Metody logowania do Navigatora

System Navigator pozwala na stosowanie wielu metod uwierzytelniania w systemie:

• Navigator – natywna metoda uwierzytelniania za pomocą hasła zapisanego w bazie Navigatora
• Domena – uwierzytelnianie za pomocą poświadczeń z lokalnej domeny (Active Directory). Pozwala na wdrożenie SSO (Single Sign On). Z reguły ten wariant jest używany w przypadkach, gdy mamy system zintegrowany z AD i dane są automatycznie przesyłane między systemami.
• Office365 – uwierzytelnianie podobne do domenowego jednak używające chmury Azure. Wymaga zarejestrowania Navigatora w chmurze Azure
•  ADFS (Active Directory Federation Services) – uwierzytelnianie oparte o usłudze Microsoft która umożliwia bezpieczny, autoryzowany dostęp do dowolnej domeny, urządzenia, aplikacji webowej czy systemu w organizacji za pomocą Active Directory lub za pomocą rozwiązań firm trzecich. Więcej o tej usłudze można przeczytać na stronach Microsoft: Active Directory Federation Services Overview

Konfiguracja Navigatora

Konfigurację logowania w Navigatorze ustawiamy poprzez Ustawienia > Pozostałe > Ustawienia w sekcji Logowanie

Navigator

W tym ustawieniu nie jest wymagana żadna konfiguracja. Parametry, które podaje się przy tym ustawieniu służą do automatycznego zakładanie kont Windows dla nowo utworzonych kont w Navigatorze

Domena

Do poprawnej współpracy z Active Directory musimy podań nazwę domeny. Bez tego ta opcja nie będzie działać. Jeżeli mamy już prawidłowo skonfigurowaną nazwę to możemy włączyć automatyczne logowanie. Po uaktywnieniu tej opcji, jeżeli użytkownik jest zalogowany do domeny na swoim komputerze to po otwarciu Navigatora nie zostanie zapytany o hasło lecz automatycznie zalogowany do systemy takimi poświadczeniami, jakimi logował się na komputerze.

Ostatnią opcją jest ustawienie „Serwer jest w domenie”. Powinniśmy zaznaczyć tę opcję, jeżeli serwer aplikacji, na którym jest uruchomiony Navigator jest podłączony do firmowej domeny. Należy uważać na te opcję gdyż w przypadku, gdy serwer nie jest podłączony do domeny i zaznaczymy tę opcję to może to znacząco spowolnić działane systemu.

Office365

W przypadku wybrania opcji Office365 w celu skonfigurowania połączenia należy podać identyfikator oraz klucz wygenerowany po stronie Azure. Konfiguracja Azure zostanie omówiona w dalszej części dokumentu.

ADFS

Po wybraniu tej opcji należy podać jedynie adres serwera ADFS. Reszta konfiguracji odbywa się po stronie ADFS.

Konfiguracja AZURE

Microsoft wprowadził nową usługę, platformę tożsamości (Microsoft identity platform) która odpowiada za uwierzytelnianie użytkowników w systemie. Będzie to jedyna możliwość uzyskania dostępu do usług Microsoft. Jeżeli chcemy używać elementów Azure w systemie Navigator to należy skonfigurować platformę tożsamości pod kątem integracji z Navigatorem.

Wymagania wstępne

• Konto Azure z aktywną subskrypcją
• Uprawnienia do zarządzania aplikacjiami w Azure Active Directory. Konieczne jest posiadanie jednego z poniższych uprawnień:
  • Administrator aplikacji (Application administrator)
  • Administrator chmury (Cloud application administrator)
  • Programista aplikacji (Application developer)

Rejestrowanie aplikacji

Każda aplikacja, która ma współpracować z Azure, w tym także Navigator, musi zostać w nim zarejestrowana.

 

Rejestracja aplikacji przebiega następująco:

1. Zaloguj się do portalu Azur. Pamiętaj o minimalnych uprawnieniach
2. Znajdź odpowiednią subskrypcję. Jeżeli masz dostęp do wielu subskrypcji możesz użyć filtra katalogów i subskrypcji (directories & subscriptions filter)
3. Wybierz Azure Active Directory
4. W opcji Zarządzaj (Manage) wybierz Rejestracja aplikacji > Nowa rejestracja (App registration > New registration)
5. Wprowadź nazwę aplikacji, którą rejestrujesz. Nazwa może być dowolna.
6. Wybierz, kto może korzystać z aplikacji (account type). Do wyboru są następujące opcje:
   1. Katalog organizacji (Accounts in this organizational directory only). Z aplikacji będą mogli korzystać tylko użytkownicy z korzystający z Twojej subskrypcji
   2. Dowolna organizacja (Accounts in any organizational directory). Pozwala na korzystanie z aplikacji użytkownikom dowolnej subskrypcji. Opcja jest używana raczej przez twórców oprogramowania, którzy chcą udostępnić swoją aplikację w modelu SAAS.
   3. Dowolna organizacja oraz konta osobiste (Accounts in any organizational directory and personal Microsoft accounts). Opcja podobna do poprzedniej jednak pozwalająca na dostęp do aplikacji również osobom posiadającym indywidualne konta Microsoft
   4. Indywidualne konta (Personal Microsoft accounts). Pozwala na dostęp do aplikacji osobom posiadającym indywidualne konta Microsoft.

Na potrzeby integracji z systemem Navigator należy wybrać pierwszą opcję

7. Pole Przekierowanie URL (Redirect URL) na razie zostawiamy puste. Skonfigurujemy je później
8. Po wypełnieniu formularza należy wybrać opcję Zarejestruj (Register). Po zakończeniu pracy przez system zostanie wyświetlona strona z podsumowaniem rejestracji:

 

W podsumowaniu znajdują się istotne informacje, które trzeba przenieść do Navigatora. To pole Identyfikator aplikacji (klienta) – Application (Client) ID.

Klucz tajny

Kolejnym parametrem, który należy skonfigurować po stronie Azure jest klucz tajny (Client secrets). Po wygenerowaniu klucza należy go skopiować do Navigatora.

 

Uprawnienia interfejsu API

Do prawidłowego działania uwierzytelniania potrzeba jeszcze dodać uprawnienia do interfejsów API (API permissions).  Minimalne uprawnienia wymagane przez interfejs to Logowanie i odczytywanie profilu użytkownika (User.Read) oraz odczytanie aktywności danych w organizacji (ActivityFeed.Read)

 

Uwierzytelnienie

W zakładce Uwierzytelnienie (authentication) należy dodać przekierowania na naszą aplikację. Przykładowe wpisy znajdują się na poniższym zrzucie.

 

Należy pamiętać, by podać wszystkie URI które będą używane z Navigatorem.

Dodatkowo należy wyszukać opcje Zaawansowane > Zezwalaj na przepływ klientów publicznych (Advanced settings > Allow public client flow) i zaznaczyć ją na Tak.