NET Genium podporuje přihlašování uživatelů pomocí účtů spravovaných v Microsoft Entra ID (dříve Azure Active Directory). Pro využití této funkcionality je nutné provést ruční konfiguraci v prostředí Microsoft Entra ID.
1. Konfigurace Microsoft Entra ID
- Registrace aplikace „NET Genium” na webové stránce https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- portal.azure.com / Registrace aplikací
- portal.azure.com / App registrations
- NET Genium jako název aplikace
- Zjištění ID aplikace (klienta), který je automaticky vytvořen při registraci aplikace
- ID aplikace (klienta)
- Application (client) ID
- Nastavení URL NET Genia na hodnotu „https://{url_netgenia}/LoginByMicrosoft.aspx”
- portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Identifikátory URI pro přesměrování
- portal.azure.com / App registrations / NET Genium / Authentication / Redirect URIs
- Povolení přístupových tokenů
- portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Implicitní udělení a hybridní toky / Přístupové tokeny (používané pro implicitní toky)
- portal.azure.com / App registrations / NET Genium / Authentication / Implicit grant and hybrid flows / Access tokens (used for implicit flows)
- Povolení ID tokenů
- portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Implicitní udělení a hybridní toky / Tokeny ID (používané pro implicitní a hybridní toky)
- portal.azure.com / App registrations / NET Genium / Authentication / Implicit grant and hybrid flows / ID tokens (used for implicit and hybrid flows)
- Vytvoření tajného kódu klienta
- portal.azure.com / Registrace aplikací / NET Genium / Certifikáty a tajné kódy / Nový tajný kód klienta
- portal.azure.com / App registrations / NET Genium / Certificates & secrets / New client secret
- Nastavení oprávnění API pro Microsoft Graph
- portal.azure.com / Registrace aplikací / NET Genium / Oprávnění rozhraní API / Přidat oprávnění / Microsoft Graph
- portal.azure.com / App registrations / NET Genium / API permissions / Add a permission / Microsoft Graph
- Název rozhraní API „Microsoft Graph – User.Read”, typ „Delegováno”
2. Konfigurace NET Genia
- Vytvoření konfiguračního souboru „NETGenium\Config\MicrosoftOAuth.json”
- Obsah souboru nastavit na: „{"web":{"client_id":" ID aplikace (klienta) ","auth_uri":"https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize","token_uri":"https://login.microsoftonline.com/organizations/oauth2/v2.0/token","client_secret":"tajný kód klienta"}}”
3. Postup při ladění chyb nebo v případě nefunkčního přihlašování
3.1. Obecné
- Zapnout logování „Na disk” nebo „Do databáze a na disk”
- Vyzkoušet přihlášení
- Analyzovat obsah logového souboru „NETGenium\Logs\Anonymous\{yyyy-dd-MM}\loginbymicrosoft.log”
- Podle typu chyby popsané v logovém souboru „loginbymicrosoft.log”
- Změnit obsah konfiguračního souboru „MicrosoftOAuth.json”
- Změnit nastavení v Azure (typicky vypršení platnosti client_secret)
3.2. Response status code does not indicate success: 401 (Unauthorized)
- Vyhledat pokus o přihlášení v logovacím souboru Auth.log.
- Záznam vyhledat podle data a času přihlášení a uživatelského účtu.
- Pokud se v souboru Auth.log záznam o přihlášení nenachází, nedošlo k úspěšné autentizaci na straně služby společnosti Microsoft. V takovém případě je nutná kontrola konfiguraci aplikace, přihlašovací údaje klienta a nastavení OAuth v prostředí služby.
- Pokud záznam existuje, další postup dle chybového hlášení uvedeného v logu a úprava konfigurace v systému NetGenium nebo v nastavení identity poskytovatele.
3.3. Sorry, but we're having trouble with signing you in
- Ověřit, že jsou v konfiguraci MS Entra zadány všechny varianty přesměrovacích endpointů (s www i bez www).
- Zkontrolovat přesnou shodu URL adres včetně velikosti písmen.
- Pokud se v logu Auth.log nenachází žádný záznam o pokusu o přihlášení, proces autentizace byl ukončen již na straně služby Microsoft.