Azure AD:n määrittäminen integrointia varten
Tässä oppaassa kuvataan, miten Microsoft Azure Active Directory (AD) valmistellaan eAdm tai eFeide varten. Prosessiin kuuluu sovelluksen rekisteröinnin luominen ja sen jälkeen tarvittavien käyttöoikeuksien määrittäminen.
Voit huoletta jättää huomiotta edistynyttä konfigurointia koskevan osion, ellei Identum ole erikseen ohjeistanut sinua.
Osa 1: Luo Azure AD -sovelluksen rekisteröinti
Kirjaudu sisään Azure-portaaliin järjestelmänvalvojan tilillä.
Siirry Azure Active Directoryyn.
Valitse vasemmanpuoleisesta valikosta Sovellusrekisteröinnit ja valitse sitten + Uusi rekisteröinti.
Määritä seuraavat asetukset "Rekisteröi sovellus" -sivulla:
Nimi: Anna sovellukselle kuvaava nimi. Esimerkiksi:
Identum eAdm Käyttäjien ja ryhmien hallinta.Tuetut tilityypit: Valitse Accounts in this organizational directory only (Single tenant).
Ohjaa URI uudelleen: Jätä tämä kenttä tyhjäksi.
Luo sovellus valitsemalla Rekisteröi.
Kun sovellus on luotu, kopioi sovelluksen (asiakkaan) tunnus ja hakemiston (vuokralaisen) tunnus sovelluksen "Yleiskatsaus"-sivulta. Tallenna nämä arvot myöhempää käyttöä varten.
Varoitus: Älä käytä sovelluksen nimessä vinoviivaa (/), sillä se voi aiheuttaa ongelmia Azure AD:ssä.
Osa 2: API-oikeuksien määrittäminen
Seuraavaksi sovellukselle on annettava tarvittavat API-oikeudet käyttäjien ja ryhmien hallintaan.
Siirry uuden sovelluksen rekisteröinnissä vasemmanpuoleisessa valikossa kohtaan API-oikeudet.
Napsauta + Lisää käyttöoikeus.
Valitse Microsoft Graph.
Valitse Sovelluksen käyttöoikeudet.
Lisää seuraavat oikeudet:
Directory.Read.All
Directory.ReadWrite.All
Group.Create
Group.Read.All
Group.ReadWrite.All
GroupMember.ReadWrite.All
User.Read.All
User.ReadWrite.All
Käyttäjä.EnableDisableAccount.All
Lisää myös seuraavat käyttöoikeudet, jos ne ovat merkityksellisiä erityistarpeidesi kannalta:
AuditLog.Read.All: Tarvitaan, jos haluat synkronoidalastLogonTimeStampattribuutti eAdm.UserAuthenticationMethod.ReadWrite.All Käyttäjätunnistusmenetelmä.ReadWrite.All: Tarvitaan, jos eAdm hallinnoi käyttäjien MFA-menetelmiä.Team.Create: Tarvitaan, jos eAdm luo uusia tiimejä.Team.ReadBasic.All: Tarvitaan, jos eAdm lukee ryhmän perustiedot.Teamwork.Migrate.All: Vaaditaan tietyissä siirtymisskenaarioissa.TeamTemplates.ReadAll: Vaaditaan, jos eAdm käyttää tiimipohjia.
Kun olet lisännyt käyttöoikeudet, valitse Lisää käyttöoikeudet.
Napsauta API-oikeudet-näytössä Grant admin consent for [Your Tenant Name] (Anna ylläpitäjän suostumus [vuokralaisen nimi] ) ja vahvista pyydettäessä.
Huomautus: Lihavoidut käyttöoikeudet ovat pakollisia perusintegroinnissa. Muut vaaditaan tiettyjä yleisiä skenaarioita varten.
Osa 3: Luo asiakassalaisuus
Asiakassalaisuus on salasana, jota sovellus käyttää tunnistautuakseen.
Siirry vasemmanpuoleisessa valikossa kohtaan Varmenteet ja salaisuudet.
Napsauta + Uusi asiakassalaisuus.
Kirjoita salaisuuden kuvaus ja aseta voimassaoloajaksi 24 kuukautta.
Napsauta Lisää.
Kopioi välittömästi uuden asiakassalaisuuden arvo Arvo-kentästä.
Varoitus: Asiakassalaisuuden arvo näytetään kokonaisuudessaan vain heti luomisen jälkeen. Jos et kopioi sitä nyt, sinun on luotava uusi. Säilytä tämä arvo turvallisesti.
Huomautus: Jos Privileged Identity Management (PIM) on aktiivinen ympäristössäsi, et ehkä voi asettaa kiinteää voimassaolon päättymispäivää.
Osa 4: Määritä järjestelmänvalvojan rooli
Jotta sovellus voi suorittaa arkaluonteisia toimintoja, kuten salasanojen muuttamista tai käyttäjien puhelinnumeroiden päivittämistä, se tarvitsee järjestelmänvalvojan roolin.
Siirry Azure-portaalissa kohtaan Azure Active Directory.
Valitse Roolit ja ylläpitäjät.
Etsi ja valitse User Administrator -rooli.
Napsauta Lisää toimeksiantoja.
Etsi ja valitse aiemmin luomasi sovellus (esim,
Identum eAdm Käyttäjien ja ryhmien hallinta).Aseta seuraavassa näytössä Määritystyypiksi Aktiivinen ja anna perustelu, kuten "Tarvitaan eFeide varten käyttäjien salasanojen hallintaan".
Suorita roolin määritys loppuun napsauttamalla Assign (Määritä ).
Huomautus: Jos käytät rooliin määritettäviä ryhmiä eFeide tai eAdm hallinnoimille käyttäjille, sovellus vaatii sen sijaan Privileged Authentication Administrator -roolin. Katso: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions
Osa 5: Lähetä tiedot Identumille
Kun konfigurointi on valmis, sinun on lähetettävä Identumille seuraavat tiedot, jotta asennus voidaan viimeistellä:
Vuokralaisen nimi (esim,
yourcompany.onmicrosoft.com)Hakemiston (vuokralaisen) tunnus
Sovelluksen (asiakkaan) tunnus
Asiakassalaisuus
Varoitus: Lähetä asiakassalaisuus turvallisuussyistä erillään muista tiedoista (esim. tekstiviestillä tai muulla suojatulla kanavalla).
Edistynyt konfigurointi
Varoitus: Älä suorita seuraavia vaiheita, ellei Identum ole nimenomaisesti ohjeistanut sinua tekemään niin tai jos et ole asiantuntija.
Käyttöoikeuksien määrittäminen Exchange Online -palvelussa
Näitä oikeuksia tarvitaan vain, jos eAdm tai eFeide hallinnoi suoraan Exchange Online -ominaisuuksia, kuten jakeluryhmiä tai sähköpostin suojausryhmiä.
Siirry sovelluksen rekisteröinnissä kohtaan API-oikeudet ja napsauta + Lisää oikeus.
Siirry Organisaationi käyttämät sovellusrajapinnat-välilehdelle.
Etsi "Office" ja valitse Office 365 Exchange Online.
Valitse Sovelluksen käyttöoikeudet.
Valitse
Exchange.ManageAsApplupa ja klikkaa Lisää käyttöoikeuksia.Myönnä ylläpitäjän suostumus uudelle luvalle.
Määritä sovellukselle Exchange Recipient Administrator -rooli Azure AD:n Roles and administrators -paneelin kautta. Näin se voi hallita Exchange-objekteja.
Varmenteeseen perustuva todennus
Tämä vaihe on tarpeen vain, jos Identumin on ajettava mukautettuja skriptejä Exchange Online- tai Azure AD -ympäristössäsi. Tätä käytetään yleensä edistyneissä integraatioissa, ja siitä sovitaan suoraan kanssasi.
Luodaan itse allekirjoitettu varmenne. Saat ohjeet, miten tämä tehdään.
Siirry hakemuksen rekisteröinnissä kohtaan Varmenteet ja salaisuudet.
Valitse Varmenteet-välilehti ja valitse Lataa varmenne.
Lataa julkisen avaimen tiedosto (
.cer,.pem, tai.crt), jotka on toimitettu sinulle.
Liite: Tarvittavien lupien tarkastelu
Seuraavassa taulukossa on lueteltu Microsoft Graph API -oikeudet ja syy, miksi niitä tarvitaan.
Toiminta | Lupa | Kuvaus | Vähimmäisvaatimus? |
|---|---|---|---|
Hae ankkuri, Hae käyttäjä |
| Sallii sovelluksen lukea kaikkien organisaation käyttäjien täydelliset profiiliominaisuudet. | Kyllä |
Luo, päivitä, poista käyttäjä |
| Sallii sovelluksen lukea ja kirjoittaa kaikkien käyttäjien koko profiilin. Huomautus: Arkaluonteisten tietojen (esim. puhelinnumerot, sähköpostiosoitteet) päivittäminen tai salasanojen nollaaminen edellyttää, että sovellukselle on määritetty myös korkean etuoikeuden omaava hallintarooli, kuten "Käyttäjän järjestelmänvalvoja". | Kyllä |
Aktivoi käyttäjä uudelleen |
| Sallii sovelluksen ottaa käyttäjätilit käyttöön ja poistaa ne käytöstä. | Kyllä |
Hanki ryhmiä |
| Sallii sovelluksen luetteloida ryhmiä ja lukea niiden ominaisuuksia ja jäsenyyksiä. | Kyllä |
Luo, päivitä, poista ryhmä |
| Sallii sovelluksen luoda, lukea ja kirjoittaa kaikki ryhmän ominaisuudet ja jäsenyydet. Vaatii | Kyllä |
Ryhmän jäsenten päivittäminen |
| Sallii sovelluksen lukea ja päivittää ryhmän jäsenyyksiä. | Ei |
Hae viimeisin kirjautumisaktiviteetti |
| Mahdollistaa lukemisen | ei |
Hakemiston käyttö |
| Sallii sovelluksen lukea ja kirjoittaa tietoja hakemistosta (käyttäjät, ryhmät). Ei salli käyttäjien/ryhmien poistamista tai salasanojen nollaamista. | Ei |
Luo tiimejä |
| Sallii sovelluksen luoda tiimejä. | Ei |
Hanki joukkueet |
| Sallii sovelluksen lukea joukkueiden nimet ja kuvaukset. | Ei |
Siirrä Teamwork-tiedot |
| Sallii sovelluksen luoda chat- ja kanavaviestejä ilman kirjautunutta käyttäjää. | Ei |
Lue tiimin mallit |
| Sallii sovelluksen lukea kaikki käytettävissä olevat Teams-mallit. | Ei |