Innlogging med jobbkonto eller personlig Microsoft-konto. Den naturlige veien inn i norske virksomheter som allerede kjører Microsoft 365.
- Leverandør: Microsoft Corporation (USA)
- Autentisering: OAuth 2.0 / OpenID Connect via Microsoft Entra ID (tidligere Azure AD).
- Protokoll: HTTPS. OpenID Connect. Tokens valideres mot Microsofts JWKS, eller ved kall mot Microsoft Graph.
- Krever avtale: Noen tilfeller
- Dokumentasjon: offisiell docs
Om Logg inn med Microsoft
For et internt system i en virksomhet som allerede bruker Microsoft 365 er dette som regel det enkleste og tryggeste valget: brukerne finnes fra før, IT-avdelingen styrer tilgangen, og avslutter noen arbeidsforholdet, forsvinner tilgangen automatisk. Det siste er verdt mye — glemte kontoer er en av de vanligste sikkerhetshullene i norske virksomheter. Skal både jobbkontoer og personlige kontoer inn, må du velge riktig tenant-oppsett fra start. Det er en beslutning som er tungvint å snu senere. Se også Microsoft Entra ID i registeret for tilgangsstyringen bak.
Før du kan integrere — manuelt oppsett
Registrer en app i Entra ID og sett opp redirect-URI-er og en client secret. Ingen avtale for egen organisasjon, men skal appen brukes i en kundes tenant, kreves admin-samtykke der.
Dette er tiden før koden i det hele tatt er relevant — søknad, avtale, godkjenning. AI rører den ikke. Det er ofte her et integrasjonsprosjekt faktisk stopper opp, ikke i utviklingen.
Slik integrerer du
Registrer en applikasjon i Entra ID-portalen. Velg kontotype: bare din egen organisasjon, alle organisasjoner, eller også personlige kontoer. Legg inn redirect-URI-er og opprett en client secret eller et sertifikat. Server-side: valider tokenet. Microsoft har ikke et enkelt tokeninfo-endepunkt slik Google har — enten validerer du JWT-signaturen mot JWKS, eller du kaller Microsoft Graph /me med access-tokenet, noe som i praksis beviser at tokenet er ekte. Manuelle trinn: app-registrering, kontotype, redirect-URI-er, secret. Krever appen admin-samtykke i kundens tenant, må noen med de rettighetene godkjenne — det er ofte der ventetiden ligger, ikke i koden.
AI-perspektiv
Samme som for Google: mønsteret er velkjent og skrives fort, men valideringen er der feilene bor. Be eksplisitt om at tokenvalidering skjer server-side — en klient som selv «bekrefter» at brukeren er innlogget, beskytter ingenting.
Trenger du hjelp med en Logg inn med Microsoft-integrasjon? DOPS har lang erfaring med integrasjoner mot norske offentlige og private tjenester.
Snakk med DOPS