SSO och Användargrupper

Denna sektion riktar sig till den som administrerar er Identity Provider (IdP), exempelvis Entra ID (Azure AD), Okta eller Google. Här går vi igenom hur ni konfigurerar Single Sign-On (SSO) och användargrupper för Intric.

Uppsättning av SSO (Single Sign-On)

Intric använder OIDC (OpenID Connect) för inloggning, vilket gör det möjligt för era användare att logga in med sina befintliga organisationskonton.

Information ni behöver skicka till Intric

För att Intric ska kunna konfigurera SSO mot er IdP behöver ni tillhandahålla:

• Issuer: URL till utfärdaren (t.ex. https://login.microsoftonline.com/{tenant-id}/v2.0)
• Client ID: Er klient-ID från IdP
• Client Secret: Er klient-hemlighet från IdP

Konfiguration hos er (i er IdP)

I er Identity Provider måste ni vitlista (whitelist) följande callback-URL:

https://login.intric.ai/ui/login/login/externalidp/callback

Detta gör att Intric kan ta emot inloggningsbekräftelser från er IdP.

Användargrupper

Användargrupper är samlingar av användare i ditt företags användarsystem. I Intric kan du använda dessa grupper för att enkelt hantera åtkomst till Spaces för flera användare samtidigt, istället för att bjuda in varje användare individuellt.

Så fungerar det

När en användare loggar in i Intric hämtas information om vilka grupper de tillhör automatiskt från ert befintliga system. En användare som är med i en användargrupp som fått tillgång till ett Space får då automatiskt tillgång till de publicerade assistenterna i Spacet när personen loggar in till Intric.

Konfiguration och funktionalitet

Hur fungerar konfigurationen?

För att användargrupper ska fungera i Intric behöver ert system skicka med gruppinformation när användare loggar in. Detta görs genom något som kallas en “groups claim” i inloggningstoken.

Teknisk detalj: Token måste innehålla en nyckel kallad “groups” med en lista av gruppnamn:

"groups": ["group 1", "group 2", "group 3"]

Viktiga krav för gruppkonfigurationen

✅ Rätt format:

• Nyckeln måste heta exakt groups
• Värdet ska vara en platt lista med textsträngar
• Exempel: ["Grupp 1", "Grupp 2", "Grupp 3"]

❌ Felaktigt format:

• Undvik nested (nästlade) strukturer
• Exempel på fel: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
• Observera: Nästlade grupper i sig själva är okej i ert system, så länge listan som skickas till Intric är platt

Hur grupper skapas och uppdateras

• Automatisk hantering: Grupper skapas automatiskt i Intric första gången en användare loggar in som tillhör dem
• Uppdatering: Gruppmedlemskap uppdateras varje gång en användare loggar in
• Notera: Vi använder INTE Microsofts GraphAPI för denna funktionalitet; allt baseras på informationen i token

Viktiga begränsningar att känna till

1. Gruppidentifierare kan inte ändras

De textsträngar som skickas från ert system används som unika identifierare i Intric.

• Om ni ändrar från gruppnamn till objekt-ID (eller tvärtom) ser Intric detta som helt nya grupper
• Exempel: Byter ni från “IT-support” till “12345-abcde” skapas en ny grupp, och kopplingarna till den gamla gruppen försvinner

2. Borttagning av grupper (Scenario-exempel)

Här är ett vanligt scenario som kan orsaka förvirring:

1. Görgen konfigurerar IDP:n att skicka alla 10 grupper på token, men vill egentligen bara ha 3 av dem
2. Lina loggar in i Intric och tillhör alla 10 grupper i IDP:n
3. Görgen ser att alla 10 grupper har skapats i Intric
4. Görgen tar bort de 7 grupper han inte vill ha i Intric
5. Görgen ändrar konfigurationen i IDP:n så att bara de 3 önskade grupperna skickas på token
6. Lina (som fortfarande är inloggad) gör något i Intric som triggar gruppsynkroniseringen
7. Intric ser att det finns grupper som Lina tillhör (från hennes session) som inte existerar i systemet längre → Intric skapar dem igen
8. Görgen ser att grupperna dyker upp igen: “Men jag tog ju bort dem!”

Lösning: Lina måste logga ut och in igen för att hennes session och gruppmedlemskap ska spegla den nya konfigurationen korrekt.

Viktiga överväganden (Entra ID)

Om ni använder Microsoft Entra ID (Azure AD), tänk på följande:

• Säkerhetsgrupper: Välj INTE “Security groups” som källa om ni inte vill att alla säkerhetsgrupper i hela ert Entra-ID ska dyka upp i Intric
• Gruppnamn vs Objekt-ID: Som standard skickas Objekt-ID för grupper. Om ni vill att riktiga gruppnamn ska visas i Intric behöver ni konfigurera applikationsmanifestet i Entra-ID

Tips: Kontakta Intric-supporten för specifik vägledning om denna konfiguration.

Rekommendationer och bästa praxis

Planering före implementation

• Bestäm vilka grupper som behövs i Intric innan ni börjar
• Konfigurera ert system att bara skicka dessa grupper från början
• Testa med en testanvändare före fullskalig utrullning

Undvik vanliga fallgropar

• ⚠️ Skicka inte fler grupper än nödvändigt
• ⚠️ Ändra inte gruppidentifierare efter implementation
• ⚠️ Testa alla ändringar i utvecklingsmiljö först

Vid problem

• Kontrollera att token innehåller korrekt "groups"-claim
• Verifiera att gruppnamnen/ID:na är stabila
• Be användare logga ut och in igen efter konfigurationsändringar

Steg-för-steg guide för uppsättning

1. Förbered er IdP

   • Bestäm vilka grupper som ska synkas
   • Konfigurera groups claim att skicka dessa grupper
   • Verifiera att formatet är korrekt (platt lista)

2. Samla information

   • Issuer URL
   • Client ID
   • Client Secret
   • Whitelist callback-URL

3. Skicka till Intric

   • Kontakta Intric support med informationen
   • Vi konfigurerar SSO på vår sida

4. Testa

   • Logga in med en testanvändare
   • Verifiera att grupper synkas korrekt
   • Testa åtkomst till Spaces

5. Rulla ut

   • Informera användarna om att de nu ska använda SSO
   • Övervaka inloggningar första dagarna
   • Justera vid behov

Support

Om ni stöter på problem eller har frågor om SSO-konfiguration, kontakta Intric support. Vi hjälper er gärna med:

• Felsökning av SSO-uppkoppling
• Konfiguration av groups claim
• Entra ID-specifika inställningar
• Best practice för er organisation

Kontaktinformation finns i supporten.