Ověřování pomocí Microsoft Entra ID

Do systému Alvao se mohou přihlásit pouze uživatelé z jednoho nájemce Microsoft Entra ID (ME-ID) a externí uživatelé (hosté) tohoto nájemce. Pokud v systému Alvao povolíte ověřování ME-ID, nebudou se moci do systému Alvao přihlásit žádní jiní uživatelé mimo ME-ID.

Upozornění:

Pokud přecházíte z ověřování Active Directory (AD ) na ověřování ME-ID, věnujte pozornost možnostem omezení množiny uživatelů a skupin importovaných z ME-ID, které se liší od AD, viz níže Rozsah. Před nastavením importu uživatelů z ME-ID nejprve vypněte stávající import uživatelů z AD(ImportAD).

Import uživatelů z ME-ID (poskytování uživatelů)

Vytvořte aplikaci Alvao s výukovým programem: Nastavte systém ALVAO pro automatické poskytování uživatelů.

Upozornění:

Vždy připojte jednu aplikaci MS Entra ke konkrétnímu AlvaoRestApi (databázi). Nikdy neměňte databázi, ke které je AlvaoRestApi připojena, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.

Nastavení ověřování ME-ID

Na portálu Microsoft Azure přejděte do části Microsoft Entra ID - Registrace aplikací a vyberte dříve vytvořenou aplikaci Alvao
Přejděte na kartu Ověřování, klikněte na tlačítko Přidat platformu a vyberte možnost Web
Ve formuláři Konfigurace webu nastavte Přesměrování URI na URL z nabídky Správa - Nastavení - Webová aplikace - Webová aplikace (URL ) plus /Account/LoginMicrosoftEndpoint a zaškrtněte Přístupové tokeny (používané pro implicitní toky ) a ID tokeny (používané pro implicitní toky)
Na stránce Oprávnění API
1. Klikněte na tlačítko Add a permission (Přidat oprávnění), přejděte na kartu APIs my organization uses (Rozhraní API, která používá moje organizace ) a vyberte první vytvořenou aplikaci ALVAO.
2. Označte oprávnění user_impersonation a klikněte na tlačítko Add permissions ( Přidat oprávnění).
3. Udělit souhlas správce pro dříve přidané oprávnění
4. Klikněte na tlačítko Přidat oprávnění, vyberte možnost Microsoft Graph, vyberte možnost Delegovaná oprávnění, zaškrtněte možnost Presence.Read.All a klikněte na tlačítko Přidat oprávnění. To umožní povolit možnost Zobrazit přítomnost uživatelů.
Na stránce Vlastnosti aplikace Enterprise přepněte přepínač Assigment required do polohy NO.
Poznamenejte si hodnoty z registrace aplikace, které budete později potřebovat
1. ID klienta
2. ID adresáře (nájemce)
3. Pověření klienta - Tajemství klienta - Nové tajemství klienta - Tajemství klienta
Do následujícího skriptu SQL vložte výše získané hodnoty Directory (tenant) ID a Client ID a spusťte skript v databázi Alvao.
INSERT INTO AzureAdTenant (AzureTenantId) VALUES (N'<Directory (tenant) ID>')
EXEC spUpdateInsertProperty N'AzureApplicationId', N'<Client ID>'
Na serveru v nástroji IIS Manager
1. V aplikaci Alvao (WebApp) změňte metodu ověřování na anonymní a formuláře.
  V přihlašovacích údajích formulářů zadejte
  ~/Account/LoginMicrosoft adresu
2. V AssetWebService (AM WS) nastavte metodu ověřování na anonymní
3. V AlvaoRestApi nastavte metodu ověřování na anonymní
4. V AlvaoCustomAppsWebService (CA WS) nastavte metodu ověřování na anonymní.
V následujících konfiguračních souborech vyplňte nastavení AAD_ClientSecret výše získanou hodnotou Client Secret
1. WebApp - soubor web.config
2. AssetWebService - soubor web.config
3. AlvaoService - appsettings.json
4. AlvaoRestApi - web.config
5. AlvaoCustomAppsWebService - web.config

Další informace o registraci aplikací v ME-ID naleznete v části Registrace aplikace pomocí koncového bodu Azure AD v2.0 - Microsoft Graph | Microsoft Docs.

Import uživatelů do stromu objektů

Pokud je aktivována správa aktiv ALVAO, jsou uživatelé automaticky importováni také do stromu objektů ve složce Loaded Objects from Active Directory, odkud jsou přesunuti na správné místo ve stromu. Do stromu objektů se importuje stejná množina uživatelů jako v Správa - Uživatelé.

Při odebrání uživatele z ME-ID je uživatel ve stromu objektů automaticky zablokován (viz vlastnost Účet je zablokován ), ale není odebrán. Jednou za čas doporučujeme zkontrolovat strom objektů, zda nejsou zablokovaní uživatelé, a případně je odstranit.

Pokud po importu uživatelů do správy aktivujete správu majetku, stávající uživatelé se ve stromu automaticky nevytvoří. Můžete je dodatečně vytvořit pomocí připraveného SQL skriptu, který vytvoří všechny uživatele z Správa, kteří ještě neexistují ve stromu objektů. Hodnoty vlastností se nastaví podle výchozího mapování atributů. Stávající uživatelé zůstanou beze změny.

Poznámka:

Můžete také ručně vytvořit malý počet uživatelů ve stromu objektů a nastavit jim hodnoty vlastností podle informací v administraci (zejména vlastnost User Name, která je klíčová)

Poznámka:

Import uživatelů do stromu objektů můžete zakázat v nabídce Správa - Asset Management - Nastavení - Obecné - Importovat objekty uživatelů z Microsoft Entra ID.

Po úpravě nastavení doporučujeme recyklovat fond aplikací Alvao na serveru IIS, aby se vypnutí importu projevilo okamžitě.

SCIM

Import (provisioning) uživatelů z ME-ID do Alvao využívá rozhraní SCIM, přes které Alvao automaticky:

Vytváří, aktualizuje a odstraňuje uživatele v Správa - Uživatelé
Vytváří, aktualizuje a odstraňuje skupiny v Správa - Skupiny
Aktualizuje členství uživatelů a skupin ve skupinách
Vytváří a aktualizuje uživatele ve stromu objektů v aplikaci ALVAO Asset Management

ME-ID průběžně odesílá informace o změnách do systému Alvao prostřednictvím rozhraní SCIM. Většina změn se v systému Alvao projeví do 40 minut, některé, například zablokování uživatele, ještě dříve. Tento interval je zcela v režii systému ME-ID a nelze jej měnit.

Rozhraní SCIM je součástí rozhraní Alvao REST API, které musí být nainstalováno na serveru přístupném z internetu (nebo Azure).

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.