Översikt
Den här guiden visar steg-för-steg hur ni konfigurerar Single Sign-On (SSO) mellan Microsoft Entra ID (tidigare Azure Active Directory) och Sysarb med hjälp av SAML 2.0. Följ den här guiden tillsammans med er interna IT — vissa steg utförs i Microsoft Entra-admincenter, andra i Sysarb.
För den generella SSO-översikten, ansvarsfördelning och felsökning, se Guide för SSO (Single Sign-On).
⚠️ Viktigt: Sysarb har inget separat testläge för SSO. När ni aktiverar SSO blir det omedelbart enda inloggningssättet — dubbelkolla därför alla värden i Entra och Sysarb innan ni slår på togglen. Om SSO aktiveras med felaktiga inställningar låses alla användare ute. Kontakta då omgående [email protected].
Innan ni börjar
Ni behöver:
En global administratörs- eller applikationsadministratörs-roll i Microsoft Entra ID
Administratörsåtkomst i Sysarb
Tillgång till båda systemen samtidigt (vi rekommenderar två fönster sida vid sida)
Cirka 20–30 minuter för konfigurationen
Översikt av flödet
Steg | Var det görs | Ansvarig |
1. Skapa Enterprise Application i Entra | Microsoft Entra-admincenter | Intern IT |
2. Hämta SP-metadata från Sysarb | Sysarb | Administratör av Sysarb |
3. Konfigurera SAML-inställningar i Entra | Microsoft Entra-admincenter | Intern IT |
4. Tilldela användare till applikationen | Microsoft Entra-admincenter | Intern IT |
5. Hämta IdP-metadata från Entra | Microsoft Entra-admincenter | Intern IT |
6. Lägg in IdP-metadata i Sysarb | Sysarb | Administratör av Sysarb |
7. Aktivera SSO i Sysarb | Sysarb | Administratör av Sysarb |
Steg 1 — Skapa Enterprise Application i Microsoft Entra
Logga in på Microsoft Entra-admincenter.
I vänstermenyn, gå till Applications → Enterprise applications.
Klicka på + New application.
Klicka på + Create your own application.
Ange namn: Sysarb.
Välj Integrate any other application you don't find in the gallery (Non-gallery).
Klicka på Create.
Steg 2 — Hämta SP-metadata från Sysarb
Innan ni konfigurerar SAML i Entra behöver ni Sysarbs Service Provider-uppgifter. Det enklaste är att ladda ned hela metadatafilen — den används direkt i Steg 3a.
Logga in på Sysarb som administratör.
Gå till Inställningar → System → Single sign-on.
I avsnittet Vår SP-data, klicka på Ladda ned SP-metadata och spara XML-filen lokalt.
Notera även Direktinloggningslänk (Sign on URL) — den är inte en del av metadatafilen och måste klistras in manuellt i Entra i Steg 3a.
💡 Bra att veta: Metadatafilen innehåller Entity ID (Identifier) och Assertion Consumer Service (ACS)-URL (Reply URL). När ni laddar upp den i Entra fylls de fälten i automatiskt — bara Sign on URL behöver fyllas i för hand.
Steg 3 — Konfigurera SAML-inställningar i Entra
I Entra, gå tillbaka till er nya Sysarb-applikation under Enterprise applications.
I vänstermenyn, klicka på Single sign-on.
Välj SAML som metod.
3a. Basic SAML Configuration
Det snabbaste och säkraste sättet är att ladda upp SP-metadatafilen från Steg 2. Då fylls Identifier och Reply URL i automatiskt — bara Sign on URL behöver läggas till manuellt.
Primärt — ladda upp SP-metadatafilen:
Klicka på Upload metadata file högst upp på Single sign-on-sidan i Entra.
Välj XML-filen ni laddade ned i Steg 2.
Klicka på Add. Entra fyller automatiskt i Identifier (Entity ID) och Reply URL (ACS).
I rutan Basic SAML Configuration, lägg till Sign on URL manuellt — klistra in värdet Direktinloggningslänk från Sysarb.
Lämna Relay State och Logout Url tomma (om ni inte använder Single Logout).
Klicka på Save.
Reservalternativ — fyll i värdena manuellt:
Om uppladdningen av någon anledning inte fungerar, klicka på Edit i rutan Basic SAML Configuration och fyll i alla värden för hand:
Fält i Entra | Värde från Sysarb |
Identifier (Entity ID) | Värdet Entity ID från Sysarb |
Reply URL (Assertion Consumer Service URL) | Värdet ACS-URL från Sysarb |
Sign on URL | Värdet Direktinloggningslänk från Sysarb |
Relay State (valfritt) | Lämna tom |
Logout Url (valfritt) | Lämna tom om ni inte använder Single Logout |
Klicka på Save.
3b. Attributes & Claims
Sysarb använder e-postadress som unikt ID — inga ytterligare claims behövs. Standardinställningarna i Entra fungerar oftast direkt. Det enda värde som måste stämma är Name ID:
Claim | Värde |
Unique User Identifier (Name ID) | user.mail (eller user.userprincipalname om e-post saknas) |
Om Name ID-formatet behöver ändras: välj Name ID format → Email address.
💡 Viktigt: kontrollera att samma e-postadress finns i både Entra och Sysarb — det är den koppling som matchar användaren mellan systemen.
Steg 4 — Tilldela användare till applikationen
Endast användare som är tilldelade Sysarb-applikationen kommer att kunna logga in via SSO.
I applikationen, gå till Users and groups i vänstermenyn.
Klicka på + Add user/group.
Välj de användare eller grupper som ska ha åtkomst till Sysarb. Vi rekommenderar att skapa en säkerhetsgrupp, t.ex. Sysarb-Users, och tilldela den.
Klicka på Assign.
💡 Tips: Inkludera er IT-kontakt och en betrodd Sysarb-administratör i grupptilldelningen så att rätt personer kommer åt systemet direkt efter aktivering.
Steg 5 — Hämta IdP-metadata från Entra
Gå tillbaka till Single sign-on-sidan i applikationen.
Bläddra ned till sektion 3. SAML Certificates.
Klicka på Download bredvid Federation Metadata XML.
Spara XML-filen — ni laddar upp den i Sysarb i nästa steg.
Alternativt: Om er Sysarb-konfiguration kräver manuell inmatning, notera även:
Login URL (Entry point)
Microsoft Entra Identifier (Issuer)
Certifikat (Base64) — ladda ned via "Certificate (Base64)"
Steg 6 — Lägg in IdP-metadata i Sysarb
Tillbaka i Sysarb under Inställningar → System → Single sign-on.
I avsnittet Era IdP-data, klicka på Redigera (längst ner till höger).
Välj ett av två alternativ:
Alternativ 1 — Ladda upp Federation Metadata XML: klicka på Välj fil och ladda upp XML-filen från Steg 5. Fälten fylls i automatiskt.
Alternativ 2 — Ange manuellt: Entry point = Login URL från Entra; Certifikat = innehållet i Base64-certifikatet från Entra.
Klicka på Spara.
Steg 7 — Aktivera SSO
Innan ni aktiverar: dubbelkolla att alla värden i Entra och Sysarb stämmer överens. När togglen är på går alla användare omedelbart via SSO och lösenordsinloggning är inaktiverad.
I Sysarb, gå till Inställningar → System → Single sign-on.
Längst upp på sidan, slå på Aktivera single sign-on.
Bekräfta i dialogrutan.
Om något inte fungerar direkt efter aktivering, se Felsökning nedan eller kontakta Sysarb-support omedelbart.
Felsökning (Entra-specifikt)
Symptom | Trolig orsak | Åtgärd |
AADSTS50105: Application not assigned | Användaren är inte tilldelad Sysarb-applikationen i Entra | Lägg till användaren i Users and groups i Entra (Steg 4) |
AADSTS700016: Application not found in directory | Felaktigt Entity ID / Identifier | Jämför Sysarbs Entity ID med fältet "Identifier" i Entra |
AADSTS750054: SAMLRequest or SAMLResponse must be present | Användaren öppnar ACS-URL direkt istället för Sign-on URL | Använd Direktinloggningslänken från Sysarb |
Inloggning lyckas men användaren hittas inte i Sysarb | E-postadressen i Entra Name ID matchar inte Sysarb-användarens e-post | Kontrollera att user.mail används som Name ID och att e-postadressen är identisk i båda systemen |
Certifikatfel / "Invalid signature" | Certifikatet i Sysarb är inaktuellt (Entra roterar certifikat efter ~3 år) | Ladda ned ny Federation Metadata XML och uppdatera i Sysarb |
Vad händer efter aktivering?
Alla framtida inloggningar sker via Entra
Lösenord i Sysarb är inaktiverade — användare kan inte återställa eller använda dem
Avprovisionering sker via Entra: tar ni bort användarens tilldelning eller deaktiverar kontot, blockeras inloggning till Sysarb. Användaren finns dock kvar i Sysarb tills den tas bort manuellt eller via SCIM
SCIM-provisionering är ett separat steg — se Guide för SCIM-integration
Support
Kontakta Sysarb via [email protected] eller direkt i gränssnittet. Är ni i en aktiv implementation är er customer success-kontakt också tillgänglig.
För frågor om er Entra-konfiguration kontaktar ni er interna IT eller Microsoft-support.