Integracja - Microsoft Azure

Thulium umożliwia integrację z Active Directory w ramach Microsoft Azure w celu kontroli dostępu do systemu Thulium w ramach Domeny.

Na skróty#

Zakres integracji
Krok po kroku

Zakres integracji#

Użytkownicy mogą logować się do systemu Thulium za pomocą mechanizmu OpenID Connect udostępnianego przez Microsoft Azure,
OpenID Connect dopuszcza uwierzytelnienie dowolnego konta Azure, jednak po otrzymaniu tokenu weryfikowany jest jego wydawca,
System korzysta z OpenID za pomocą publicznej aplikacji zarejestrowanej przez Thulium,
Identyfikacja Użytkowników w systemie Thulium odbywa się na podstawie pola “User name” w Active Directory. Pole to jest loginem danego Użytkownika, więc nie może być ono puste. Wartość tego pola musi być unikatowa dla każdego Użytkownika.

Krok po kroku#

1. Rejestracja aplikacji Thulium w Azure

Aplikacja Thulium rejestruje się automatycznie w usłudze katalogowej Azure AD Klienta po pierwszym logowaniu dowolnego Użytkownika z organizacji w systemie Thulium, za pomocą Azure OpenID Connect.

Automatyczne dodanie usługi do Azure AD powoduje, że w systemie mogłaby się uwierzytelnić dowolna osoba z organizacji. Zaleca się więc, aby przed udostępnieniem uwierzytelniania za pomocą Azure ograniczyć dostęp do systemu.

Konfiguracja powinna przebiegać w następującej kolejności:

a) Z menu głównego Azure Active Directory należy wybrać zakładkę Enterprise Application:

b) Na liście aplikacji powinna się pojawić aplikacja Thulium:

c) Po przejściu do ustawień aplikacji należy włączyć wymaganie bezpośredniego przypisania uprawnień do logowania:

d) Następnie na zakładce Users and groups należy dodać uprawnienia do aplikacji danej grupie,której członkowie mają mieć dostęp do aplikacji:

2. Integracja z Microsoft Azure w Thulium

a) Integrację uwierzytelniania za pomocą Microsoft Azure należy uruchomić w sekcji Administracja → Zaawansowane → Integracje z grupy Dostęp:

Po kliknięciu pokaże się ekran z parametrami do uzupełnienia:

gdzie:

Identyfikatory "Tenant ID" - należy wprowadzić właściwy identyfikator Tenant ID zaufanej usługi katalogowej Active Directory, z której dopuszczone jest logowanie za pomocą OpenID Connect.

W przypadku konieczności wprowadzenia większej ilości zaufanych usług katalogowych, należy wprowadzić identyfikatory zatwierdzając je klawiszem file .

Automatyczne tworzenie użytkowników - zaznaczenie tego pola umożliwi systemowi automatyczne tworzenie kont nowym Użytkownikom, którzy się poprawnie uwierzytelnili za pomocą OpenID Connect, nawet jeżeli ich konta nie zostały jeszcze utworzone w systemie.

Zaleca się włączenie tej funkcji dopiero po ustawieniu odpowiednich loginów (adres domenowy) w Thulium dla aktualnych Użytkowników tak by przy logowaniu nie zakładali się nowi jeżeli już takowi istnieją (ale o innym loginie).

Identyfikator grupy - pozwala na zaimportowanie Użytkowników należących do grupy z Active Directory przed ich pierwszym logowaniem do systemu.

b) Po wprowadzeniu konfiguracji i kliknięciu w file na ekranie logowania pojawi się przycisk file a sama integracja ustawi się jako włączona:

3. Synchronizacja Użytkowników

Synchronizacja pozwala na zaimportowanie Użytkowników systemu przed ich pierwszym logowaniem do systemu pod warunkiem uzupełnienia pola w ramach konfiguracji Integracji:

a) W celu uruchomienia synchronizacji w ramach modułu Administracja -> Użytkownicy pojawi się przycisk file

b) Po kliknięciu w przycisk przeprowadzana jest pełna synchronizacja Użytkowników, co oznacza, że Ci, którzy nie istnieli dotychczas w systemie są dodawani do systemu Thulium, dane Użytkowników, którzy już istnieli, są aktualizowane, natomiast konta, które nie znalazły się wśród pobranych Użytkowników zostaną zdezaktywowane. Na stronie z podsumowaniem pokaże się raport z podsumowaniem importu:

4. Dodatkowe parametry

Wyłączenie formularza logowania lokalnego

Wyłączenie formularza logowania lokalnego spowoduje, że ze strony logowania Thulium znikną pola: Login i Hasło. Zmiana tego ustawienia jest dostępna w module Administracja → Parametry systemowe pod hasłem Czy wyświetlać formularz logowania:

Przed wyłączeniem formularza logowania należy się upewnić, że możemy się w systemie bezproblemowo logować Użytkownikiem z rolą Admin.

Ustawienie domyślnej roli

Ustawienie to powoduje, że przy synchronizacji Użytkowników z zewnętrznego źródła, każdy user będzie przypisany do tej Roli. Zmiana tego ustawienia jest dostępna w sekcji Administracja → Parametry systemowe pod kluczem Rola, która zostanie przypisana użytkownikowi po synchronizacji: