Ohje asiakasorganisaation Microsoft Entra ID -ylläpitäjälle
Tämä ohje on tarkoitettu asiakasorganisaation Microsoft Entra ID -ylläpitäjälle. Se kuvaa, miten Admicom Identity SSO -palvelun "Sign in with Microsoft" -kirjautuminen sallitaan kerralla koko organisaatiolle suoran admin consent -linkin avulla.
Lyhyesti: Tarvitset Cloud Application Administrator -roolin tai vastaavan. Toimenpide kestää alle minuutin. |
Taustaa
Admicom Identity SSO on Admicom Finland Oy:n rekisteröimä monitenanttinen sovellus Microsoft Entra ID:ssä. Kun loppukäyttäjä kirjautuu Admicomiin Microsoft-tunnuksilla ensimmäistä kertaa, Entra pyytää tenantilta suostumuksen sovelluksen käyttöön. Jos tenantissa on käytössä Microsoftin suosittelema asetus "Do not allow user consent", käyttäjä saa virheilmoituksen, joka kertoo että sovellus vaatii ylläpitäjän hyväksynnän, eikä pääse jatkamaan ilman ylläpitäjän hyväksyntää.
Tämän ohjeen mukaisesti ylläpitäjä antaa suostumuksen yhdellä klikkauksella, minkä jälkeen kaikki organisaation käyttäjät voivat kirjautua Admicomiin Microsoft-tunnuksilla.
Sovelluksen tiedot
Sovelluksen nimi | Admicom Identity SSO |
Julkaisija | Admicom Finland Oy |
Microsoft Verified Publisher | Kyllä |
Application (client) ID | 1fd2d3e9-4594-4946-9e1e-f146d17b3c57 |
Sovellustyyppi | Multi-tenant (Accounts in any organizational directory), OpenID Connect / OAuth 2.0 |
Pyydetyt Microsoft Graph -luvat | openid, profile, email, User.Read (Entra näyttää: "Sign in and read user profile") |
Lupatyyppi | Delegated, Microsoftin luokittelussa low impact |
Pyydetyt luvat mahdollistavat ainoastaan käyttäjän tunnistamisen (kuka kirjautuu) eivätkä anna pääsyä postilaatikkoon, tiedostoihin, kalenteriin tai muihin organisaation tietoihin.
Vaatimukset
- Rooli: vähintään Cloud Application Administrator, Application Administrator tai Privileged Role Administrator
- Selain, jossa olet kirjautuneena Entra-ylläpitäjän tunnuksilla
Microsoftin viralliset ohjeet
- Tenant-laajuinen admin consent ja URL-rakenne (Grant tenant-wide admin consent to an application): https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent
- Admin consent -endpointin tekninen kuvaus: Microsoft identity platform admin consent protocols: https://learn.microsoft.com/en-us/entra/identity-platform/v2-admin-consent
- Microsoft Graph -lupien luokittelu: Microsoft Graph permissions reference:
https://learn.microsoft.com/en-us/graph/permissions-reference
Hyväksyntä admin consent -linkin avulla
Vaihe 1: Avaa admin consent -linkki
Käytä jompaakumpaa muotoa:
Yleinen muoto (Entra ohjaa automaattisesti kirjautuvan ylläpitäjän kotitenanttiin):
https://login.microsoftonline.com/organizations/adminconsent?client_id=1fd2d3e9-4594-4946-9e1e-f146d17b3c57
Tenant-spesifinen muoto (korvaa {tenant} oman tenantin ID:llä tai verifioidulla domainilla, esim. yritys.onmicrosoft.com):
https://login.microsoftonline.com/{tenant}/adminconsent?client_id=1fd2d3e9-4594-4946-9e1e-f146d17b3c57
Vaihe 2: Kirjaudu sisään
Kirjaudu sisään ylläpitäjän tunnuksilla, joilla on yllä mainittu rooli.
Vaihe 3: Tarkista suostumusnäkymä
Suostumusikkunassa ("Pyydetyt käyttöoikeudet") varmista seuraavat:
- Sovelluksen nimi: Admicom Identity SSO
- Julkaisija: Admicom Finland Oy — sininen "verified publisher" -merkki näkyvissä
- Pyydetty käyttöoikeus: "Sign in and read user profile" (sisältää: openid, profile, email, User.Read)
Vaihe 4: Anna suostumus
Klikkaa Hyväksy (englanniksi: Accept). Sinut ohjataan takaisin Admicom Identity SSO:hon — voit sulkea ikkunan.
Vaihe 5: Varmista lopputulos
Sovellus näkyy tämän jälkeen kohdassa Microsoft Entra admin center → Identity → Applications → Enterprise applications → All applications nimellä Admicom Identity SSO. Permissions-välilehdellä pyydettyjen lupien rivillä on merkintä, joka osoittaa että suostumus on annettu organisaation puolesta.
Käyttäjien rajaaminen (valinnainen)
Vaikka admin consent on annettu koko tenantille, voit silti rajata, ketkä organisaation käyttäjät saavat kirjautua Admicomiin Microsoft-tunnuksilla:
- Avaa Enterprise applications → Admicom Identity SSO.
- Mene kohtaan Properties ja aseta Assignment required = Yes. Tallenna.
- Mene kohtaan Users and groups ja lisää ne käyttäjät tai ryhmät, joilla on oikeus kirjautua.
Halutessanne voitte myös kohdistaa Admicom Identity SSO:hon Conditional Access -käytäntöjä (esim. MFA-vaatimus, sijaintirajoitukset) Enterprise applications -näkymästä.
Huom: Nämä asetukset rajaavat vain Microsoft-kirjautumista. Käyttöoikeudet itse Admicom-palveluun määritellään edelleen Admicomin puolella. |
Valvonta
Microsoft-kirjautumiset näkyvät Entrassa kohdassa Monitoring → Sign-in logs sovellusnimellä Admicom Identity SSO.
Suostumuksen peruuttaminen
Jos suostumus pitää myöhemmin perua:
- Mene Enterprise applications → Admicom Identity SSO → Properties ja klikkaa Delete poistaaksesi service principalin tenantista,
- tai vaihtoehtoisesti Permissions-välilehdeltä peru pelkät yksittäiset luvat.
Vastuunjako
Asiakas vastaa oman Microsoft Entra ID -ympäristönsä hallinnasta, konfiguroinnista ja siellä tehtävistä muutoksista. Tämä ohje on tarkoitettu ainoastaan tueksi. Suostumuksen antaminen, käyttäjien rajaaminen ja muut Entra-asetukset ovat asiakkaan omia päätöksiä ja toimenpiteitä.
----
Versio 1.1 · Päivitetty 4.5.2026 · Admicom Finland Oy
Microsoftin tuotekohtaiset näkymät ja termit voivat muuttua. Tarkista epäselvissä tilanteissa Microsoftin oma dokumentaatio.