Velkommen til Intric Support Center
Teknisk dokumentasjon
SSO og brukergrupper

SSO og brukergrupper

Denne seksjonen er for de som administrerer din identitetsleverandør (IdP), for eksempel Entra ID (Azure AD), Okta eller Google. Lær hvordan du konfigurerer Single Sign-On (SSO) og brukergrupper for Intric.

SSO-oppsett (Single Sign-On)

Intric bruker OIDC (OpenID Connect) for innlogging, noe som gjør det mulig for brukerne dine å logge inn med eksisterende organisasjonskontoer.

Informasjon du trenger å sende til Intric

For at Intric skal kunne konfigurere SSO mot din IdP, må du oppgi:

  • Issuer: URL til utstederen (f.eks. https://login.microsoftonline.com/{tenant-id}/v2.0)
  • Client ID: Din klient-ID fra IdP
  • Client Secret: Din klienthemmelighet fra IdP

Konfigurasjon på din side (i din IdP)

I din identitetsleverandør må du whiteliste følgende callback-URL:

https://login.intric.ai/ui/login/login/externalidp/callback

Dette lar Intric motta innloggingsbekreftelser fra din IdP.

Brukergrupper

Brukergrupper er samlinger av brukere i selskapets brukersystem. I Intric kan du bruke disse gruppene til å enkelt administrere tilgang til Space-ene for flere brukere samtidig, i stedet for å invitere hver bruker individuelt.

Hvordan det fungerer

Når en bruker logger inn på Intric, hentes informasjon om hvilke grupper de tilhører automatisk fra ditt eksisterende system. En bruker som er medlem av en brukergruppe som har fått tilgang til en Space får automatisk tilgang til de publiserte assistentene i Space-en når personen logger inn på Intric.

Konfigurasjon og funksjonalitet

Hvordan fungerer konfigurasjonen?

For at brukergrupper skal fungere i Intric, må systemet ditt sende gruppeinformasjon når brukere logger inn. Dette gjøres gjennom noe som kalles en “groups claim” i innloggings-tokenet.

Teknisk detalj: Tokenet må inneholde en nøkkel som heter “groups” med en liste over gruppenavn:

"groups": ["group 1", "group 2", "group 3"]

Viktige krav for gruppekonfigurasjon

✅ Riktig format:

  • Nøkkelen må være nøyaktig groups
  • Verdien skal være en flat liste med tekststrenger
  • Eksempel: ["Gruppe 1", "Gruppe 2", "Gruppe 3"]

❌ Feil format:

  • Unngå nestede strukturer
  • Eksempel på feil: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
  • Merk: Nestede grupper i seg selv er greit i systemet ditt, så lenge listen som sendes til Intric er flat

Hvordan grupper opprettes og oppdateres

  • Automatisk håndtering: Grupper opprettes automatisk i Intric første gang en bruker logger inn som tilhører dem
  • Oppdatering: Gruppemedlemskap oppdateres hver gang en bruker logger inn
  • Merk: Vi bruker IKKE Microsofts GraphAPI for denne funksjonaliteten; alt er basert på informasjonen i tokenet

Viktige begrensninger å være klar over

1. Gruppeidentifikatorer kan ikke endres

Tekststrengene som sendes fra systemet ditt brukes som unike identifikatorer i Intric.

  • Hvis du endrer fra gruppenavn til objekt-ID (eller omvendt), ser Intric dette som helt nye grupper
  • Eksempel: Hvis du bytter fra “IT-støtte” til “12345-abcde”, opprettes en ny gruppe, og tilkoblingene til den gamle gruppen forsvinner

2. Fjerning av grupper (Scenarieeksempel)

Her er et vanlig scenario som kan forårsake forvirring:

  1. Görgen konfigurerer IdP-en til å sende alle 10 grupper på tokenet, men vil faktisk bare ha 3 av dem
  2. Lina logger inn på Intric og tilhører alle 10 grupper i IdP-en
  3. Görgen ser at alle 10 grupper er opprettet i Intric
  4. Görgen fjerner de 7 gruppene han ikke vil ha i Intric
  5. Görgen endrer konfigurasjonen i IdP-en slik at bare de 3 ønskede gruppene sendes på tokenet
  6. Lina (som fortsatt er innlogget) gjør noe i Intric som utløser gruppesynkronisering
  7. Intric ser at det finnes grupper som Lina tilhører (fra økten hennes) som ikke lenger eksisterer i systemet → Intric oppretter dem igjen
  8. Görgen ser at gruppene dukker opp igjen: “Men jeg fjernet dem!”

Løsning: Lina må logge ut og inn igjen for at økten og gruppemedlemskapet hennes skal korrekt reflektere den nye konfigurasjonen.

Viktige vurderinger (Entra ID)

Hvis du bruker Microsoft Entra ID (Azure AD), vurder følgende:

  • Sikkerhetsgrupper: Velg IKKE “Sikkerhetsgrupper” som kilde hvis du ikke vil at alle sikkerhetsgrupper i hele Entra ID skal vises i Intric
  • Gruppenavn vs. objekt-ID: Som standard sendes objekt-ID for grupper. Hvis du vil at ekte gruppenavn skal vises i Intric, må du konfigurere applikasjonsmanifestet i Entra ID

Tips: Kontakt Intric support for spesifikk veiledning om denne konfigurasjonen.

Anbefalinger og beste praksis

Planlegging før implementering

  • Bestem hvilke grupper som trengs i Intric før du starter
  • Konfigurer systemet ditt til å bare sende disse gruppene fra starten
  • Test med en testbruker før fullskala lansering

Unngå vanlige fallgruver

  • ⚠️ Ikke send flere grupper enn nødvendig
  • ⚠️ Ikke endre gruppeidentifikatorer etter implementering
  • ⚠️ Test alle endringer i utviklingsmiljø først

Hvis problemer oppstår

  • Sjekk at tokenet inneholder riktig "groups"-claim
  • Verifiser at gruppenavn/ID-er er stabile
  • Be brukere om å logge ut og inn igjen etter konfigurasjonsendringer

Steg-for-steg guide for oppsett

  1. Forbered din IdP

    • Bestem hvilke grupper som skal synkroniseres
    • Konfigurer groups claim til å sende disse gruppene
    • Verifiser at formatet er riktig (flat liste)

  2. Samle informasjon

    • Issuer URL
    • Client ID
    • Client Secret
    • Whitelist callback-URL

  3. Send til Intric

    • Kontakt Intric support med informasjonen
    • Intric konfigurerer SSO på sin side

  4. Test

    • Logg inn med en testbruker
    • Verifiser at grupper synkroniseres korrekt
    • Test tilgang til Space-ene

  5. Lanser

    • Informer brukere om at de nå skal bruke SSO
    • Overvåk innlogginger de første dagene
    • Juster etter behov

Support

Hvis du møter problemer eller har spørsmål om SSO-konfigurasjon, kontakt Intric support. Vi hjelper deg med:

  • Feilsøking av SSO-tilkobling
  • Konfigurasjon av groups claim
  • Entra ID-spesifikke innstillinger
  • Beste praksis for organisasjonen din

Kontaktinformasjon er tilgjengelig i support.