Gå til innhold
Norsk – Norge
Kontakt oss
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Single Sign On oppsett

SSO oppsett mot Sticos i Visma Connect

Bruker som har fått tilgang til Authentication settings i Visma Connect hos Sticos må logge inn på https://authenticationsettings.connect.visma.com/

Denne tilgangen blir i utgangspunktet gitt til en bruker knyttet til firmaet i Sticos sine systemer.
Ta kontakt med Sticos for å avtale hvem som skal få denne tilgangen. 

1. Domener

Første steg er å gå inn på fanen Domener og legge inn epost-domenene som skal knyttes mot
SSO påloggingen. Her må det legges inn minst ett domene (f.eks. sticos.no). Har man brukere med forskjellige epostdomener men er knyttet til samme innlogging, så må alle domener legges
inn her. 

Trykk Legg til domene og skriv inn domenet du vil legge til.

Siden som da kommer opp viser oppskrift på hvordan man bekrefter at firmaet eier domenet,
enten ved å legge inn et DNS innslag (enklest) eller bekrefting via HTTPS (som medfører å laste
ned en fil som legges på roten på hjemmesiden som hører til domenet).

Husk at domenet må bekreftes før man kan gå videre med oppsettet.

Alle funksjoner på Authentication settings kommer med egen hjelp innebygd i siden ved å klikke
på spørsmålstegnet oppe til høyre.

2. Single Sign-On oppsett

På fanen Single Sign-On må man sette opp MyDomain før man får lagt til sin egen
identitetsleverandør. Trykk på knappen Legg til MyDomain

Dette brukes som vert for ditt firmas SAML-endepunkter og påloggingsside for Visma. Hvis ditt
firmanavn er Example vil du kanskje velge “example” som ditt MyDomain. Da vil ditt MyDomain bli tilgjengelig på https://example.my.connect.visma.com.

MyDomain kan bare inneholde små bokstaver, tall, bindestrek (-), men kan ikke starte eller
avslutte med bindestrek. Maksimalt antall tegn er 40. 

Klikk Legg til og fortsett å bruke det MyDomain du foretrekker.


I seksjonen Single Sign-on - Identitetsleverandør, klikk knappen Legg til OIDC-Identitetsleverandør eller Legg til SAML2-identitetsleverandør
og velg Azure/EntraID, AD, ADFS, Google Workspace, Andre og følg instruksjonene i neste seksjon.

Her følger en oppskrift for oppsett mot SAML2 EntraID(Anbefalt ved oppsett av SCIM-provisjonering og synkronisering av brukere og grupper), men andre systemer finner du oppskrifter på her: https://docs.connect.visma.com/docs/single-sign-on

  1. Trykk Legg til SAML2-identitetsleverandør og velg Entra ID
    Last ned Metadata fil
  2. I et nytt nettleservindu gå til https://portal.azure.com 
    Logg inn med din admin-bruker og gå til EntraID - Enterprise applications
  3. Trykk knappen + New registration over listen over applikasjoner
    Trykk så + Create your own application

  4. Skriv inn et navn på applikasjonen. Merk at applikasjonen knyttes mot Visma Connect, men synkroniserer også til Sticos om det settes opp.
    Velg Integrate any other application you don't find in the gallery og trykk Create
  5. Trykk Get started under Set up single sign on
  6. Velg SAML som single sign-on method

  7. Trykk Upload metadata file, finn filen du lastet ned fra Visma Connect - Authenticationsettings siden og legg til.
    Trykk så Save på Basic SAML Configuration siden som kommer opp
  8. Under Attributes & Claims så vil standard-oppsettet passe de fleste, men om du har annen UPN-adresse en standard epost-adresse så vil jeg anbefale å bytte denne, da vi ikke skiller på UPN eller epost-adresse i Visma Connect eller Sticos.

    Om du har annen adresse som f.eks. d0202@domene.no så vil jeg anbefale å trykke Edit her og endre Unique User Identifier (Name ID) til user.mail i stedet for user.userprincipalname
  9. Kopier App Federation Metadata Url fra EntraID og lim inn i Visma Connect
    Trykk så Forhåndsvis data

    Merk at sertifikatet her har en viss levetid før man må inn på denne siden og trykke knappen over som nå heter Last inn data på nytt.



    Velg om den nye IdP-en du legger til skal vises på innloggingssiden om man skriver inn en epost med matchende domene, og velg evt tekst som skal stå på knappen.
  10. Det anbefales å aktivere Just-in-Time (JIT) brukerprovisjonering for at nye ansatte kan få brukere opprettet automatisk ved første innlogging. 
    Samt oppdater profil og gruppemedlemskap ved pålogging.
  11. Trykk Lagre

  12. Under Users and groups legger du til brukere og/eller grupper som skal kunne benytte denne applikasjonen for pålogging mot Visma Connect og Sticos. 

  13. Etter alt oppsett over er fullført, må du som er satt opp som autentiseringsadmin for kunden logge inn på denne linken med verdien fra MyDomain satt inn på slutten (bruk et incognitovindu):

    https://sticoslogin-client.sticos.no/?acr_values=urn:idp:SAML-     (eller OIDC-  om du har satt opp SSO med OIDC oppsett)

    dvs for kunden Example med MyDomain “example” i beskrivelsen over så skal admin der inn med

    https://sticoslogin-client.sticos.no/?acr_values=urn:idp:SAML-example

    Du skal nå få opp en side som ser slik ut: 

    Denne testen må utføres med en bruker som har samme epost-adresse fra EntraID som en bruker som finnes på kunden du setter opp SSO for.

3. Provisjonering av brukere fra eget domene (optional men anbefalt)

System for Cross-domain Identity Management (SCIM)-spesifikasjonen brukes til å utføre
provisjonering(synkronisering) mellom systemet ditt og VismaConnect som er påloggingssystemet som er valgt av Sticos.
Dette virker kun for Azure-EntraID, Okta og OneLogin pr 2026.

Etter at du har konfigurert identitetsleverandøren din (Azure-EntraID, Okta, OneLogin, osv) og valgt attributtene du vil synkronisere med eksterne applikasjoner, oppdateres brukerprofilen
automatisk når endringer oppdages. 

Oppskriften under beskriver hvordan du setter opp dette med EntraID og basert på at du har satt opp SSO med EntraID og SAML2 etter oppskriften over. (Du kan sette opp Provisjonering/SCIM mot EntraID hvis du har satt opp EntraID med OIDC i forrige steg også, men da må du lage en ny applikasjon i Enterprise applications for SCIM Provisjonering.)


  1. Gå til fanen Provisjonering i Visma Connect Authentication Settings og slå på SCIM 2.0 provisjonering.
  2. Kopier SCIM-endepunkt og gå til EntraID og applikasjonen du har opprettet under Enterprise applications

  3. Trykk Provisioning i menyen på venstre side

  4. Trykk + New configuration

  5. Lim inn SCIM-endepunkt fra Visma Connect under Tenant URL
    Trykk også Generer SCIM-token i Visma Connect og lim inn token under Secret token.
    Trykk Test connection og Create

  6. Gå til Provisioning, utvid Mappings og trykk på Provision Microsoft Entra ID Groups

  7. Trykk på Edit på displayName og endre Matching precedence til 2 og trykk OK
  8. Trykk så Edit på externalId

    Endre Match objects using this attribute til Yes og sett Matching precedence til 1. (Dette beholder samme gruppe i sync om du endrer navn på grupper senere)
    Trykk OK
  9. Trykk Save og OK. (Vi har ikke aktivert synk enda) Lukk attribute mapping vinduet med x oppe til høyre.
  10. Trykk så på Provision Microsoft Entra ID Users for å endre litt på mapping der også

  11. Trykk Edit på userName og endre Matching precedence til 2. (Dette også for å beholde samme bruker om man endrer UPN/epost-adresse på brukeren)
    Her må du også endre mapping fra userPrincipalName til mail om du endret mapping på SSO-oppsettet tidligere.
    Trykk OK

  12. Trykk Edit på externalID

  13. Endre Source attribute til objectId, sett Yes på Match objects og sett Matching precedence til 1. 
    Trykk OK

  14. Trykk Save, Yes og krysset oppe til høyre

  15. Under Settings kan du sette opp epostvarsel om synk feiler, og Prevent accidental deletion er automatisk aktiv.
    Scope står også til Sync only assigned users and groups som default, og dette er greit.
  16. Under Users and groups velger du hvilke brukere og/eller grupper som skal synkroniseres.

    Her vil brukere og grupper som allerede er knyttet til SSO applikasjonen ligge og vil ha tilgang. 
    Alle brukere som er medlemmer i en eller flere av grupper som legges inn her vil bli synkronisert til Visma Connect.
  17. I Visma Connect - Authentication settings:

    Sett hake på alle felt på provisjonering.
    Vi anbefaler også å endre til Utesteng bruker på oppdater brukere (Dette vil hindre innlogging om dere deaktiverer en bruker i EntraID)
    Vi anbefaler også å sette Slett bruker på Slett brukere. Dette sletter bruker i Visma Connect og i Sticos når dere sletter bruker i EntraID. (Merk EntraID har vanligvis en karantene i 30 dager før bruker faktisk slettes)

    Pr i dag står det at Sticos ikke støtter SCIM synkronisering av oppdatering på brukere, eller noen synk av grupper. Dette stemmer delvis, men grupper vil kunne brukes i Sticos Personal/Håndbøker, og Sticos jobber med videre synkronisering av grupper. 
    Deaktivering av brukere vil virke.
  18. Gå til Provision on demand i EntraID for å teste oppsettet og se at brukere/grupper synkroniseres


    Velg en bruker eller en gruppe og bruker som i mitt eksempel og trykk Provision
    Forhåpentligvis får du nå success på synkroniseringen, og du vil kunne se i Visma Connect om gruppe/bruker har blitt synkronisert.

  19. Gå til Overview og trykk Start provisioning når du er klar til å starte synkronisering av brukere og grupper til Visma Connect og Sticos.
    Merk at synkronisering ikke starter umiddelbart fra EntraID, så om du trenger å få grupper og brukere synkronisert med en gang kan du bruke Provision on demand.

 

Hjelpesiden i Visma Connect inneholder mer dokumentasjon om å sette opp SCIM provisjonering fra EntraID til Visma Connect og Sticos og fra evt andre systemer.

Merk at når du har aktivert automatisk provisjonering vil det kjøres en sync fra Azure-EntraID til Visma Connect og til Lisensoversikten.

Denne syncen vil evt opprette nye brukere inn til Visma Connect som ikke finnes der fra før, og
videre inn til Lisensoversikten.
Her er det lurt å kun knytte brukere til applikasjonen i EntraID som skal opprettes i Visma Connect og i Sticos. Det er nok ikke lurt å bruke Domain Users eller slik gruppe, da man får mange systembrukere som ikke trenger å inn. Legg inn grupper med ansatte/innleide/konsulenter eller lignende.

Merk at om du aktiverer synkronisering med valg om sletting av brukere slik bildet under viser og brukerne dine ikke er knyttet til applikasjonen du opprettet i EntraID så vil brukerne deaktiveres i Visma Connect og Sticos slik at man ikke får logget på.

Den første SCIM synkroniseringen vil kunne deaktivere brukere i Visma Connect som ikke er knyttet/lagt inn som brukere eller grupper i synkroniserings-applikasjonen i EntraID, med mindre brukerne er knyttet til andre applikasjoner i Visma Connect.

For øyeblikket er det kun Sticos Håndbøker som kan dra nytte av synkronisering av grupper.
Med denne funksjonaliteten kan man i Håndbøker automatisk tilordne gruppemedlemskap og dermed forskjellige håndbøker til brukere ved pålogging.
Det forutsetter at gruppesynkronisering er aktivert og så må funksjonaliteten slås på i Sticos Håndbøker og man må skrive inn nøyaktig samme gruppenavn som i EntraID/Visma Connect på gruppeoppsettet i Håndbøker.

Som du kan se av valgene som er satt opp i eksemplet over, deaktiveres pålogging for
brukere i Visma Connect og Sticos applikasjoner når en bruker i Azure-EntraID deaktiveres.

Det gjøres ingen endring i Sticos produktene ved deaktivering, men bruker får ikke til å logge inn da påloggingsbrukeren i Visma Connect blir blokkert. 

Når brukere slettes fra EntraID havner de i en "søppelkasse" i EntraID før de slettes automatisk etter 30 dager. Da vil også brukere slettes i Visma Connect og i Sticos.

4. Policyer for valg av tillatte identitetsleverandører

På denne siden kan man velge om brukere skal kunne logge inn med Visma/Sticos-bruker med
epostadresse og passord, eller bare Azure-EntraID/ADFS bruker.

Ved å slå av VISMA på denne siden vil du tvinge brukere til å bruke den identitetsleverandøren du har lagt inn selv her. Dette baseres på domenet/domenene du la inn på det første punktet.

Dersom brukere prøver å logge inn via www.sticos.no og produktpåloggingen der så får de denne siden: 

Når man trykker neste her vil man tvinges til Azure-EntraID om VISMA er deaktivert.
Hvis begge er aktive vil man komme til denne siden hvor bruker kan velge om man vil skrive inn
passord i våre systemer eller velge om man skal bruke Azure-EntraID/ADFS eller evt passordfritt med fingeravtrykk/FaceID/WindowsHello.

Merk at om du deaktiverer noen av påloggingstjenestene på denne policy-siden så påvirker
det pålogging for alle produkter som bruker Visma Connect som pålogging.

For eksempel krever Visma Enterprise Plus ID-porten/BankID pålogging, det samme kan gjelde
andre produkter i Visma-familien, samt Tripletex. 

5. Test og kobling av integrasjonen mot Sticos produkter

Etter alt oppsett over er fullført, må du som er satt opp som autentiseringsadmin for kunden logge inn på denne linken med verdien fra MyDomain satt inn på slutten (bruk et incognitovindu):

https://sticoslogin-client.sticos.no/?acr_values=urn:idp:SAML-     (eller OIDC-  om du har satt opp SSO med OIDC oppsett)

dvs for kunden Example med MyDomain “example” i beskrivelsen over så skal admin der inn med

https://sticoslogin-client.sticos.no/?acr_values=urn:idp:SAML-example

Du skal nå få opp en side som ser slik ut: