AD-SSO för Mediaflow plattformens användare (Inte portalen)

Vilka möjligheter finns för SSO till Mediaflow

Notera att du behöver en SSO licens  för att kunna nyttja denna tjänst. Är du osäker om din organisation har det kan du kontakta supporten.

Det vanligaste förfarandet för våra kunder att använda SSO mot en Mediaflow Portal. Detta eftersom portalen, till skillnad från själva Mediaflow, har ett förenklat gränssnitt där många användare kan få tillgång till utvalda filer från huvudsystemet, till exempel som en intern mediabank för samtliga anställda.  

Färre kunder väljer att ha SSO för de Pro och Bacis användare som arbetar inne själva huvudsystemet Mediaflow. Dels för att dessa är ofta är relativt få men också eftersom att dessa ändå behöver ha ett konto i Mediaflow som SSO-anslutningen kopplas till. De flesta bedömer det därför inte så så viktigt eftersom det stora värdet med SSO ligger att ge åtkomst till portalen för alla anställda.

Standardlösning för SSO till Mediaflow (administrativa huvudsystemet)

1. Ni skickar federationsmetadata

Vi sätter då upp det på vår sida och ni kan hämta vår metadata via instruktionsmailet som vi skickar till er.

2. Mediaflow skapar inloggningssida

Devteam skapar sedan en unik inloggningssida som används till själva Mediaflow-systemet, istället för den vanliga www.mediaflow.com/login.

3. Ni sätter upp användare och grupper i Mediaflow

Ni skapar sedan ett antal grupper i Mediaflow med de behörigheter som gruppen ska ha. Ni skapar också alla de användare som ska kunna logga in och ser till att de har samma användarnamn som de har i AD:et. 

Här har ni också möjlighet att ange om användare ska vara Pro-användare eller Superadministratör, vilket inte går i att ange i AD:et. 

4. Ni kopplar ihop grupper i Mediaflow med grupper i AD:et (frivilligt)

De grupper som skapats i Mediaflow kan sedan (om man önskar) matchas mot grupper i ert AD. Det innebär att grupperna kan ha andra namn i AD:t jämfört med Mediaflow. Detta görs genom att gå in på administrationskugghjulet och välja att administrera grupper och klicka på en grupp. Där kan man ange vad gruppen heter i AD:et. 

Om man väljer att inte göra detta måste man flytta användarna till rätt grupper i Mediaflow manuellt. 

I AzureAD skickas inte gruppnamn utan ett ID på 32 tecken. Det är då detta ID som ska anges i Mediaflow. 

 

Vad händer när ni loggar in?

När ni besöker sin unika inloggningssida skickas information till Mediaflow om vem det är som försöker logga in samt vilka grupper personen tillhör.

Det Mediaflow får ut är användarnamnet i AD:et (en unik kontoidentifierare som även kan vara e-post), e-post, för- och efternamn, samt gruppbehörigheter. Detta är standardfält som finns i UPPN/nameidentifier.

Om grupperna i gruppbehörigheter är matchade mot Mediaflow så kommer användaren i Mediaflow att flyttas till rätt grupper. Användaren loggas in Mediaflow med rätt behörigheter. 

Om en persons användare flyttas till en annan grupp i AD:et och loggar in igen så kommer personens användare i Mediaflow att flyttas till den nya gruppen. 

Exempel
Kunden Demoföretaget har en medarbetare som heter Lisa Johansson som finns deras Azure-AD. Hon har AD-namnet LisJoh8507 och tillhör gruppen Kommunikationsenheten i AD:et. Den gruppen har detta ID:  9f582c682e887d3a3b56825b4f6c4561.

Demoföretaget har skapat en grupp i Mediaflow som heter Kommunikation och där angett att denna grupp har ID 9f582c682e887d3a3b56825b4f6c4561 i AD:et. De har också skapat en användare i Mediaflow som heter Lisa Johansson och som har inloggningsnamn LisJoh8507 .

När Lisa Johansson besöker Demoföretagets unika inloggningsida så får Mediaflow information om att användaren LisJoh8507  försöker logga in och att hon ska tillhöra gruppen med ID 9f582c682e887d3a3b56825b4f6c4561.  Hon loggas då och i Mediaflow och henned användare där flyttas till gruppen Kommunikation och hon får rätt behörigheter. 

Observera att eftersom alla användare även har riktiga konton i Mediaflow så kan de alltid logga in på den vanliga inloggningssidan om de önskar. 

InDesign, Office och Mobil-appen funkar inte med SSO

Eftersom dessa applikationer inte går att specialanpassa med en egen inloggningssida så är det inte möjlig att logga med SSO i InDesign, Office (för Pro) eller i mobil-appen.

Man måste här logga in med en användare i Mediaflow. Detta sker bara en gång när man loggar in första gången.

SSO för portaler

I portaler används inte gruppbehörigheter. Det innebär att alla som finns i AD:et kan komma åt portalen vilket i regel är önskvärt. Ni behöver alltså inte skapa en AD-grupp för de som ska komma åt portalen. 

Åtkomst till själva Mediaflow-systemet via SSO styrs av om det finns en användare i Mediaflow att matcha emot. 

Det går inte att radera användare i Mediaflow genom AD:et

Idag finns det inget sätt att vet vilka användare som inte längre finns i AD:et. Det innebär att man alltid måste plocka bort sina användare manuellt från Mediaflow ifall de skulle sluta. Annars kommer de fortsätta ha åtkomst till systemet.