Ověřování služby Azure Active Directory
Do systému Alvao se mohou přihlásit pouze uživatelé z jednoho nájemce Azure Active Directory (AAD) a externí uživatelé (hosté) tohoto nájemce. Pokud v systému Alvao povolíte ověřování AAD, nebudou se do systému Alvao moci přihlásit žádní jiní uživatelé mimo AAD.
Pozor:
Pokud přecházíte z ověřování
Active Directory (AD ) na ověřování AAD, věnujte pozornost možnostem omezení množiny uživatelů a skupin importovaných z AAD, které se liší od AD, viz níže
Rozsah. Před nastavením importu uživatelů z AAD nejprve deaktivujte stávající import uživatelů z AD
(ImportAD).
Import uživatelů z AAD (zajištění uživatelů)
Viz výukový program: Konfigurace systému ALVAO pro automatické poskytování uživatelů.
Nastavení ověřování AAD
- Na portálu Microsoft Azure přejděte do části Azure Active Directory - Registrace aplikací a vyberte dříve vytvořenou aplikaci ALVAO
- Na stránce Overview (Přehled) nastavte Redirect URIs (Přesměrování URI) na https://<WebApp>/Account/LoginMicrosoftEndpoint
- Na stránce Authentication (Ověřování) zaškrtněte Access tokens (používané pro implicitní toky ) a uložte nastavení.
- Na stránce Oprávnění API
- Klepněte na tlačítko Add a permission (Přidat oprávnění), přejděte na kartu APIs my organization uses (Rozhraní API, která používá moje organizace) a vyberte první vytvořenou aplikaci ALVAO.
- Zaškrtněte oprávnění user_impersonation a klikněte na tlačítko Add permissions.
- Udělit souhlas správce pro dříve přidané oprávnění
- Klikněte na tlačítko Přidat oprávnění, vyberte možnost Microsoft Graph, vyberte možnost Delegovaná oprávnění, zaškrtněte možnost Presence.Read.All a klikněte na tlačítko Přidat oprávnění. To umožní povolit možnost Zobrazit přítomnost uživatelů.
- Poznamenejte si hodnoty z registrace aplikace, které budete potřebovat později
-
ID klienta
-
ID adresáře (nájemce)
-
Pověření klienta - Tajemství klienta - Nové tajemství klienta - Tajemství klienta
- Do následujícího skriptu SQL vložte výše získané hodnoty Directory (tenant) ID a Client ID a spusťte skript v databázi Alvao.
INSERT INTO AzureAdTenant (AzureTenantId) VALUES (N'<Directory (tenant) ID>')
EXEC spUpdateInsertProperty N'AzureApplicationId', N'<Client ID>'
- Na serveru v nástroji IIS Manager
- V aplikaci Alvao (WebApp) změňte metodu ověřování na anonymní a formuláře.
V přihlašovacích údajích formulářů zadejte
~/Account/LoginMicrosoft adresu
- V AssetWebService (AM WS) nastavte metodu ověřování na anonymní
- V AlvaoRestApi nastavte metodu ověřování na anonymní
- V AlvaoCustomAppsWebService (CA WS) nastavte metodu ověřování na anonymní.
- V následujících konfiguračních souborech vyplňte nastavení AAD_ClientSecret výše získanou hodnotou Client Secret
- WebApp - soubor web.config
- AssetWebService - soubor web.config
- AlvaoService - appsettings.json
- AlvaoRestApi - web.config
- AlvaoCustomAppsWebService - web.config
Další informace o registraci aplikací v AAD naleznete v části Registrace aplikace pomocí koncového bodu Azure AD v2.0 - Microsoft Graph | Microsoft Docs.
Import uživatelů do stromu objektů
Pokud je aktivován ALVAO Asset Management, jsou uživatelé automaticky importováni také do stromu objektů ve složce Načtené objekty z Active Directory, odkud jsou přesunuti na správné místo ve stromu. Do stromu objektů se importuje stejná sada uživatelů jako v aplikaci WebApp - Administration - Users.
Při odebrání uživatele z AAD je uživatel automaticky zablokován ve stromu objektů (viz vlastnost Účet je zablokován ), ale není odebrán. Jednou za čas doporučujeme zkontrolovat strom objektů, zda nejsou uživatelé zablokováni, a v případě potřeby je odstranit.
Pokud aktivujete Asset Management dodatečně, když jste již importovali uživatele do Správy, stávající uživatelé se ve stromu automaticky nevytvoří. Můžete je dodatečně vytvořit pomocí připraveného SQL skriptu, který vytvoří všechny uživatele ze Správy, kteří ještě neexistují ve stromu objektů. Hodnoty vlastností se nastaví podle výchozího mapování atributů. Stávající uživatelé zůstanou beze změny.
Pozn:
Můžete také ručně vytvořit malý počet uživatelů ve stromu objektů a nastavit jim hodnoty vlastností podle informací ve
Správě (zejména vlastnost
User Name, která je klíčová)
Pozn:
V případě potřeby můžete import uživatelů do stromu objektů tímto SQL skriptem zakázat:
EXEC spUpdateInsertProperty 'AM.Scim.ImportUsers', NULL, 0Po provedení skriptu doporučujeme recyklovat fond aplikací Alvao na serveru IIS, aby se vypnutí importu projevilo okamžitě.
Import můžete opět zapnout pomocí skriptu:
EXEC spUpdateInsertProperty 'AM.Scim.ImportUsers', NULL, 1SCIM
Import (provisioning) uživatelů z AAD do Alvao využívá rozhraní SCIM, přes které Alvao automaticky:
- Vytvářet, upravovat a mazat uživatele v aplikaci WebApp - Administration - Users
- Vytvářet, upravovat a mazat skupiny v aplikaci WebApp - Administrace - Skupiny
- Aktualizuje členství uživatelů a skupin ve skupinách
- Vytváří a upravuje uživatele ve stromu objektů v aplikaci ALVAO Asset Management
AAD průběžně odesílá informace o změnách do systému Alvao prostřednictvím rozhraní SCIM. Většina změn se v systému Alvao projeví do 40 minut, některé, například zablokování uživatele, ještě dříve. Tento interval je zcela v režii systému AAD a nelze jej měnit.
Rozhraní SCIM je součástí rozhraní ALVAO REST API, které musí být nainstalováno na serveru přístupném z internetu (nebo Azure).
Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.