Esittely
Microsoft-kirjautuminen (Azure AD Single Sign-On) antaa työntekijöille pääsyn Nepton-palveluun organisaation vakiovaltuuksilla ja turvallisuuskäytännöillä. Tämä ohje kuvaa tarpeelliset määritysvaiheet Microsoft SSO:n käyttöönottamiseksi Azuressa. Tämä artikkeli on tarkoitettu organisaatiosi Microsoft Azure AD tai Microsoft 365 -järjestelmänvalvojille.
Edellytykset
Organisaatiollasi on oltava aktiivinen Microsoft 365- tai Azure AD -tilaus. Organisaatiollasi on oltava vähintään yksi vapaa Azure AD-sovelluksen rekisteröintipaikka käytettävissä. Kaikki Microsoft 365 asiakkaat saivat vähintään 10 sovelluksen rekisteröintipaikkaa tilauksen alkaessa.
Käyttäjän henkilöllisyys
Palvelun on tiedettävä työntekijöidesi Azure AD EMAIL-kentän arvo. Ne siirretään tyypillisesti palveluun käyttäjien ajoitetun päivittäisen tuontimekanismin kautta. Keskustele tästä tarkemmin Nepton-projektipäällikkösi kanssa tarpeen mukaan.
Työntekijän Azure AD-sähköposti voidaan tarkistaa manuaalisesti seuraavalla menetelmällä:
- Azure-portaali
- Azure Active Directory
- Users, select employee
- Sähköposti löytyy yhdestä näistä (käytä alla olevaa järjestystä):
- Profile, contact info, email
- Authentication methods, email
- Profile, user principal name
Azure AD määritysvaiheet
1. Kirjaudu Azure-portaaliin https://portal.azure.com/#home
2. Azure Active Directory
3. Manage, app registrations (NOT enterprise applications)
4. Valitse välilehti + New Registration
5. Register an application
6. Täytä tarvittavat tiedot juuri kuten alla:
- Name: SSO for Nepton V2
- Supported account types: Accounts in any organizational directory only
- Redirect URI Type: Web
- Redirect URIs:
Huomaa että vain "Accounts in any organizational directory" vaihtoehto on tuettu.
Huomaa että Redirect URIs -osoitteiden isojen ja pienten kirjainten pitää olla kirjoitettu tarkalleen kuten yllä.
Paina Register -nappia.
7. Sinun pitäisi ohjautua juuri luomaasi yleisnäkymään SSO for Nepton V2.
8. Vasemmalla, Authentication, Front-channel logout URL
https://go.nepton.com/logout.aspx
Merkkikoko yllä olevassa URL:ssa on merkitsevä, kirjoita URL kokonaisuudessaan pienaakkosin.
9. Vasemmalla, Authentication, advanced settings, implicit grant, enable Access tokens ja ID tokens. Näitä tarvitaan, kun palvelun tunnistautuminen kutsuu API-rajapintaa.
10. Save
11. Vasemmalla, Overview, kopioi Application ID ja Object ID arvot notepadiin. Tarvitset ainakin toista näistä arvoista myöhemmässä vaiheessa.
12. Luodaan client secret -arvo.
HUOMIO: Jokaisella client secret -arvolla on vanhenemispäivä. Katso yksityiskohdat alempaa. Sinun tulee ennen vanhenemispäivää aina luoda uusi client secret -arvo ja päivttää tämä Neptoniin. Tämä on edellytys Microsoft-kirjautumisen keskeytymättömälle käytölle Neptonissa.
Tähän vaiheeseen on kaksi eri vaihtoehtoa
A) Luo client secret Powershellin avulla
HUOMIO: Tämä vaihtoehto on toimiessaan kaikkein paras.
Älkää määrittäkö vanhenemispäivää yli 10 vuotta tulevaisuuteen. Tällä tavalla määritelty client secret -arvo voidaan luoda, mutta se ei todennäkäisesti kuitenkaan käyttöönotettaessa toimi, johtuen AzureAD bugista.
Mikäli ette saa kirjautumista toimimaan vaihtoehdolla A, tulee teidän tehdä määritykset vaihtoehdolla B.
Tämä vaihtoehto mahdollistaa 10 vuotta voimassa olevien client secret -arvojen luomisen. Sinun pitää tehdä vaiheet 12, 13 ja 16 uudestaan aina kymmenen vuoden välein.
Sinun tulee tässä vaihtoehdossa tuntea Powershellin toiminta. Huomioithan että Powershellin 7 versio ei tue AzureAD yhteyksiä, joten käytä Powershellin 5.1 x86 versiota.
Mikäli et ole vielä asentanut tarvittavaa Powershell moduulia, niin tee tämä:
Install-Module AzureAD
Aja seuraavanlaiset komennot (lopetuspäivä ei voi olla yli 10 vuoden päässä)
Connect-AzureAD
$startDate = Get-Date
$endDate = $startDate.AddYears(10)
$value = New-AzureADApplicationPasswordCredential -ObjectId "REPLACE_WITH_OBJECTID_OF_APP_REGISTRATION"-StartDate $startDate -EndDate $endDate
$value
B) Luo client secret Azure AD portaalissa
Tämä vaihtoehto voidaan tehdä pelkällä selaimella. Haittapuolena on se, että client secret vanhenee kahden vuoden välein ja täten vaiheet 12, 13 ja 16 pitää tehdä uudestaan aina kahden vuoden välein.
Vasemmalla, Certificates & Secrets, create new client secret. Merkitse uusi client secret olemaan voimassa mahdollisimman pitkään, tai jos mahdollista olemaan ikinä vanhenematta. Lisää. Odota että näet oikealla ylhäällä tämän ilmoituksen:
13. Kopioi client secret value -arvo notepadiin. Varmista (vaihtoehto 12B) et vahingossa kopioinut client secret ID -arvoa. Tarvitset client secret value -arvoa myöhemmässä vaiheessa.
14. Siirry Azure AD, Manage, Enterprise Applications, SSO for Nepton v2, Security, Permissions
15. Paina Grant admin consent for YOUR AD TENANT ja hyväksy popupin mukaiset ehdot