Microsoft Entra ID-oppsett

Guide for IT-ansvarlig i kunde-organisasjonen som skal aktivere Microsoft-pålogging for sine DigiReq-admin- og godkjenner-brukere.

Sluttbrukeretrenger ikke gjøre noe. Etter at oppsettet er ferdig, ser de en "Logg inn med Microsoft"-knapp på https://digireq.no/admin/login.

1. Hva blir aktivert

2. Hva DigiReq ber om — minimum-rettigheter

Tre standard OIDC-scopes:

Vi leser ikke kalender, filer, mailbox eller Teams. Vi lagrer Microsoft-konto-IDen (oid claim) som en referanse — ingen passord eller token settes til hvile hos oss utover sesjonen.

Tekstsamtykke vises av Microsoft når en Global Administrator klikker gjennom samtykke-flyten — det er Microsoft som beskriver scopes, ikke DigiReq.

3. Forutsetninger

4. Steg 1 — Generer samtykke-URL

Åpne https://digireq.no/admin/consent i nettleseren. Skriv inn tenant ID-en (eller la feltet stå tomt for å bruke common-endepunktet — Microsoft ruter da til den tenanten du er logget inn på).

Siden bygger en samtykke-URL i format:

https://login.microsoftonline.com/<TENANT_ID>/adminconsent
  ?client_id=b4e5540c-b264-4cfe-b358-0f6572b8e875
  &redirect_uri=https://api.digireq.no/auth/oidc/callback

Klikk "Åpne i Microsoft" eller kopier URL-en og send den til IT-admin via intern kanal.

5. Steg 2 — Godkjenn samtykke i Microsoft

  1. Microsoft ber deg logge inn (hvis du ikke er logget inn fra før)
  2. Du blir bedt om å logge inn som Global Administrator
  3. Microsoft viser de tre rettighetene fra forrige seksjon
  4. Klikk "Godta"

Microsoft sender deg deretter til https://api.digireq.no/auth/oidc/callback — det er normalt at den siden viser en feilmelding eller hvit side. Selve samtykket er allerede registrert i Entra; redirect-en er bare et teknisk artefakt.

6. Steg 3 — Aktivér i DigiReq

Send tenant ID-en til DigiReq:

Vi aktiverer tenanten i DigiReq-systemet (felt: entra_tenant_id) og gir tilbakemelding samme dag i pilot-fasen. Etter aktivering kan admin/godkjenner- brukere logge inn med Microsoft umiddelbart.

Du kan også be om at SMS-OTP slås helt av for admin-rollene ("Entra ID-only"-modus). Standard er at begge metodene er aktive parallelt — det er anbefalt for de første ukene som fallback.

7. Steg 4 — Test innlogging

  1. Gå til https://digireq.no/admin/login
  2. Klikk "Logg inn med Microsoft"
  3. Skriv inn organisasjonskoden din (f.eks. NV)
  4. Microsoft viser kontovelger; velg organisasjonskontoen
  5. Du sendes til DigiReq admin-oversikten

Hvis innlogging feiler (URL ?oidc_error=…):

8. Anbefalt Conditional Access-policy (MFA)

For å håndheve MFA på alle admin-/godkjenner-pålogginger, sett opp en Conditional Access-policy i kundens egen Entra-tenant for DigiReq-app-en (b4e5540c-b264-4cfe-b358-0f6572b8e875):

Se også /sikkerhet § 4.3 for vår MFA-policy-anbefaling.

9. Trekke samtykke tilbake

  1. Entra admin senter → Enterprise applications
  2. Søk etter DigiReq
  3. PropertiesDelete

Samme øyeblikk slutter alle DigiReq-pålogginger via Entra å fungere for din organisasjon. Eksisterende SMS-OTP-brukere er ikke berørt.

10. Sikkerhets-detaljer for revisjons-teamet

11. Hvis dere går fra "Entra ID-only" tilbake til SMS

Kontakt info@digireq.no. Vi snur policy-flagget umiddelbart. SMS-OTP-funksjonalitet er aldri fjernet forsuper_admin— DigiReq-leverandøren beholder backdoor-tilgang via SMS for support-formål, men det er kun Markus' personlige bruker.

12. Tekniske spørsmål

sikkerhet@digireq.no — vi svarer innen 24 timer i pilot-fasen.

Dokument-versjon 1.0 · Sist oppdatert 29. mai 2026 (redirect-URI til api.digireq.no) · sikkerhet@digireq.no