Ověření entra ID Microsoft
Ve výchozím nastavení se mohou do Alvao přihlásit pouze uživatelé a hosté registrovaní v jedině Microsoft Entra ID (ME-ID). Chcete-li zajistit uživatele z více nájemců ME-ID, použijte moduly ALVAO AM/SD Microsoft Multidomain Authentication.
Ověřování pomocí kódu ME-ID nelze kombinovat s jinými metodami ověřování, tj. pokud povolíte ověření ME-ID v Alvao, žádný jiný uživatel mimo ME-ID se nebude moci přihlásit do Alvao.
Pokud přecházíte z ověřování Active Directory (AD) na ověřování ME-ID, věnujte pozornost možnostem omezení množiny uživatelů a skupin importovaných z ME-ID, které se liší od AD, viz Obsah níže. Před nastavením importu uživatelů z ME-ID nejprve zakažte stávající import uživatelů z AD ( ImportAD).
Importovat uživatele z ME-ID (poskytování uživatelů)
Vytvořte aplikaci Alvao pomocí Návod: Konfigurace Alvao pro automatické poskytování uživatelů.
Vždy připojte jednu aplikaci MS Entra ke specifické aplikaci AlvaoRestApi (databáze). Nikdy neměnit databázi, ke které je AlvaoRestApi připojen, pokud je nastaveno poskytování uživatelů, protože by to mohlo vést k nevratnému poškození uživatelských dat v databázi.
Videoprůvodce:
Nastavuji ověření ME-ID
-
V Microsoft Azure portal přejděte na Microsoft Entra ID - registrace aplikací a vyberte dříve vytvořenou aplikaci Alvao.
-
Přejděte na záložku Ověřování, klikněte na Přidat platformu a vyberte Web.
-
Ve formuláři Konfigurace webu nastavte Přesměrování URI na URL z nabídky Správa - Nastavení - Webová aplikace - Webová aplikace (URL) plus /Account/LoginMicrosoftEndpoint a zaškrtněte Přístupové tokeny (používané pro implicitní toky) a ID tokeny (používané pro implicitní toky).
-
Na stránce API oprávnění:
- Klikněte na Přidat oprávnění, přejděte na záložku API mé organizace pouze a vyberte první vytvořenou aplikaci Alvao.
- Zkontrolujte oprávnění user_impersonation a klikněte na Přidat oprávnění.
- Udělit souhlas správce pro dříve přidané oprávnění
- Klikněte na Přidat oprávnění, vyberte Microsoft Graph, vyberte oprávnění aplikace, zkontrolujte Presence.Read.Vše a klikněte na Přidat oprávnění. Toto umožňuje povolit možnost Zobrazit uživatelskou přítomnost.
-
Na stránce Vlastnosti Enterprise aplikace, přepněte **Přiřazení na NE.
-
Upozorněte na hodnoty z registrace aplikace, které budete potřebovat později:
- Client ID
- **ID adresáře (nájemce) **
- **Pověření klienta - tajemství klienta - nové heslo klienta - tajemství klienta **
-
V aplikaci Alvao WebApp přejděte na stránku Administration - Settings - Microsoft Entra ID. Přidat nového nájemce a použít Entra nájemce ID hodnoty získané v předchozím kroku.
-
Do následujícího SQL skriptu vložte hodnotu ID klienta získanou výše a spusťte skript do databáze Alvao.
EXEC spUpdateInsertProperty N'AzureApplicationId', N' <Client ID>'
-
Otevřete soubor appsettings.json umístěný ve složce Alvao WebApp v textovém editoru.
-
Ujistěte se, že atribut LoginUrl je nastaven na
/Account/LoginMicrosoft
. -
Na serveru v IIS Manager:
- V Alvao (WebApp) změňte metodu ověřování na anonymní.
- V AlvaoCustomAppsWebService (CA WS), nastavte metodu ověřování na anonymní.
-
V následujících konfiguračních souborech vyplňte nastavení AAD_ClientSecret hodnotou Client Secret získanou výše:
- WebApp – soubor appsettings.json
- AlvaoService - appsettings.json
- AlvaoRestApi - appsettings.json
Další informace o registraci aplikací v ME-ID naleznete v Zaregistrujte se svou aplikaci pomocí Azure AD v2. endpoint - Microsoft Graph | Microsoft Docs.
Importovat u živatele do stromu objektů
Je-li aktivována ALVAO správa majetku jsou uživatelé také automaticky importováni do složky objecttree ve složce Nahrané objekty z Active Directory odkud jsou přesunuty na správné místo ve stromu. Stejná sada uživatelů je importována do stromu objektů jako v Administrace - Users.
Při odebrání uživatele z ID ME-ID je uživatel automaticky zablokován ve stromu objektů (viz Účet je zablokován vlastnost), ale není odstraněn. Jednou za chvíli doporučujeme zkontrolovat strom pro blokované uživatele a v případě potřeby jej odstranit.
Pokud aktivujete Správa majetku po importu uživatelů do správy, stávající uživatelé nejsou ve stromu automaticky vytvářeni. Můžete je navíc vytvořit pomocí připraveného SQL skriptu am-import-users.sql , který vytváří všechny uživatele z Administrace, kteří již ve stromu objektů neexistují. Hodnoty vlastnosti jsou nastaveny podle výchozího mapování atributů. Stávající uživatelé zůstanou nezměněni.
Můžete také ručně vytvořit malý počet uživatelů ve stromu objektů a nastavit hodnoty jejich vlastností podle informací v administration (zejména vlastnost UserName, která je klíčová).
Můžete zakázat import uživatelů do stromu objektů v Administrace - Správa majetku - Nastavení -General- Importovat uživatelské objekty z Microsoft Entra ID.
Po úpravě nastavení doporučujeme recyklaci aplikačního bazénu Alvao na serveru IIS, aby došlo k okamžitému ukončení importu.
SCIM
Importování (poskytování) uživatelů ze ME-ID do Alvao používá rozhraní SCIM a Alvao:
- Vytvoří, aktualizuje a odstraní uživatele v Administrace -Users
- Vytvořit, aktualizovat a odstranit skupiny v Administrace -Groups
- Aktualizuje uživatele a skupinové členství ve skupinách
- Vytváří a aktualizuje uživatele v objecttree ve správě ALVAO aktiva
ME-ID průběžně odesílá informace o změnách do Alvao prostřednictvím rozhraní SCIM. Většina změn se odráží v Alvao během 40 minut, některé, jako například uzamčení uživatele, ještě dříve. Tento interval je zcela pod kontrolou ME-ID a nelze jej změnit.
Rozhraní SCIM je součástí rozhraní Alvao REST API, které musí být nainstalováno na serveru přístupném z internetu (nebo Azure).