Gå til hovedinnhold

Supportguide: Feilsøking av SSO og innlogging

Intern guide for SSO-oppsett, admin-samtykke, vanlige feilmeldinger og kjente Azure-problemer.

Oppdatert i dag

Supportguide: Feilsøking av SSO og innlogging

Denne guiden brukes av Fin og supportteamet for å diagnostisere SSO-problemer (Single Sign-On) med Microsoft Entra ID.

SSO-flyten

Welcome bruker OIDC (OpenID Connect) med Microsoft Entra ID. For at SSO skal fungere for et selskap:

  1. En Global Administrator i selskapets Azure-tenant må gi admin-samtykke for Welcome Workdays-appen

  2. SSO-domenet (f.eks. bedrift.no) må legges til i Welcome Workdays admin under SSO-innstillinger

Informasjon å samle inn

  • Selskapsnavn og e-postdomene

  • Hvem utførte oppsettet (IT-admin, byggleder)

  • Nøyaktig feilmelding eller skjermbilde

  • Nettleser brukt (og om inkognitomodus var aktiv)

Feil: «Unable to process request due to missing initial state»

Denne feilen vises etter at admin-samtykke faktisk er gitt. Den oppstår fordi samtykke-URLen omdirigerer tilbake til Welcome-innlogging, men det finnes ingen aktiv innloggingsflyt å gjenoppta.

Feilen er kosmetisk. Samtykket gikk sannsynligvis gjennom.

Be kunden:

  1. Verifisere i Microsoft Entra ID → Enterprise Applications → Welcome Workdays at tillatelsene er registrert

  2. Prøve å logge inn normalt for å bekrefte at det fungerer

Hvis feilen oppstår FØR samtykke-dialogen vises: prøv vanlig nettleservindu (ikke inkognito), deaktiver streng sporingsbeskyttelse, eller prøv Chrome/Edge.

Feil: AADSTS65004 eller samtykke blokkert

Azure-tenanten har strenge samtykkeregler som blokkerer tredjepartsapper.

Be kundens IT-admin:

  1. Sjekke Entra ID → Enterprise Applications → Consent and Permissions

  2. Sikre at admin-samtykke er tillatt, eller legge til et unntak for Welcome Workdays

  3. Personen som gir samtykke må ha rollen Global Administrator eller Privileged Role Administrator

Bruker kan ikke logge inn etter at SSO er aktivert

Sjekk:

  1. Domenet i Welcome SSO-innstillinger matcher brukerens e-postdomene nøyaktig

  2. Brukeren finnes i Welcome Workdays (brukeren må være opprettet først, SSO oppretter ikke brukere automatisk)

  3. Brukeren velger riktig Microsoft-konto (noen har flere)

Admin-samtykke URL (for referanse)

Format: https://login.microsoftonline.com/DOMENE/adminconsent?client_id=7f37f2d6-f31d-491a-83a8-ff2f42cc600b

Erstatt DOMENE med selskapets e-postdomene (f.eks. bedrift.no). Både bedrift.no og bedrift.onmicrosoft.com fungerer.

Kjente særtilfeller

  • Admin-samtykke lykkes til tross for feilside. «Missing initial state»-feilen betyr ikke at samtykket feilet.

  • SSO må aktiveres på begge sider. Admin-samtykke i Azure er ikke nok, domenet må også legges til i Welcome.

  • Brukeren må finnes i Welcome først. SSO autentiserer, men oppretter ikke brukere automatisk.

  • Begge domeneformater fungerer: bedrift.no og bedrift.onmicrosoft.com.

Relaterte artikler
Oppsett av Single Sign-On With Microsoft(SSO) English only)
Single Sign-On (SSO) med Microsoft Entra ID (Azure AD)
Velge innloggingsmetode: SSO vs. Passordfri e-postinnlogging
Feilsøking: Innlogging i Welcome Workdays
Supportguide: Feilsøking av adgangskort og Wallet-kort
Svarte dette på spørsmålet?