Přeskočit na hlavní obsah

Ověření entra ID Microsoft

Ve výchozím nastavení se mohou do Alvao přihlásit pouze uživatelé a hosté registrovaní v jedině Microsoft Entra ID (ME-ID). Pro poskytování uživatelů z více nájemníků ME-ID použijte modul ALVAO Microsoft Multidomain Authentication.

Ověřování pomocí kódu ME-ID nelze kombinovat s jinými metodami ověřování, tj. pokud povolíte ověření ME-ID v Alvao, žádný jiný uživatel mimo ME-ID se nebude moci přihlásit do Alvao.

Varování

Pokud přepínáte z ověření Active Directory (AD) na ověření ME-ID , věnujte pozornost možnostem, jak omezit sadu uživatelů a skupin importovaných z ME-ID, které se liší od AD, viz Scope níže. Before setting up user import from ME-ID, first disable the existing user import from AD ( ImportAD).

Importovat uživatele z ME-ID (poskytování uživatelů)

Vytvořte aplikaci Alvao pomocí Návod: Konfigurace Alvao pro automatické poskytování uživatelů.

Varování

Vždy připojte jednu aplikaci MS Entra ke specifické aplikaci AlvaoRestApi (databáze). Nikdy neměnit databázi, ke které je AlvaoRestApi připojen, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.

Nastavuji ověření ME-ID

  1. V Microsoft Azure portal přejděte na Microsoft Entra ID - registrace aplikací a vyberte dříve vytvořenou aplikaci Alvao.

  2. Přejděte na záložku Ověřování, klikněte na Přidat platformu a vyberte Web.

  3. Ve formuláři Konfigurovat Web nastavit Přesměrovací URI na URL ze správy - Nastavení - WebApp - WebApp (URL) plus /Account/LoginMicrosoftEndpoint a zkontrolovat Přístupové tokeny (používané pro implicitní tok) a ID tokeny (používané pro implicitní tok).

  4. Na stránce API oprávnění:

    • Klikněte na Přidat oprávnění, přejděte na záložku API mé organizace pouze a vyberte první vytvořenou aplikaci Alvao.
    • Zkontrolujte oprávnění user_impersonation a klikněte na Přidat oprávnění.
    • Udělit souhlas správce pro dříve přidané oprávnění
    • Klikněte na Přidat oprávnění, vyberte Microsoft Graph, vyberte oprávnění aplikace, zkontrolujte Presence.Read.Vše a klikněte na Přidat oprávnění. Toto umožňuje povolit možnost Zobrazit uživatelskou přítomnost.

  5. Na stránce Vlastnosti Enterprise aplikace, přepněte **Přiřazení na NE.

  6. Upozorněte na hodnoty z registrace aplikace, které budete potřebovat později:

    • Client ID
    • **ID adresáře (nájemce) **
    • **Pověření klienta - tajemství klienta - nové heslo klienta - tajemství klienta **

  7. In Alvao WebApp go to Administration - Settings - Microsoft Entra ID page. Přidat nového nájemce a použít Entra nájemce ID hodnoty získané v předchozím kroku.

  8. Do následujícího SQL skriptu vložte hodnotu ID klienta získanou výše a spusťte skript do databáze Alvao.

EXEC spUpdateInsertProperty N'AzureApplicationId', N' <Client ID>'

  1. Otevřete soubor appsettings.json umístěný ve složce Alvao WebApp v textovém editoru.

  2. Ujistěte se, že je atribut LoginUrl nastaven na /Account/LoginIntegrated.

  3. Na serveru v IIS Manager:

    • V Alvao (WebApp) změňte metodu ověřování na anonymní.
    • V AlvaoCustomAppsWebService (CA WS), nastavte metodu ověřování na anonymní.

  4. In the following configuration files, fill the AAD_ClientSecret setting with the Client Secret value obtained above:

    • WebApp – soubor appsettings.json
    • AlvaoService - appsettings.json
    • AlvaoRestApi - appsettings.json

Další informace o registraci aplikací v ME-ID naleznete v Zaregistrujte se svou aplikaci pomocí Azure AD v2. endpoint - Microsoft Graph | Microsoft Docs.

Importovat uživatele do stromu objektů

Je-li aktivována ALVAO správa majetku jsou uživatelé také automaticky importováni do složky objecttree ve složce Nahrané objekty z Active Directory odkud jsou přesunuty na správné místo ve stromu. Stejná sada uživatelů je importována do stromu objektů jako v Administrace - Users.

Při odebrání uživatele z ID ME-ID je uživatel automaticky zablokován ve stromu objektů (viz Účet je zablokován vlastnost), ale není odstraněn. Jednou za chvíli doporučujeme zkontrolovat strom pro blokované uživatele a v případě potřeby jej odstranit.

Pokud aktivujete Správa majetku po importu uživatelů do správy, stávající uživatelé nejsou ve stromu automaticky vytvářeni. Můžete je navíc vytvořit pomocí připraveného SQL skriptu am-import-users.sql , který vytváří všechny uživatele z Administrace, kteří již ve stromu objektů neexistují. Hodnoty vlastnosti jsou nastaveny podle výchozího mapování atributů. Stávající uživatelé zůstanou nezměněni.

Poznámka

Můžete také ručně vytvořit malý počet uživatelů ve stromu objektů a nastavit jejich hodnoty podle informací v správě (zejména vlastnosti UserName), což je klíčová).

Poznámka

Můžete zakázat import uživatelů do stromu objektů v Administrace - Správa majetku - Nastavení -General- Importovat uživatelské objekty z Microsoft Entra ID.

Po úpravě nastavení doporučujeme recyklaci aplikačního bazénu Alvao na serveru IIS, aby došlo k okamžitému ukončení importu.

SCIM

Importování (poskytování) uživatelů ze ME-ID do Alvao používá rozhraní SCIM a Alvao:

  • Vytvoří, aktualizuje a odstraní uživatele v Administrace -Users
  • Vytvořit, aktualizovat a odstranit skupiny v Administrace -Groups
  • Aktualizuje uživatele a skupinové členství ve skupinách
  • Vytváří a aktualizuje uživatele v objecttree ve správě ALVAO aktiva

ME-ID průběžně odesílá informace o změnách do Alvao prostřednictvím rozhraní SCIM. Většina změn se odráží v Alvao během 40 minut, některé, jako například uzamčení uživatele, ještě dříve. Tento interval je zcela pod kontrolou ME-ID a nelze jej změnit.

Rozhraní SCIM je součástí rozhraní Alvao REST API, které musí být nainstalováno na serveru přístupném z internetu (nebo Azure).