1. Opprette en Enterprise Application i ENTRA
1. Naviger til Enterprise Applications : Gå til ENTRA ID-portalen, naviger til Enterprise applications, og klikk på New application
2. Opprett en egendefinert applikasjon : Klikk på Create your own application, og angi et passende navn for applikasjonen.
Navnet kan endres senere.
3. Legg til User.Read Permission: For å muliggjøre innlogging via ENTRA ID SSO må User.Read.Permission legges til:
Klikk på «Properties»
- Gå deretter til Application registration, API permissions, og velg Add a permission
4. Legg til Secret:
For å aktivere TelluCare SSO må du opprette en client secret:
- Klikk på Certificates & secrets og deretter New client secret
- Gi hemmeligheten et passende navn og velg utløpstid
- Lagre verdien (Value) – denne må legges inn i TelluCare og kan ikke hentes igjen senere
OBS! Når hemmeligheten utløper, må en ny opprettes og den nye verdien legges inn i TelluCare
5. Hent Application ID og Directory ID: Click on "Overview" to obtain the Application and Directory ID.Click on “Overview” to fetch Application and Directory ID.
2. Konfigurere TelluCare for SSO
-
Legg inn applikasjonsdetaljer: Client secret, Application ID og Directory ID skal legges inn i TelluCare for å aktivere SSO:
- Klikk på Account settings i menyen til venstre
(du må være Administrator eller ha Tellu Support-tilgang på toppnivå) - Klikk på pilen for å redigere Entra ID-kontoen
- Klikk på Account settings i menyen til venstre
3. Legg til Redirect URL i ENTRA ID:
- Klikk på Authentication
- Velg Add a platform, deretter Web
- Legg inn Redirect URL-en som er generert i TelluCare
4. Gi Admin Consent:
Administratorgodkjenning er påkrevd:
- Gå tilbake til Enterprise application
- Klikk på Permissions under Security
Velg Grant admin consent for
3. Aktivere Provisioning for brukersynkronisering
-
Aktiver provisioning i TelluCare:
-
-
- Gå til Account settings
- Klikk på Activate provisioning
-
-
2. Aktiver provisioning i ENTRA:
- Klikk på Provisioning og deretter Get started.
- Velg Automatic som provisioning-modus.
- Legg inn Tenant URL og Secret Token fra forrige steg
3.Aktiver grupper og brukere: Både grupper og brukere må være aktivert, og Attribute mapping må være korrekt konfigurert.
4. Provisjonering
Brukere og grupper
Provisjonering i TelluCare er avhengig av både brukere og grupper for å fungere korrekt.
Gruppekonfigurasjonen i TelluCare bestemmer roller (dersom konfigurert) og aktiverer SSO for synkroniserte brukere.
➡️ En bruker som synkroniseres uten gruppe, vil ikke få roller og ikke få SSO aktivert.
Konflikthåndtering
Når provisioning aktiveres for brukere som allerede finnes i TelluCare, forsøker systemet å løse konflikter ved å sammenligne eksisterende bruker med provisionert bruker.
En konflikt oppstår kun dersom bestemte kriterier ikke er oppfylt.
Regler som må oppfylles:
- Konsistens i brukernavn og e-post
Både brukernavn og e-postadresse må samsvare mellom den provisionerte brukeren og eksisterende TelluCare-bruker.
Sørg for at attribute mapping er korrekt konfigurert – ofte brukes userPrincipalName fra Azure som brukernavn. - Unik provisioning-kilde
Brukeren må ikke tidligere være provisionert fra en annen tjeneste.
Normalt registreres objectId fra Azure på TelluCare-brukeren under provisioning. Dersom en objectId allerede finnes, må den samsvare. - SSO må være aktivert
Brukeren må allerede ha SSO aktivert.
Dersom alle regler er oppfylt, vil TelluCare tillate provisioning og oppdatere øvrige brukerfelter for å holde dem synkronisert med kilden.
Grupper
- Etter første provisioning-syklus kan du se provisionerte grupper og antall brukere per gruppe i TelluCare
- Tildel TelluCare-roller til grupper for å sikre at alle brukere i gruppen får riktig rolle
- Alternativt kan roller konfigureres individuelt per bruker
- Nye brukere vil automatisk motta konfigurerte roller i fremtidige provisioning-sykluser
Ved å følge disse stegene kan du på en effektiv og regelverksmessig måte logge hendelser og administrere brukersynkronisering i TelluCare ved hjelp av ENTRA ID.