Identitet og innlogging

Logg inn med Microsoft

Innlogging med jobbkonto eller personlig Microsoft-konto. Den naturlige veien inn i norske virksomheter som allerede kjører Microsoft 365.

Fakta
  • Leverandør: Microsoft Corporation (USA)
  • Autentisering: OAuth 2.0 / OpenID Connect via Microsoft Entra ID (tidligere Azure AD).
  • Protokoll: HTTPS. OpenID Connect. Tokens valideres mot Microsofts JWKS, eller ved kall mot Microsoft Graph.
  • Krever avtale: Noen tilfeller
  • Dokumentasjon: offisiell docs

Om Logg inn med Microsoft

For et internt system i en virksomhet som allerede bruker Microsoft 365 er dette som regel det enkleste og tryggeste valget: brukerne finnes fra før, IT-avdelingen styrer tilgangen, og avslutter noen arbeidsforholdet, forsvinner tilgangen automatisk. Det siste er verdt mye — glemte kontoer er en av de vanligste sikkerhetshullene i norske virksomheter. Skal både jobbkontoer og personlige kontoer inn, må du velge riktig tenant-oppsett fra start. Det er en beslutning som er tungvint å snu senere. Se også Microsoft Entra ID i registeret for tilgangsstyringen bak.

Før du kan integrere — manuelt oppsett

Registrer en app i Entra ID og sett opp redirect-URI-er og en client secret. Ingen avtale for egen organisasjon, men skal appen brukes i en kundes tenant, kreves admin-samtykke der.

2 timer manuelt arbeid Ventetid: Ingen for eget oppsett. Admin-samtykke i kundens tenant kan ta tid.

Dette er tiden før koden i det hele tatt er relevant — søknad, avtale, godkjenning. AI rører den ikke. Det er ofte her et integrasjonsprosjekt faktisk stopper opp, ikke i utviklingen.

Slik integrerer du

Registrer en applikasjon i Entra ID-portalen. Velg kontotype: bare din egen organisasjon, alle organisasjoner, eller også personlige kontoer. Legg inn redirect-URI-er og opprett en client secret eller et sertifikat. Server-side: valider tokenet. Microsoft har ikke et enkelt tokeninfo-endepunkt slik Google har — enten validerer du JWT-signaturen mot JWKS, eller du kaller Microsoft Graph /me med access-tokenet, noe som i praksis beviser at tokenet er ekte. Manuelle trinn: app-registrering, kontotype, redirect-URI-er, secret. Krever appen admin-samtykke i kundens tenant, må noen med de rettighetene godkjenne — det er ofte der ventetiden ligger, ikke i koden.

AI-perspektiv

Samme som for Google: mønsteret er velkjent og skrives fort, men valideringen er der feilene bor. Be eksplisitt om at tokenvalidering skjer server-side — en klient som selv «bekrefter» at brukeren er innlogget, beskytter ingenting.

Trenger du hjelp med en Logg inn med Microsoft-integrasjon? DOPS har lang erfaring med integrasjoner mot norske offentlige og private tjenester.

Snakk med DOPS