Azure AD: Käyttäjien ja käyttäjäoikeuksien tuonti
Tämä ohje koskee Maxtech Pro™ -palvelua. Maxtech Easy™ käyttäjille on olemassa erilliset ohjeet.
Azure AD -federoinnin yhteyteen voidaan konfiguroida käyttäjien provisiointi Azure AD:sta Maxtechiin.
Käyttöönoton edellytykset
- Azure AD -federoinnin täytyy olla konfiguroituna ja testattu toimivaksi
- Azure-käyttäjätuonti täytyy olla kytkettynä päälle, sekä asetuksiin määriteltynä mitkä Azure-käyttäjäryhmät yhdistetään mihinkin Maxtech-käyttäjäprofiiliin
- Azure-käyttäjien täytyy kuulua vähintään yhteen tuontiasetuksissa määriteltyyn käyttäjäryhmään
- Azure-käyttäjäryhmien nimien täytyy alkaa etuliitteellä ”Maxtech”, esim. ”Maxtech Esihenkilö”, muun nimisiä ryhmiä ei huomioida
Käyttäjätuonnin kuvaus
Kun tuonti on konfiguroitu, ja henkilö kirjautuu järjestelmään Azure AD:n kautta, tarkistetaan, löytyykö järjestelmästä olemassaolevaa käyttäjää Azure-käyttäjätunnuksen perusteella (email-osoite).
Jos käyttäjää ei löydy, se perustetaan Azuresta saatavien tietojen perusteella (* pakollinen tieto):
- userPrincipalName * = käyttäjätunnus sekä käyttäjään sidotun henkilön email-osoite
- employeeId * = käyttäjään sidotun henkilön henkilönumero (myös henkilö perustetaan jos sitä ei ole vielä olemassa)
- jobTitle = käyttäjään sidotun henkilön työnimike
- Seuraavat tiedot asetetaan sekä käyttäjälle että käyttäjään sidotulle henkilölle:
- givenName = etunimi
- surname = sukunimi
- mobilePhone = puhelinnumero
Jokaisen kirjautumisen yhteydessä tarkistetaan ja päivitetään käyttäjän perustietojen lisäksi käyttäjäoikeudet Azuren käyttäjäryhmien perusteella:
- Tuodulle / päivitettävälle käyttäjälle asetetaan käyttäjäprofiilit sen mukaan, miten ne on yhdistetty Azure-käyttäjäryhmiin käyttäjätuonnin konfiguroinnin yhteydessä
- Mikäli käyttäjä kuuluu useampaan käyttäjäryhmään, voidaan käyttäjälle asettaa myös käyttöön useampia käyttäjäprofiileja
- Tuontiasetuksissa on myös käyttäjäryhmäkohtaisesti asetettavissa seuraavat asetukset:
- Asetetaanko käyttäjä organisaation pääkäyttäjäksi
- Onko käyttäjällä organisaation käyttäjien hallintaoikeus
- Asetetaanko käyttäjään sidottu henkilö esihenkilöksi
- Asetetaanko käyttäjään sidottu henkilö hänen yksikkönsä (ja alayksiköittensä) esihenkilöksi
- Asetetaanko kyseinen käyttäjäprofiili oletusprofiiliksi (jos kuuluu useampaan käyttäjäryhmään)
Azure AD -provisioinnin kulku
Ajastettu käyttäjien ja käyttöoikeuksien tuonti
Yllä kuvattu käyttäjien ja käyttöoikeuksien tuonti on mahdollista konfiguroida myös tehtäväksi ajastetusti. Jotta ajastettu tuonti on mahdollista, niin Azure Appiin täytyy antaa sovellustason oikeudet User.Read.All sekä Group.Read.All -valtuuksiin: