EN

Konfigurace přihlašování uživatelů přes MS Entra

Hlavní stránka / Podpora / Příručky / Příručka administrátora /

Konfigurace přihlašování uživatelů přes MS Entra

EN

NET Genium podporuje přihlašování uživatelů pomocí účtů spravovaných v Microsoft Entra ID (dříve Azure Active Directory). Pro využití této funkcionality je nutné provést ruční konfiguraci v prostředí Microsoft Entra ID.

Konfigurace Microsoft Entra ID

  • Registrace aplikace „NET Genium” na webové stránce https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
    • portal.azure.com / Registrace aplikací
    • portal.azure.com / App registrations
    • NET Genium jako název aplikace
    • Zjištění ID aplikace (klienta), který je automaticky vytvořen při registraci aplikace
      • ID aplikace (klienta)
      • Application (client) ID
    • Nastavení URL NET Genia na hodnotu https://{url_netgenia}/LoginByMicrosoft.aspx
      • portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Identifikátory URI pro přesměrování
      • portal.azure.com / App registrations / NET Genium / Authentication / Redirect URIs
    • Povolení přístupových tokenů
      • portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Implicitní udělení a hybridní toky / Přístupové tokeny (používané pro implicitní toky)
      • portal.azure.com / App registrations / NET Genium / Authentication / Implicit grant and hybrid flows / Access tokens (used for implicit flows)
    • Povolení ID tokenů
      • portal.azure.com / Registrace aplikací / NET Genium / Ověřování / Implicitní udělení a hybridní toky / Tokeny ID (používané pro implicitní a hybridní toky)
      • portal.azure.com / App registrations / NET Genium / Authentication / Implicit grant and hybrid flows / ID tokens (used for implicit and hybrid flows)
    • Vytvoření tajného kódu klienta
      • portal.azure.com / Registrace aplikací / NET Genium / Certifikáty a tajné kódy / Nový tajný kód klienta
      • portal.azure.com / App registrations / NET Genium / Certificates & secrets / New client secret
    • Nastavení oprávnění API pro Microsoft Graph
      • portal.azure.com / Registrace aplikací / NET Genium / Oprávnění rozhraní API / Přidat oprávnění / Microsoft Graph
      • portal.azure.com / App registrations / NET Genium / API permissions / Add a permission / Microsoft Graph
      • Název rozhraní API „Microsoft Graph – User.Read”, typ „Delegováno

Obrázek.png

Konfigurace NET Genia

  • Vytvoření konfiguračního souboru „NETGenium\Config\MicrosoftOAuth.json
    • Obsah souboru nastavit na: „{"web":{"client_id":" ID aplikace (klienta) ","auth_uri":"https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize","token_uri":"https://login.microsoftonline.com/organizations/oauth2/v2.0/token","client_secret":"tajný kód klienta"}}”

Postup při ladění chyb nebo v případě nefunkčního přihlašování

  • Obecné
    • Zapnout logování „Na disk” nebo „Do databáze a na disk”
    • Vyzkoušet přihlášení
    • Analyzovat obsah logového souboru „NETGenium\Logs\Anonymous\{yyyy-dd-MM}\loginbymicrosoft.log”
    • Podle typu chyby popsané v logovém souboru „loginbymicrosoft.log”
      • Změnit obsah konfiguračního souboru „MicrosoftOAuth.json
      • Změnit nastavení v Azure (typicky vypršení platnosti client_secret)
  • Řešení chyby 401 (Unauthorized) při přihlášení přes Microsoft účet
    • Po výběru účtu se zobrazí chybové hlášení: Response status code does not indicate success: 401 (Unauthorized). Portál má přitom správně nastavené OAuth přihlašování.
    • Vyhledat pokus o přihlášení v logovacím souboru Auth.log.
    • Záznam vyhledat podle data a času přihlášení a uživatelského účtu.
    • Pokud se v souboru Auth.log záznam o přihlášení nenachází, nedošlo k úspěšné autentizaci na straně služby společnosti Microsoft. V takovém případě je nutná kontrola konfiguraci aplikace, přihlašovací údaje klienta a nastavení OAuth v prostředí služby.
    • Pokud záznam existuje, další postup dle chybového hlášení uvedeného v logu a úprava konfigurace v systému NetGenium nebo v nastavení identity poskytovatele.
  • MS Entra je nakonfigurována, ale přihlášení uživatele se nezdaří
    • Ověřit, že jsou v konfiguraci MS Entra zadány všechny varianty přesměrovacích endpointů (s www i bez www).
    • Zkontrolovat přesnou shodu URL adres včetně velikosti písmen.
    • Pokud se v logu Auth.log nenachází žádný záznam o pokusu o přihlášení, proces autentizace byl ukončen již na straně služby Microsoft.