan kirjautumisen yhteydessä.
Entra ID:stä poistettu käyttäjä ei voi enää kirjautua sisään, mutta käyttäjän tililä ei poisteta SignSpacestä, sillä SignSpace-palveluun välittyy tietoa Entra ID:ssa tehdyistä muutoksista ainoastaan käyttäjän SSO-kirjautumistapahtuman yhteydessä.
