Azure AD -federointi: Käyttäjien tunnistaminen
Tämä ohje koskee Maxtech Pro™ -palvelua. Maxtech Easy™ käyttäjille on olemassa erilliset ohjeet.
Maxtech -järjestelmän käyttäjillä on mahdollista tunnistautua ja kirjautua järjestelmään käyttäen ulkoista Azure AD -kirjautumisikkunaa (Oauth2 -kirjautuminen). Tämä mahdollistaa mm. monivaiheisen tunnistautumisen käyttäen Azuren palveluita.
Käyttäjien Azure AD -federointi toimii sekä webissä että mobiilisovelluksessa, kunhan tarvittavat konfiguraatiot on tehty sekä Azure App:n että Maxtechin päässä.
Federoinnin yhteyteen voidaan myös konfiguroida käyttäjien ja käyttäjäoikeuksien tuonti Azuresta Maxtechiin.
Mikäli olet kiinnostunut tästä niin olethan yhteydessä käyttötukeemme tuki@maxtech.fi tai +358 10 229 6201
Käyttöönoton edellytykset
- Maxtechin päässä täytyy olla luotuna Käyttäjät, joilla käyttäjätunnus vastaa Azure AD:n käyttäjätunnusta (muotoa xyz@domain.com)
- Asiakkaalla täytyy olla luotuna tätä federointia varten oma Azure AD App
- Azure App -asetuksissa täytyy asettaa uudelleenohjausosoite (redirect uri, eli osoite missä kirjautuminen tapahtuu Maxtechin päässä, yleensä https://pro.maxtech.fi) sekä luoda uusi client secret
- Tiedot, jotka tarvitsemme, jotta federointi voidaan ottaa käyttöön:
- Domain (jonka alla käyttäjätunnukset ovat)
- TenantId
- ClientId
- ClientSecret

- Jotta kirjautuminen onnistuu myös Maxtech-mobiilisovelluksessa, täytyy Azure App -asetuksiin asettaa myös mobiilipuolen uudelleenohjausosoite:
- Mene App registrations -> (Sovelluksen nimi) -> Authentication
- Klikkaa Add a platform ja valitse ”Mobile and desktop applications” (jos ei ole aiemmin lisättynä)
- Lisää Custom redirect URIs -kenttään com.maxtech.maxtechpro.auth://azure

Azure AD -federoinnin kulku

Vaaditut rajapinta-oikeudet
Jotta federointi toimii oikein, täytyy Azure Portalissa asettaa tarvittavat rajapinta-oikeudet käyttöön. Tässä ohjeistusta oikeuksien asettamiseen.
1 – Mene App registerations -> (Sovelluksen nimi) -> API permissions
2 – Klikkaa Add a permission

3 – Valitse Microsoft Graph

4 – Valitse Delegated permissions

5 – Lisää seuraavat oikeudet:
- OpenId permissions: offline_access, openid, profile

- Group: Group.Read.All

- User: User.Read

1 – Klikkaa Add permissions
2 – Klikkaa Grant admin consent for (Organisaation nimi)

3 – Lopussa oikeusien pitäisi näyttää tältä:

Ulkoinen uloskirjautuminen
Jotta kertauloskirjautuminen toimii oikein (käyttäjä kirjautuu ulos muualla), täytyy Azure App:n asetuksiin asettaa Front-channel logout URL. Tähän tulee asettaa arvoksi https://pro.maxtech.fi/api/v2/auth/?action=logout
