Hjem > ansattporten

Entra ID i Ansattporten

Note: Entra ID er beta-funksjonalitet . Vi ønsker virksomheter velkommen til å hjelpe oss med å teste og forbedre funksjonaliteten gjennom en pilotfase i 2025/2026. De som deltar, må være forberedt på at det kan bli løpende endringer i funksjonalitet og tekniske grensesnitt.

En tjenesteeier i Ansattporten kan aktivere støtte for at en bruker kan logge inn med sin jobb-konto fra Microsoft til en tjeneste. Tilsvarende kan arbeidsgivere konfigurere hvilke brukere som skal få lov til å representere virksomheten inn mot slike tjenester. Piloten skal også utforske om og evt. hvordan Ansattporten kan hjelpe med tilgangstyring til tjenester.

Aktivere EntraID for innlogging

Klienten må legge til verdien entraid som del av parameteret acr_values i autentiseringsforespørselen. Da vil Entra ID dukke opp i Ansattportens eID-selector slik:

skjermbilde av hvordan valgmuligheten for microsoft entra-id ser ut i Ansattporten

Eksempel på request (forenklet):

https://login.test.ansattporten.no/authorize?
 acr_values=substantial+entraid&
 ...

Det er Entra-innstillingene til brukeren sin organisasjon (Entra tentant) som avgjør om brukeren får lov til å logge inn til din tjeneste i Ansattporten eller ikke. Per vår 2025 vil alle organisasjoner som følger standardinnstillingene i Entra få lov til logge inn, men brukeren må samtykke første gang. Entra-administratoren kan deaktivere slikt samtykke, sånn at innloggingen oppleves mer sømløs. Entra-administratoren kan også blokkere Anstattporten dersom en virksomhet vil forhindre sine ansatte fra å kunne bruke tjenester gjennom Ansattporten.

Dersom brukeren gjennomfører en Entra ID-innlogging, vil id_tokenet som utleveres til klienten inneholde:

claim	beskrivelse
acr	Alltid `entraid`
amr	Hvilke autentiseringfaktorer som sluttbruker benyttet. Ansattporten returnerer acr-verdiene den får fra Microsoft, prefix’et med `entraid`. Eksempel på 2-faktor-autentisering: `["entraid_pwd", "entraid_mfa"]`
email	Epost-adressen til autentisert bruker
name	Navnet til brukeren slik det er registrert i Entra-tentanten
groups	en array med de 20 første AD-gruppene som autentisert bruker inngår i.

Eksempel på id_token i repons:

{
  "kid" : "bdXLEWnDjLHjpE8OfyyMJxRRKmZ71LB8u1yDDmPiuT0",
  "alg" : "RS256"
}
.
{
  "sub" : "_xxxxxx",
  "iss" : "https://test.ansattporten.no",

  "acr" : "entraid",
  "amr" : [ "entraid_pwd", "entraid-mfa" ],
  "groups" : [ "83aa7a53-ff60-47e4-8940-0c73573b0130", "b699bbbe-df5b-434a-97cc-246c9a992614", .... ],
  "email" : "xxxxx@digdir.no",
  "name" : "Navn Navnesen"
}

Representere en organisasjon

Selv om en bruker har benyttet sin Entra jobb-konto til innlogging mot din tjeneste betyr ikke dette nødvendigvis at brukeren har fått lov til å representere den organisasjonen som eier Entra-tenanten.

For å kunne avlede faktisk representasjon med Ansattporten og EntraID, må følgende to vilkår være oppfylt:

Tjenesteeier må både forespørre og evaluere representasjon. Dette blir gjort ved å bruke RAR-elementet ansattporten:orgno.
Arbeidsgivere må aktivt gi tilganger til sine Entra-brukere ved å konfigurere funksjonaliteten Virksomhetsbroen

Eksempel på respons som forteller at innlogget bruker representerer en virksomhet:

"authorization_details" : [ {
    "authorized_parties" : [ {
      "orgno" : {
        "authority" : "iso6523-actorid-upis",
        "ID" : "0192:312206498"
      },
      "name" : "NYBAKT IDIOTSIKKER ISBJØRN SA",
      "rights" : ["Report","Write"]
    } ],
    "type" : "ansattporten:orgno"
  } ]

Per idag er det ingen sentral mekanisme i Ansattporten for å begrense hvilke arbeidsgivere som får lov til å logge inn til din tjeneste. Alle virksomheter som har konfigurert tilgang gjennom Virksomhetsbroen vil kunne logge in.

Konfigurasjon

Ansattporten er implementert som en publisher verified app. App-registreringen ligger i en egen tentant, skilt vekk fra Digdir sin ordinære tentant. Appen er en såkalla multi-tentant app. Det betyr i praksis at innlogging skal fungere “ut av boksen”, og Entra-administrator hos tjenesteeiere og arbeidsgivere normalt ikke behøver å konfigurere noe i egen Entra tentant for å ta funksjonaliteten i bruk.

Oppsett for tjenesteeiere

Tjenesteeier trenger ikke å gjøre noe i egen Entra-tenant for å aktivere Ansattporten.

I selve innloggingsrequesten fra din Ansattporten-tjeneste må du aktivere Entra som et innloggingsvalg ved å bruke acr og evt. representasjon/tilgangstyring ved å bruke RAR, som forklart ovenfor.

Oppsett for arbeidsgivere

Arbeidgiver må konfigurere Virksomhetsbroen før egne entra-brukere får lov til å representere din virksomhet.

Som arbeidsgiver trenger du normalt ikke behøve å konfigurere noe i egen Entra tentant, for at dine entra-brukere skal kunne logge inn gjennom Ansattporten til andre tjenester. Dette er dog avhengig av eksisterende sikkerhetspolicy. Dine ansatte må samtykke til bruk av Ansattporten første gang, se Understand user and admin consent .Du som Entra-administrator kan deaktivere samtykke, sånn at innloggingen oppleves mer sømløs.

Du som Entra-administrator kan også blokkere Anstattporten dersom en virksomhet vil forhindre sine ansatte fra å kunne bruke tjenester gjennom Ansattporten.

Testing

Man kan teste løsningen uten å lage en integrasjon ved å bruke vår demo-tjeneste https://demo-client.test.ansattporten.no/. Legg til rett acr-verdi i forespørsel, og logg inn med din egen AD-bruker.

Microsoft tilbyr ikke noe eget testmiljø, så her må du bruke din ekte Entra-bruker, alternativt få din virksomhet til å sette opp en dedikert Entra-tentant for test-formål.