Přeskočit na hlavní obsah

Ověření entra ID Microsoft

Autentizaci Microsoft Entra ID (ME-ID) nelze kombinovat s ostatními metodami ověřování, tj. pokud v Alvao zapnete ověřování ME-ID, žádní další uživatelé mimo ME-ID se nebudou moci do Alvao přihlásit.

Ve výchozím nastavení se do Alvao mohou přihlásit pouze uživatelé a hosté zaregistrovaní v jediném tenantu ME-ID. Chcete-li zajistit uživatele z více nájemců ME-ID, použijte moduly ALVAO AM/SD Microsoft Multidomain Authentication.

Varování

Pokud přecházíte ze způsobu ověřování Active Directory (AD) na ověřování ME-ID, vezměte prosím na vědomí, že na množinu uživatelů a skupin importovaných z ME-ID se vztahují omezení, která se liší od AD. Viz Definujte rozsah zřizování. Než zapnete import uživatelů z ME-ID, nejprve vypněte stávající import uživatelů z AD.

Importovat uživatele z ME-ID (poskytování uživatelů)

Vytvořte aplikaci Alvao pomocí Návod: Konfigurace Alvao pro automatické poskytování uživatelů.

Varování

Vždy připojte jednu aplikaci MS Entra ke konkrétní instanci AlvaoRestApi (tj. ke konkrétní databázi ALVAO). Nikdy neměnit databázi, ke které je AlvaoRestApi připojen, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.

Videoprůvodce:

Nastavuji ověření ME-ID

  1. V portálu Microsoft Azure přejděte do Microsoft Entra ID - App registrations a vyberte dříve vytvořenou aplikaci Alvao.

  2. Přejděte na záložku Ověřování, klikněte na Přidat platformu a vyberte Web.

  3. V panelu Configure Web zadejte URL stránky pro přihlášení do pole Redirect URIs, např. https://contoso.alvao.com/Alvao/Account/LoginMicrosoftEndpoint. Url svého Alvao najdete v Správa - Nastavení - WebApp - WebApp (URL). Dále zapněte možnosti Access tokens (used for implicit flows) a ID tokens (used for implicit flows and hybrid flows).

Varování

Přesměrovací adresy URI rozlišují velká a malá písmena a musí přesně odpovídat velikosti písmen WA URI / názvu složky aplikace IIS.

  1. Na stránce API permissions:

    • Klikněte na Add a permission, přejděte na kartu APIs my organization uses a vyberte první vytvořenou aplikaci Alvao.
    • Zaškrtněte oprávnění user_impersonation a klikněte na Add pro oprávnění.
    • Grant admin consen pro dříve přidané oprávnění
    • Klikněte na Přidat oprávnění, vyberte Microsoft Graph, vyberte Oprávnění aplikace, zaškrtněte Presence.Read.All a klikněte na Přidat oprávnění. Poté proveďte totéž s Delegated permissions – zaškrtněte User.Read. Toto umožňuje povolit možnost Přítomnost uživatelů. Také přidejte oprávnění pro další komponenty Alvao, které plánujete používat.

  2. Na stránce Properties nastavte přepínač Assignment required na No.

  3. Poznamenejte si hodnoty ze stránky Přehled registrace aplikace, které budete potřebovat později:

    • Application (client) ID
    • Directory (tenant) ID

  4. Přejděte na stránku Certificates & secrets – záložku Client secrets. Příkazem New client secret vytvořte nový tajný kód. Ihned zkopírujte tajný kód ze sloupce Value a uložte si ho pro pozdější použití v tomto postupu.

  5. V Alvao WebApp přejděte na stránku Správa - Nastavení - Microsoft Entra ID. Přidejte nový tenant a použijte hodnotu Directory (tenant) ID získanou v předchozím kroku.

  6. Do následujícího SQL skriptu vložte výše získanou hodnotu Application (client) ID a spusťte skript nad vaší databází Alvao pomocí SSMS.

EXEC spUpdateInsertProperty N'AzureApplicationId', N'<Application (client) ID>'

  1. V textovém editoru otevřete soubor appsettings.json umístěný ve složce Alvao WebApp.

  2. Ujistěte se, že atribut LoginUrl je nastaven na /Account/LoginMicrosoft.

  3. V IIS Manager na serveru změňte způsob ověřování na anonymní pro následující aplikace:

    • Alvao (WebApp)
    • AlvaoCustomAppsWebService (CA WS)

  4. Zadejte výše získaný tajný kód do položky AAD_ClientSecret v souborech appsettings.json následujících aplikací:

    • WebApp
    • AlvaoService
    • AlvaoRestApi

Další informace o registraci aplikací v ME-ID naleznete v článku Register your app with the Azure AD v2.0 endpoint - Microsoft Graph | Microsoft Docs.

Import uživatelů do stromu objektů

Pokud je aktivováno ALVAO Asset Management, uživatelé jsou také automaticky importováni do stromu objektů ve složce Importováno z Microsoft Entra ID, odkud jsou přesunuti na správné místo ve stromu. Do stromu objektů je importována stejná sada uživatelů jako v Administration - Users.

Při odebrání uživatele z ME-ID je uživatel ve stromu objektů automaticky zablokován (viz vlastnost Account is blocked), ale není odstraněn. Čas od času doporučujeme zkontrolovat strom kvůli zablokovaným uživatelům a v případě potřeby je odstranit.

Pokud aktivujete Asset Management po importu uživatelů do Administration, nebudou stávající uživatelé ve stromu automaticky vytvořeni. Můžete je dodatečně vytvořit pomocí připraveného SQL skriptu am-import-users.sql, který vytvoří všechny uživatele z Administration, kteří dosud ve stromu objektů neexistují. Hodnoty vlastností jsou nastaveny podle výchozího mapování atributů. Stávající uživatelé zůstanou beze změny.

Poznámka

Můžete také ručně vytvořit malé množství uživatelů ve stromu objektů a nastavit jejich hodnoty vlastností podle informací v Administration (zejména vlastnost UserName, která je klíčová).

Poznámka

Import uživatelů do stromu objektů můžete zakázat v Správa - Asset Management - Nastavení - Obecné - Import objektů uživatele z Microsoft Entra ID.

Po úpravě nastavení doporučujeme recyklovat aplikační fond Alvao na serveru IIS, aby se zastavení importu projevilo okamžitě.

SCIM

Import (provisioning) uživatelů z ME-ID do Alvao využívá rozhraní SCIM, pomocí kterého Alvao automaticky:

  • Vytváří, aktualizuje a maže uživatele v Administration - Users
  • Vytváří, aktualizuje a maže skupiny v Administration - Groups
  • Aktualizuje členství uživatelů a skupin ve skupinách
  • Spáruje údaje importovaných uživatelů s existujícími externími uživateli.
  • Vytváří a aktualizuje uživatele ve stromu objektů v ALVAO Asset Management

ME-ID průběžně odesílá informace o změnách do Alvao prostřednictvím rozhraní SCIM. Většina změn se v Alvao projeví do 40 minut, některé, jako například zablokování uživatele, dokonce dříve. Tento interval je zcela pod kontrolou ME-ID a nelze jej změnit.

Rozhraní SCIM je součástí Alvao REST API, které musí být nainstalováno na serveru dostupném z internetu (nebo Azure). Podporováno je pouze TLS 1.2.