Azure AD -federointi: Käyttäjien tunnistaminen
Tämä ohje koskee Maxtech Pro™ -palvelua. Maxtech Easy™ käyttäjille on olemassa erilliset ohjeet.
Maxtech -järjestelmän käyttäjillä on mahdollista tunnistautua ja kirjautua järjestelmään käyttäen ulkoista Azure AD -kirjautumisikkunaa (Oauth2 -kirjautuminen). Tämä mahdollistaa mm. monivaiheisen tunnistautumisen käyttäen Azuren palveluita.
Käyttäjien Azure AD -federointi toimii sekä webissä että mobiilisovelluksessa, kunhan tarvittavat konfiguraatiot on tehty sekä Azure App:n että Maxtechin päässä.
Federoinnin yhteyteen voidaan myös konfiguroida käyttäjien ja käyttäjäoikeuksien tuonti Azuresta Maxtechiin.
Mikäli olet kiinnostunut tästä niin olethan yhteydessä käyttötukeemme tuki@maxtech.fi tai +358 10 229 6201
Käyttöönoton edellytykset
- Maxtechin päässä täytyy olla luotuna Käyttäjät, joilla käyttäjätunnus vastaa Azure AD:n käyttäjätunnusta (muotoa xyz@domain.com)
- Asiakkaalla täytyy olla luotuna tätä federointia varten oma Azure AD App
- Azure App -asetuksissa täytyy asettaa uudelleenohjausosoite (redirect uri, eli osoite missä kirjautuminen tapahtuu Maxtechin päässä, yleensä https://pro.maxtech.fi) sekä luoda uusi client secret
- Tiedot, jotka tarvitsemme, jotta federointi voidaan ottaa käyttöön:
- Domain (jonka alla käyttäjätunnukset ovat)
- TenantId
- ClientId
- ClientSecret
![](https://tuki.maxtech.fi/wp-content/uploads/2024/01/image-5.png)
- Jotta kirjautuminen onnistuu myös Maxtech-mobiilisovelluksessa, täytyy Azure App -asetuksiin asettaa myös mobiilipuolen uudelleenohjausosoite:
- Mene App registrations -> (Sovelluksen nimi) -> Authentication
- Klikkaa Add a platform ja valitse ”Mobile and desktop applications” (jos ei ole aiemmin lisättynä)
- Lisää Custom redirect URIs -kenttään com.maxtech.maxtechpro.auth://azure
![](https://tuki.maxtech.fi/wp-content/uploads/2022/12/image-14.png)
Azure AD -federoinnin kulku
![](https://tuki.maxtech.fi/wp-content/uploads/2022/05/azure-federointi.png)
Vaaditut rajapinta-oikeudet
Jotta federointi toimii oikein, täytyy Azure Portalissa asettaa tarvittavat rajapinta-oikeudet käyttöön. Tässä ohjeistusta oikeuksien asettamiseen.
1 – Mene App registerations -> (Sovelluksen nimi) -> API permissions
2 – Klikkaa Add a permission
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-37-40-896-1024x290.png)
3 – Valitse Microsoft Graph
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-38-54-280.png)
4 – Valitse Delegated permissions
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-39-27-376.png)
5 – Lisää seuraavat oikeudet:
- OpenId permissions: offline_access, openid, profile
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-43-39-340.png)
- Group: Group.Read.All
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-46-15-656.png)
- User: User.Read
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-44-43-881.png)
1 – Klikkaa Add permissions
2 – Klikkaa Grant admin consent for (Organisaation nimi)
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-48-31-511-1024x391.png)
3 – Lopussa oikeusien pitäisi näyttää tältä:
![](https://tuki.maxtech.fi/wp-content/uploads/2023/08/image-2023-08-08-13-49-23-391-1024x389.png)
Ulkoinen uloskirjautuminen
Jotta kertauloskirjautuminen toimii oikein (käyttäjä kirjautuu ulos muualla), täytyy Azure App:n asetuksiin asettaa Front-channel logout URL. Tähän tulee asettaa arvoksi https://pro.maxtech.fi/api/v2/auth/?action=logout
![](https://tuki.maxtech.fi/wp-content/uploads/2023/09/image-26.png)
Client secret:in vaihtaminen
Azure AD:ssa luotu Client secret täytyy aika ajoin uusia (maksimi voimassaoloaika on 2 vuotta). Organisaation pääkäyttäjällä on mahdollisuus syöttää uusittu avain järjestelmään Organisaatioasetuksista ennen avaimen vanhentumista, mikäli pääkäyttäjä on itse kirjautunut järjestelmään Azure AD:n kautta.
Client secret:in vaihtaminen tapahtuu seuraavasti:
- Avaa tapahtumalista
- Avaa organisaatioasetukset -> Integraatioasetukset
- Klikkaa Hallitse Azure AD-asetuksia
- Syötä uusi avain Client secret-kenttään -> Tallenna
![](https://tuki.maxtech.fi/wp-content/uploads/2024/06/image.png)