SSO ja Käyttäjäryhmät

Tämä osio on suunnattu niille, jotka hallinnoivat Identity Provideria (IdP), esimerkiksi Entra ID (Azure AD), Okta tai Google. Täällä käymme läpi, miten konfiguroit Single Sign-On (SSO) ja käyttäjäryhmät Intricille.

SSO:n (Single Sign-On) asettaminen

Intric käyttää OIDC:ta (OpenID Connect) kirjautumiseen, mikä mahdollistaa käyttäjien kirjautua olemassa olevilla organisaatiotileillään.

Tiedot, jotka sinun täytyy lähettää Intricille

Jotta Intric voi konfiguroida SSO:n IdP:täsi vastaan, sinun täytyy tarjota:

Issuer: URL issueriin (esim. https://login.microsoftonline.com/{tenant-id}/v2.0)
Client ID: Client ID IdP:stäsi
Client Secret: Client Secret IdP:stäsi

Konfiguraatio sinun puolellasi (IdP:ssäsi)

Identity Providerissasi sinun täytyy whitelistata seuraava callback-URL:

https://login.intric.ai/ui/login/login/externalidp/callback

Tämä mahdollistaa Intricin vastaanottaa kirjautumisvahvistukset IdP:stäsi.

Käyttäjäryhmät

Käyttäjäryhmät ovat käyttäjien kokoelmia yrityksesi käyttäjäjärjestelmässä. Intricissa voit käyttää näitä ryhmiä helposti hallitsemaan pääsyä Spaceseihin useille käyttäjille kerralla sen sijaan, että kutsut jokaisen käyttäjän yksitellen.

Miten se toimii

Kun käyttäjä kirjautuu Intriciin, tieto siitä, mihin ryhmiin he kuuluvat, haetaan automaattisesti olemassa olevasta järjestelmästäsi. Käyttäjä, joka on jäsen käyttäjäryhmässä, jolle on myönnetty pääsy Spaceeseen, saa sitten automaattisesti pääsyn julkaistuihin avustajiin Spaceessa, kun henkilö kirjautuu Intriciin.

Konfiguraatio ja toiminnallisuus

Miten konfiguraatio toimii?

Jotta käyttäjäryhmät toimivat Intricissa, järjestelmäsi täytyy lähettää ryhmätietoja, kun käyttäjät kirjautuvat. Tämä tehdään jotain kutsutun “groups claim” -kautta kirjautumistokenissa.

Tekninen yksityiskohta: Tokenin täytyy sisältää avain nimeltä “groups” ryhmienimien listalla:

"groups": ["group 1", "group 2", "group 3"]

Tärkeät vaatimukset ryhmäkonfiguraatiolle

✅ Oikea muoto:

Avain täytyy olla nimetty täsmälleen groups
Arvo pitäisi olla tasainen lista tekstimerkkijonoilla
Esimerkki: ["Group 1", "Group 2", "Group 3"]

❌ Väärä muoto:

Vältä sisäkkäisiä rakenteita
Esimerkki virheesta: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
Huom: Sisäkkäiset ryhmät itsessään ovat kunnossa järjestelmässäsi, kunhan Intricille lähetetty lista on tasainen

Miten ryhmät luodaan ja päivitetään

Automaattinen käsittely: Ryhmät luodaan automaattisesti Intricissa ensimmäisen kerran, kun käyttäjä kirjautuu, joka kuuluu niihin
Päivitys: Ryhmäjäsenyys päivitetään joka kerta, kun käyttäjä kirjautuu
Huom: Emme käytä Microsoftin GraphAPI:ta tähän toiminnallisuuteen; kaikki perustuu tokenin tietoihin

Tärkeät rajoitukset, joista tulee olla tietoinen

1. Ryhmätunnuksia ei voi muuttaa

Tekstimerkkijonot, jotka lähetetään järjestelmästäsi, käytetään yksilöllisinä tunnuksina Intricissa.

Jos vaihdat ryhmänimistä objektitunnukseen (tai päinvastoin), Intric näkee tämän täysin uusina ryhminä
Esimerkki: Jos vaihdat “IT-support"sta “12345-abcde”:en, uusi ryhmä luodaan, ja yhteydet vanhaan ryhmään katoavat

2. Ryhmien poistaminen (Skenaarioesimerkki)

Tässä on yleinen skenaario, joka voi aiheuttaa sekaannusta:

Görgen konfiguroi IdP:n lähettämään kaikki 10 ryhmää tokenissa, mutta haluaa itse asiassa vain 3 niistä
Lina kirjautuu Intriciin ja kuuluu kaikkiin 10 ryhmään IdP:ssä
Görgen näkee, että kaikki 10 ryhmää on luotu Intricissa
Görgen poistaa 7 ryhmää, joita hän ei halua Intricissa
Görgen muuttaa konfiguraation IdP:ssä niin, että vain 3 haluttua ryhmää lähetetään tokenissa
Lina (joka on edelleen kirjautunut) tekee jotain Intricissa, mikä laukaisee ryhmäsynkronoinnin
Intric näkee, että on ryhmiä, joihin Lina kuuluu (hänen istunnostaan), joita ei enää ole järjestelmässä → Intric luo ne uudelleen
Görgen näkee, että ryhmät ilmestyvät uudelleen: “Mutta poistin ne!”

Ratkaisu: Linan täytyy kirjautua ulos ja uudelleen, jotta hänen istuntonsa ja ryhmäjäsenyytensä heijastavat oikein uutta konfiguraatiota.

Tärkeät harkinnat (Entra ID)

Jos käytät Microsoft Entra ID:tä (Azure AD), harkitse seuraavaa:

Turvallisuusryhmät: Älä valitse “Security groups” -lähdettä, jos et halua, että kaikki turvallisuusryhmät koko Entra ID:ssäsi näkyvät Intricissa
Ryhmänimet vs Objektitunnus: Oletuksena ryhmien Objektitunnus lähetetään. Jos haluat, että todelliset ryhmänimet näytetään Intricissa, sinun täytyy konfiguroida sovelluksen manifesti Entra ID:ssä

Vinkki: Ota yhteyttä Intric-tukeen erityisestä ohjauksesta tähän konfiguraatioon.

Suositukset ja parhaat käytännöt

Suunnittelu ennen toteutusta

Määritä, mitkä ryhmät tarvitaan Intricissa ennen kuin aloitat
Konfiguroi järjestelmäsi lähettämään vain nämä ryhmät alusta alkaen
Testaa testikäyttäjällä ennen täysimittaista käyttöönottoa

Vältä yleisiä sudenkuoppia

⚠️ Älä lähetä enempää ryhmiä kuin on tarpeen
⚠️ Älä muuta ryhmätunnuksia toteutuksen jälkeen
⚠️ Testaa kaikki muutokset kehitysympäristössä ensin

Jos ongelmia ilmenee

Tarkista, että token sisältää oikean "groups" -vaatimuksen
Varmista, että ryhmänimet/tunnukset ovat stabiileja
Pyydä käyttäjiä kirjautumaan ulos ja uudelleen konfiguraatiomuutosten jälkeen

Vaiheittainen opas asennukseen

Valmista IdP:si
- Määritä, mitkä ryhmät pitäisi synkronoida
- Konfiguroi groups claim lähettämään nämä ryhmät
- Varmista, että muoto on oikea (tasainen lista)
Kerää tiedot
- Issuer URL
- Client ID
- Client Secret
- Whitelist callback URL
Lähetä Intricille
- Ota yhteyttä Intric-tukeen tiedoilla
- Konfiguroimme SSO:n puolellamme
Testaa
- Kirjaudu testikäyttäjällä
- Varmista, että ryhmät synkronoituvat oikein
- Testaa pääsy Spaceseihin
Käyttöönotto
- Informoi käyttäjiä, että heidän pitäisi nyt käyttää SSO:ta
- Seuraa kirjautumisia ensimmäisten päivien ajan
- Säätää tarpeen mukaan

Tuki

Jos kohtaat ongelmia tai sinulla on kysymyksiä SSO-konfiguraatiosta, ota yhteyttä Intric-tukeen. Autamme mielellämme:

SSO-yhteyden vianetsinnässä
Groups claim -konfiguraatiossa
Entra ID -spesifisissä asetuksissa
Parhaissa käytännöissä organisaatiolle

Yhteystiedot ovat saatavilla support.