Přeskočit na hlavní obsah

Ověření entra ID Microsoft

Ověřování pomocí kódu ME-ID nelze kombinovat s jinými metodami ověřování, tj. pokud povolíte ověření ME-ID v Alvao, žádný jiný uživatel mimo ME-ID se nebude moci přihlásit do Alvao.

Ve výchozím nastavení se mohou do Alvao přihlásit pouze uživatelé a hosté registrovaní v jedině Microsoft Entra ID (ME-ID). Chcete-li zajistit uživatele z více nájemců ME-ID, použijte moduly ALVAO AM/SD Microsoft Multidomain Authentication.

Varování

Pokud přecházíte z autentizace Active Directory (AD) na autentizaci ME-ID, věnujte pozornost možnostem pro omezení množiny uživatelů a skupin importovaných z ME-ID, které se liší od AD, viz níže Rozsah. Před nastavením importu uživatelů z ME-ID nejprve deaktivujte stávající import uživatelů z AD (ImportAD).

Importovat uživatele z ME-ID (poskytování uživatelů)

Vytvořte aplikaci Alvao pomocí Návod: Konfigurace Alvao pro automatické poskytování uživatelů.

Varování

Vždy připojte jednu aplikaci MS Entra ke konkrétní instanci AlvaoRestApi (tj. ke konkrétní databázi ALVAO). Nikdy neměnit databázi, ke které je AlvaoRestApi připojen, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.

Videoprůvodce:

Nastavuji ověření ME-ID

  1. V Microsoft Azure portal přejděte na Microsoft Entra ID - registrace aplikací a vyberte dříve vytvořenou aplikaci Alvao.

  2. Přejděte na záložku Ověřování, klikněte na Přidat platformu a vyberte Web.

  3. Ve formuláři Konfigurace webu nastavte Přesměrování URI na URL z nabídky Správa - Nastavení - Webová aplikace - Webová aplikace (URL) plus /Account/LoginMicrosoftEndpoint a zaškrtněte Přístupové tokeny (používané pro implicitní toky) a ID tokeny (používané pro implicitní toky).

Varování

Přesměrovací adresy URI rozlišují velká a malá písmena a musí přesně odpovídat velikosti písmen WA URI / názvu složky aplikace IIS.

  1. Na stránce API permissions:

    • Klikněte na Add a permission, přejděte na kartu APIs my organization uses a vyberte první vytvořenou aplikaci Alvao.

    • Zaškrtněte oprávnění user_impersonation a klikněte na Add pro oprávnění.

    • Grant admin consen pro dříve přidané oprávnění

    • Klikněte na *Add a permission, vyberte Microsoft Graph, vyberte Application permissions, zaškrtněte Presence.Read.All a User.Read a klikněte na Add permissions. Toto umožňuje povolit možnost Přítomnost uživatelů. Také přidejte oprávnění pro další komponenty Alvao, které plánujete používat.

  2. Na stránce Properties aplikace Enterprise application nastavte přepínač Assignment required na NO.

  3. Poznamenejte si hodnoty z registrace aplikace, které budete potřebovat později:

    • Client ID
    • Directory (tenant) ID
    • Client credentials - Client secrets - New client secret - Client Secret

  4. V Alvao WebApp přejděte na stránku Správa - Nastavení - Microsoft Entra ID. Přidejte nový tenant a použijte hodnotu Entra Tenant ID získanou v předchozím kroku.

  5. Do následujícího SQL skriptu vložte výše získanou hodnotu Client ID a spusťte skript nad vaší databází Alvao.

EXEC spUpdateInsertProperty N'AzureApplicationId', N' <Client ID>'

  1. V textovém editoru otevřete soubor appsettings.json umístěný ve složce Alvao WebApp.

  2. Ujistěte se, že atribut LoginUrl je nastaven na /Account/LoginMicrosoft.

  3. Na serveru v IIS Manager:

    • V Alvao (WebApp) změňte metodu ověřování na anonymous.
    • V AlvaoCustomAppsWebService (CA WS) nastavte metodu ověřování na anonymous.

  4. V následujících konfiguračních souborech vyplňte nastavení AAD_ClientSecret hodnotou Client Secret získanou výše:

    • WebApp – soubor appsettings.json
    • AlvaoService – appsettings.json
    • AlvaoRestApi – appsettings.json

Další informace o registraci aplikací v ME-ID naleznete v článku Register your app with the Azure AD v2.0 endpoint - Microsoft Graph | Microsoft Docs.

Import uživatelů do stromu objektů

Pokud je aktivováno ALVAO Asset Management, jsou uživatelé také automaticky importováni do stromu objektů do složky Načtené objekty z Active Directory, odkud jsou přesunuti na správné místo ve stromu. Do stromu objektů je importována stejná sada uživatelů jako v Administration - Users.

Při odebrání uživatele z ME-ID je uživatel ve stromu objektů automaticky zablokován (viz vlastnost Account is blocked), ale není odstraněn. Čas od času doporučujeme zkontrolovat strom kvůli zablokovaným uživatelům a v případě potřeby je odstranit.

Pokud aktivujete Asset Management po importu uživatelů do Administration, nebudou stávající uživatelé ve stromu automaticky vytvořeni. Můžete je dodatečně vytvořit pomocí připraveného SQL skriptu am-import-users.sql, který vytvoří všechny uživatele z Administration, kteří dosud ve stromu objektů neexistují. Hodnoty vlastností jsou nastaveny podle výchozího mapování atributů. Stávající uživatelé zůstanou beze změny.

Poznámka

Můžete také ručně vytvořit malé množství uživatelů ve stromu objektů a nastavit jejich hodnoty vlastností podle informací v Administration (zejména vlastnost UserName, která je klíčová).

Poznámka

Import uživatelů do stromu objektů můžete zakázat v Administration - Asset Management - Settings - General - Import User objects from Microsoft Entra ID.

Po úpravě nastavení doporučujeme recyklovat aplikační fond Alvao na serveru IIS, aby se zastavení importu projevilo okamžitě.

SCIM

Import (provisioning) uživatelů z ME-ID do Alvao využívá rozhraní SCIM, pomocí kterého Alvao automaticky:

  • Vytváří, aktualizuje a maže uživatele v Administration - Users
  • Vytváří, aktualizuje a maže skupiny v Administration - Groups
  • Aktualizuje členství uživatelů a skupin ve skupinách
  • Vytváří a aktualizuje uživatele ve stromu objektů v ALVAO Asset Management

ME-ID průběžně odesílá informace o změnách do Alvao prostřednictvím rozhraní SCIM. Většina změn se v Alvao projeví do 40 minut, některé, jako například zablokování uživatele, dokonce dříve. Tento interval je zcela pod kontrolou ME-ID a nelze jej změnit.

Rozhraní SCIM je součástí Alvao REST API, které musí být nainstalováno na serveru dostupném z internetu (nebo Azure).