Skip to content Skip to main navigation Skip to footer

Azure AD -federointi: Käyttäjien tunnistaminen

Tämä ohje koskee Maxtech Pro™ -palvelua. Maxtech Easy™ käyttäjille on olemassa erilliset ohjeet.

Maxtech -järjestelmän käyttäjillä on mahdollista tunnistautua ja kirjautua järjestelmään käyttäen ulkoista Azure AD -kirjautumisikkunaa (Oauth2 -kirjautuminen). Tämä mahdollistaa mm. monivaiheisen tunnistautumisen käyttäen Azuren palveluita.

Käyttäjien Azure AD -federointi toimii sekä webissä että mobiilisovelluksessa, kunhan tarvittavat konfiguraatiot on tehty sekä Azure App:n että Maxtechin päässä.

Federoinnin yhteyteen voidaan myös konfiguroida käyttäjien ja käyttäjäoikeuksien tuonti Azuresta Maxtechiin.

Mikäli olet kiinnostunut tästä niin olethan yhteydessä käyttötukeemme tuki@maxtech.fi tai +358 10 229 6201

Käyttöönoton edellytykset

  • Maxtechin päässä täytyy olla luotuna Käyttäjät, joilla käyttäjätunnus vastaa Azure AD:n käyttäjätunnusta (muotoa xyz@domain.com)
  • Asiakkaalla täytyy olla luotuna tätä federointia varten oma Azure AD App
  • Azure App -asetuksissa täytyy asettaa uudelleenohjausosoite (redirect uri, eli osoite missä kirjautuminen tapahtuu Maxtechin päässä, yleensä https://pro.maxtech.fi) sekä luoda uusi client secret
  • Tiedot, jotka tarvitsemme, jotta federointi voidaan ottaa käyttöön:
    • Domain (jonka alla käyttäjätunnukset ovat)
    • TenantId
    • ClientId
    • ClientSecret
  • Jotta kirjautuminen onnistuu myös Maxtech-mobiilisovelluksessa, täytyy Azure App -asetuksiin asettaa myös mobiilipuolen uudelleenohjausosoite:
    • Mene App registrations -> (Sovelluksen nimi) -> Authentication
    • Klikkaa Add a platform ja valitse ”Mobile and desktop applications” (jos ei ole aiemmin lisättynä)
    • Lisää Custom redirect URIs -kenttään com.maxtech.maxtechpro.auth://azure

Azure AD -federoinnin kulku

Vaaditut rajapinta-oikeudet

Jotta federointi toimii oikein, täytyy Azure Portalissa asettaa tarvittavat rajapinta-oikeudet käyttöön. Tässä ohjeistusta oikeuksien asettamiseen.

1 – Mene App registerations -> (Sovelluksen nimi) -> API permissions
2 – Klikkaa Add a permission

3 – Valitse Microsoft Graph

4 – Valitse Delegated permissions

5 – Lisää seuraavat oikeudet:

  • OpenId permissions: offline_access, openid, profile
  • Group: Group.Read.All
  • User: User.Read

1 – Klikkaa Add permissions
2 – Klikkaa Grant admin consent for (Organisaation nimi)

3 – Lopussa oikeusien pitäisi näyttää tältä:

Ulkoinen uloskirjautuminen

Jotta kertauloskirjautuminen toimii oikein (käyttäjä kirjautuu ulos muualla), täytyy Azure App:n asetuksiin asettaa Front-channel logout URL. Tähän tulee asettaa arvoksi https://pro.maxtech.fi/api/v2/auth/?action=logout

Client secret:in vaihtaminen

Azure AD:ssa luotu Client secret täytyy aika ajoin uusia (maksimi voimassaoloaika on 2 vuotta). Organisaation pääkäyttäjällä on mahdollisuus syöttää uusittu avain järjestelmään Organisaatioasetuksista ennen avaimen vanhentumista, mikäli pääkäyttäjä on itse kirjautunut järjestelmään Azure AD:n kautta.

Client secret:in vaihtaminen tapahtuu seuraavasti:

  • Avaa tapahtumalista
  • Avaa organisaatioasetukset -> Integraatioasetukset
  • Klikkaa Hallitse Azure AD-asetuksia
  • Syötä uusi avain Client secret-kenttään -> Tallenna

Oliko tästä ohjeesta hyötyä?

Keskiarvo 5 / 5. Arvosteluita yhteensä: 2

Harmi, ettei tästä ohjeesta ollut sinulle hyötyä.

Haluatko kertoa meille, kuinka voisimme parantaa ohjeen sisältöä?

Jos haluat vastauksen lähettämääsi palautteeseen, ole hyvä ja syötä mukaan yhteystietosi.