Single sign-on ts. kertakirjautuminen SharePoint Online -intranetiin (1/2)

Tavallinen tarina: uudistetaan tai rakennetaan intranet O365-pilvipalveluun eli käytännössä SharePoint Online (SPO) alustalle. Intranetiin pääsee kun avaa selaimen, naputtelee osoiteriville https://omanorganisaationnimi.sharepoint.com ja syöttää avautuvalla sisäänkirjautumissivulla sähköpostiosoitteensa ja salasanan. Liian vaikeaa, toteaa viestintäosasto – intran etusivun pitäisi aueta käyttäjälle automaattisesti ja ensimmäiseksi heti, kun hän aamusella työkoneen ääreen istahtaa.

Tavoitetilan mukainen “sukkana sisään” -toteutus koostuu kahdesta osasta:

  1. intran etusivun määrittäminen selaimen oletusetusivuksi ja selaimen määrittäminen avautumaan, kun koneelle kirjaudutaan
  2. kertakirjautumisen eli single sign-on (SSO) -ominaisuuden konfiguroinnista

Ykköskohta saattaa käyttäjän intraan, kakkoskohta kertoo intralle että tulija on tuttu, ei tarvitse kysellä salasanoja.

Selaimen oletusetusivun määrittäminen tapahtuu yleensä keskitetysti IT-osaston toimesta ryhmäkäytännöllä (Group Policy). IT-väki voi helpottaa intraan siirtymistä muillakin keinoilla, esimerkiksi tuuppaamalla intra-työpöytäkuvakkeet käyttäjien koneisiin ja lisäämällä intralinkin vohvelivalikkoon tarjolle.

Kakkoskohta onkin hieman monimutkaisempi. Periaatteessa joka ikinen kerta kun käyttäjä avaa intranetin sivun (tai sinne tallennetun tiedoston), järjestelmän pitää jotenkin tunnistaa käyttäjä ja varmistaa, että hänellä on käyttöoikeus ko. sisältöön. Jos mitään ylimääräisiä konfiguraatioita ei ole tehty, tämä tunnistaminen tapahtuu ohjaamalla intraan pyrkivä käyttäjä Microsoftin pilvipalvelun sisäänkirjautumissivuun, jossa naputellaan käyttäjätunnus ja salasana. Nämä syötetyt tiedot tallentuvat automaattisesti väliaikaiseen istuntoevästeeseen (session cookie), jotta intraa selaillessa joka sivulla ei tarvitse erikseen kirjautua uudelleen. Istuntoeväste poistetaan, kun selain tai tietokone suljetaan. Seuraavalla kerralla tiedot pitää taas naputella.

Käyttäjällä on myös mahdollisuus itse laittaa kirjautumissivulla rasti “Pidä minut kirjautuneena” -ruutuun. Tämä ruksi tallentaa kirjautumistiedot istuntoevästeen lisäksi pysyvämpään, selaimen tallentamaan evästeeseen. Pysyvämpi eväste säilyy selaimen muistissa, vaikka selain tai tietokone suljettaisiin. Samalla selaimella seuraavalla kerralla kirjautumistietoja ei tarvitse syöttää, koska ne löytyvät jo selaimen muistista, eli käyttäjä sujahtaa sisään ilman tunnus- ja salasanakyselyä. Eväste vanhenee, jos intrassa ei vieraile viiteen päivään – viikon kanarianmatkan jälkeen pitää siis tässäkin tapauksessa kirjautua uudelleen.

HUOM! Internet Explorer -selain ei suostu tallentamaan pysyvämpää evästettä, jos intrasivustoa ei ole lisätty selaimen luotettuihin sivustoihin. Mitään virheilmoitusta tai varoitusta tästä ei tule – kirjautumista vaan pyydetään uudelleen joka kerta. IT-osasto voi onneksi tehdä tämän luotettuihin sivustoihin lisäyksen kaikille käyttäjille etukäteen.

Selaimen asetuksista riippuen myös selain saattaa erikseen ehdottaa lomaketietojen (käyttäjätunnuksen) ja salasanan tallentamista. Jos tämän sallii, samalla selaimella seuraavalla kerralla kirjautumissivulla näkyy jo valmiiksi oma käyttäjätunnus tarjolla, ja kun sen valitsee, selain täyttää ko. tunnuksen yhteyteen tallennetun salasanan automaattisesti ruutuun. Näin toimien käyttäjä pääsee sisään kahdella klikkauksella – ensin valitaan selaimen ehdottama käyttäjätunnus (jolloin selain täyttää salasanan) ja sitten kuitataan kirjautumistiedot syötetyksi klikkaamalla OK.

sso kirjautumistilin valinta

Selain on tallentanut lomaketietoja (käyttäjätunnuksia). Käyttäjän pitää valita, millä tunnuksella sisään kirjaudutaan.

Tähän asti kuvatut toiminnot ovat käytettävissä siitä riippumatta, kirjaudutaanko Office 365 -palveluihin samalla tunnuksella kuin työasemaan vai ei. Kaikki toiminnot ovat myös yksittäisen käyttäjän saatavilla selaimen asetusten kautta. Juttusarjan kakkososassa kurkataan syvemmälle konepellin alle varsinaisen kertakirjautumisen konfigurointiin.

Lisätietoja:

https://support.office.com/en-us/article/SharePoint-Online-authentication-77965e8d-48ad-47bd-a656-57f17d6d1cc7

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s