For effektiv bruk av tjenestene våre anbefaler vi at sluttbrukere onboardes med Single Sign-On (SSO) via enten Microsoft Azure (AD, Active Directory) eller Google Workspace (Cloud Identity) som Identity Provider (IdP). For at sluttbrukere skal kunne logge inn, må en IT-administrator godkjenne (samtykke til) at løsningen kobles sammen.
Slik fungerer SSO
SSO-innlogging bruker industristandardene OpenID Connect (OIDC) og OAuth 2.0. OIDC er en identitetsautentiseringsprotokoll som verifiserer at brukerne er den de utgir seg for å være. OAuth 2.0 autoriserer hvilke systemer disse brukerne har tilgang til, og gjør det mulig for ulike tillitsdomener å dele informasjon sikkert uten å kompromittere brukerdata.
Dette betyr at vi aldri har tilgang til passord eller deltar i autentiseringsprosessen. Autentiseringen utføres utelukkende av IdP, og vi mottar et token som inneholder brukerinformasjonen som trengs for å bruke tjenesten.
Data som brukes
Ved første innlogging som ny SSO-bruker sendes følgende data fra din IdP til oss:
Brukernavn
E-postadresse
Mobilnummer (hvis oppgitt)
Hvis mobilnummer ikke er oppgitt, må brukeren oppgi dette ved første innlogging. Dette brukes til å motta SMS-meldinger fra plattformen ved tidskritiske hendelser (f.eks. besøksvarsler). Ingen andre brukerdata overføres.
Oppsettinstruksjoner
Det er to ting som må gjøres for å registrere og bruke SSO:
Vi må sette opp bedriften din til å bruke SSO for innlogging. For dette trenger vi å vite hvilket/hvilke domene(r) brukerne benytter ved innlogging, og hvilken IdP-leverandør som brukes (Google eller Microsoft støttes). For eksempel vil bedriften Welcome Workdays ha domenet welcomeworkdays.com og bruke Microsoft som sin IdP-leverandør.
IT-administratoren i bedriften må logge inn i Welcome-løsningen og godkjenne applikasjonen vår på vegne av bedriften. Stegene som kreves for å gjøre dette er beskrevet nedenfor.
Steg for IT-administrator
Krav
Før du følger stegene nedenfor, må du sørge for at du har riktig tilgangsnivå til å godkjenne en applikasjon på vegne av organisasjonen din.
For Microsoft Entra trenger du én av disse rollene:
Global Administrator eller Privileged Role Administrator
Cloud Application Administrator eller Application Administrator
For Google Workspace trenger du:
Super Admin
Følg disse stegene
Gå til innloggingssiden vår: login.wlcm.work, og skriv inn e-postadressen din (UPN) med de nødvendige rettighetene. Klikk Neste.
Logg inn via din IdP med en brukerkonto som har nødvendig tilgang til å godkjenne applikasjoner på vegne av organisasjonen. Under prosessen vil du se en skjerm der du kan huke av for «Samtykk på vegne av organisasjonen din» eller lignende tekst. Huk av og godkjenn. Ved å gjøre dette bekrefter du at dine ansatte kan bruke sin IdP for autentisering gjennom Welcome, slik at vi ikke lagrer passordinformasjon.
Du vil bli sendt tilbake til innloggingssiden vår med navn og e-post forhåndsutfylt i skjemaet. Legg eventuelt til mobilnummeret ditt og velg Fullfør.
Hvis du vil at alle dine ansatte skal kunne logge inn via SSO i Welcome, kreves ingen ytterligere tiltak.
Microsoft SSO
Denne samtykkeprosessen avhenger helt av hvordan en bedrift har konfigurert følgende arbeidsflyter i Microsoft Entra (ikke å forveksle med Entra ASA) Admin Center:
Når man møter restriktive policykombineringer som krever administratorsamtykke på vegne av brukere, er det mulig å forenkle prosessen ved hjelp av følgende Microsoft-standard:
Dette er URL-en som kan brukes for å gi administratorsamtykke for Welcome Workdays SSO:
[https://login.microsoftonline.com/<corporate domain>/adminconsent?client_id=7f37f2d6-f31d-491a-83a8-ff2f42cc600b]
(https://login.microsoftonline.com/<corporate)
Der corporate domain vanligvis tilsvarer domenet som brukes av bedriftens e-postadresser, som er knyttet til en gyldig Microsoft-tenant, for eksempel: ola@storebrand.no (corporate domain er «storebrand.no»).
Når lenken brukes, vil den utløse følgende arbeidsflyt:
Når samtykke er gitt, vil rettighetene som er tildelt Welcome Workdays se slik ut:
Applikasjonsdetaljer
SSO-type: OIDC
Applikasjonsnavn: Welcome Workdays
Klient-ID: 7f37f2d6-f31d-491a-83a8-ff2f42cc600b
Scopes: openid, profile, email, user.read
Redirect URI: https://www.welcomeworkdays.com
Begrense tilgang (Microsoft Azure AD)
Hvis du ønsker å begrense tilgangen til applikasjonen i henhold til organisasjonens sikkerhetspolicy:
Logg inn på Microsoft 365 / Azure AD-konsollen og gå til Applikasjoner → Enterprise-applikasjoner.
Søk etter Welcome i listen og klikk på applikasjonens navn.
På venstre side klikker du på Administrer → Egenskaper.
Endre «Tilordning kreves» til «Ja». Klikk Lagre.
Gå til Administrer → Brukere og grupper, og legg til brukerne eller gruppene du vil gi tilgang til applikasjonen
Trenger du hjelp?
Chat med oss via AI-chatboten nederst til høyre på skjermen, eller send en e-post til support@welcomeworkdays.com.



