Přeskočit na hlavní obsah

Ověření entra ID Microsoft

Ve výchozím nastavení se mohou do Alvao přihlásit pouze uživatelé a hosté registrovaní v jedině Microsoft Entra ID (ME-ID). Chcete-li zajistit uživatele z více nájemců ME-ID, použijte moduly ALVAO AM/SD Microsoft Multidomain Authentication.

Ověřování pomocí kódu ME-ID nelze kombinovat s jinými metodami ověřování, tj. pokud povolíte ověření ME-ID v Alvao, žádný jiný uživatel mimo ME-ID se nebude moci přihlásit do Alvao.

Varování

Pokud přecházíte z autentizace Active Directory (AD) na autentizaci ME-ID, věnujte pozornost možnostem pro omezení množiny uživatelů a skupin importovaných z ME-ID, které se liší od AD, viz níže Rozsah. Před nastavením importu uživatelů z ME-ID nejprve deaktivujte stávající import uživatelů z AD (ImportAD).

Importovat uživatele z ME-ID (poskytování uživatelů)

Vytvořte aplikaci Alvao pomocí Návod: Konfigurace Alvao pro automatické poskytování uživatelů.

Varování

Vždy připojte jednu aplikaci MS Entra ke specifické aplikaci AlvaoRestApi (databáze). Nikdy neměnit databázi, ke které je AlvaoRestApi připojen, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.

Videoprůvodce:

Nastavuji ověření ME-ID

  1. V Microsoft Azure portal přejděte na Microsoft Entra ID - registrace aplikací a vyberte dříve vytvořenou aplikaci Alvao.

  2. Přejděte na záložku Ověřování, klikněte na Přidat platformu a vyberte Web.

  3. Ve formuláři Konfigurace webu nastavte Přesměrování URI na URL z nabídky Správa - Nastavení - Webová aplikace - Webová aplikace (URL) plus /Account/LoginMicrosoftEndpoint a zaškrtněte Přístupové tokeny (používané pro implicitní toky) a ID tokeny (používané pro implicitní toky).

  4. Na stránce API oprávnění:

    • Klepnout/Kliknout na Přidat oprávnění, přejděte na záložku APIs, které používá moje Organizace a vyberte první vytvořenou aplikaci Alvao.
    • Zkontrolujte oprávnění user_impersonation a klikněte na Přidat oprávnění.
    • Udělit souhlas správce pro dříve přidané oprávnění
    • Klikněte na Přidat oprávnění, vyberte Microsoft Graph, vyberte oprávnění aplikace, zkontrolujte Presence.Read.Vše a klikněte na Přidat oprávnění. Toto umožňuje povolit možnost Zobrazit přítomnost uživatelů.

  5. Na stránce Vlastnosti Enterprise aplikace, přepněte **Přiřazení na NE.

  6. Upozorněte na hodnoty z registrace aplikace, které budete potřebovat později:

    • Client ID
    • **ID adresáře (nájemce) **
    • **Pověření klienta - tajemství klienta - nové heslo klienta - tajemství klienta **

  7. V aplikaci Alvao WebApp přejděte na stránku Administration - Settings - Microsoft Entra ID. Přidat nového nájemce a použít Entra nájemce ID hodnoty získané v předchozím kroku.

  8. Do následujícího SQL skriptu vložte hodnotu ID klienta získanou výše a spusťte skript do databáze Alvao.

EXEC spUpdateInsertProperty N'AzureApplicationId', N' <Client ID>'

  1. Otevřete soubor appsettings.json umístěný ve složce Alvao WebApp v textovém editoru.

  2. Ujistěte se, že atribut LoginUrl je nastaven na /Account/LoginMicrosoft.

  3. Na serveru v IIS Manager:

    • V Alvao (WebApp) změňte metodu ověřování na anonymní.
    • V AlvaoCustomAppsWebService (CA WS), nastavte metodu ověřování na anonymní.

  4. V následujících konfiguračních souborech vyplňte nastavení AAD_ClientSecret hodnotou Client Secret získanou výše:

    • WebApp – soubor appsettings.json
    • AlvaoService - appsettings.json
    • AlvaoRestApi - appsettings.json

Další informace o registraci aplikací v ME-ID naleznete v Zaregistrujte se svou aplikaci pomocí Azure AD v2. endpoint - Microsoft Graph | Microsoft Docs.

Importovat uživatele do stromu objektů

Pokud je aktivováno ALVAO Asset Management, uživatelé jsou také automaticky importováni do stromu objektů ve složce Načtené objekty z Active Directory, odkud jsou přesunuti na správné místo ve stromu. Stejná sada uživatelů je importována do stromu objektů jako v Administraci - Uživatelé.

Při odebrání uživatele z ID ME-ID je uživatel automaticky zablokován ve stromu objektů (viz Účet je zablokován vlastnost), ale není odstraněn. Jednou za chvíli doporučujeme zkontrolovat strom pro blokované uživatele a v případě potřeby jej odstranit.

Pokud aktivujete Asset Management po importu uživatelů do Správa, stávající uživatelé nejsou automaticky vytvořeni ve stromu. Můžete je navíc vytvořit pomocí připraveného SQL skriptu am-import-users.sql , který vytváří všechny uživatele z Správa, kteří již ve stromu objektů neexistují. Hodnoty vlastnosti jsou nastaveny podle výchozího mapování atributů. Stávající uživatelé zůstanou nezměněni.

Poznámka

Také můžete ručně vytvořit malé množství uživatelů ve stromu objektů a nastavit jejich hodnoty vlastností podle informací v Administraci (zejména vlastnost UserName, která je klíčová).

Poznámka

Import uživatelů do stromu objektů můžete vypnout v Administraci - Asset Management - Nastavení - Obecné - Import objektů uživatelů z Microsoft Entra ID.

Po úpravě nastavení doporučujeme recyklaci aplikačního bazénu Alvao na serveru IIS, aby došlo k okamžitému ukončení importu.

SCIM

Importování (poskytování) uživatelů ze ME-ID do Alvao používá rozhraní SCIM a Alvao:

  • Vytváří, aktualizuje a maže uživatele v Administraci - Uživatelé
  • Vytváří, aktualizuje a maže skupiny v Administraci - Skupiny
  • Aktualizuje uživatele a skupinové členství ve skupinách
  • Vytváří a aktualizuje uživatele ve stromu objektů v ALVAO Asset Management

ME-ID průběžně odesílá informace o změnách do Alvao prostřednictvím rozhraní SCIM. Většina změn se odráží v Alvao během 40 minut, některé, jako například uzamčení uživatele, ještě dříve. Tento interval je zcela pod kontrolou ME-ID a nelze jej změnit.

Rozhraní SCIM je součástí rozhraní Alvao REST API, které musí být nainstalováno na serveru přístupném z internetu (nebo Azure).