Gert er ráð fyrir að búið sé að ganga frá CCQ single sign-on í Azure AD.
Hafa þarf aðgengi í upplýsingar frá AzureAD varðandi SSO tenginguna til að geta lokið uppsetningu í CCQ.
Sjá samantekt skrefa sem þarf að ljúka í CCQ vegna Azure SSO tengingar neðst í þessu skjali.
Hvar er þetta SSO stillt í CCQ?
Veldu Stillingar - Aðgangur - Fyrirtæki. Þar er farið í flipann Aðgangur og hakað við Fyrirtæki notar Azure AD fyrir innskráningu. Ef fyrirtæki er í hýsingu með öðrum í Azure AD þarf líka að haka við Azure AD multi-tenant.
Ef hakað er við Azure AD fyrir innskráningu og Kerfisaðgangi notanda er stýrt með CCQ – þá geta notendur skráð sig inn í kerfið með notandanafni og lykilorði eins og áður, en þeir hafa sömuleiðis þann valkost að nota SSO. Aðgangi að kerfiseiningum er hins vegar ennþá hægt að stýra í CCQ kerfinu. Tilgangurinn með þessari stillingu er að halda möguleikanum opnum fyrir notendur að skrá sig áfram inn í kerfið með notandanafni og lykilorði, meðan verið er að koma á tengingu og prófa SSO virknina.
INNSKRÁNING OG AÐGANGSSTÝRING
Reitirnir sem fylgja Azure AD innskráningu stýra því hvernig aðgangi og innskráningu er háttað í CCQ kerfinu. Ákveðið samspil er á milli þessara reita og misjöfn virkni eftir því við hvað er hakað. Fyrir SSO þarf í öllum tilfellum að vera hakað við Azure AD fyrir innskráningu. Um leið og hakað er við þennan gátreit, þá birtast valkostirnir SSO er virkt með undirvalkostunum Notendur geta aðeins skráð sig inn í CCQ með SSO og Kerfisaðgangi notenda er stýrt með CCQ sem ákvarða hvernig skal hátta aðgangsstýringu.
Á myndinni má einnig sjá fellilistana SSO, Aðangur að kerfi, CCQ Hópar, CCQ Notendasniðmát og Undantekningar fyrir innskráningu, sem verður farið lauslega yfir hér á eftir.
SSO (ADFS) er virkt
Ef hakað er við gátreitinn SSO (ADFS) er virkt – þá geta notendur skráð sig inn í kerfið með notandanafni og lykilorði eins og áður, en þeir hafa sömuleiðis þann valkost að nota SSO. En þegar einnig er hakað við Notendur geta aðeins skráð sig inn í CCQ með SSO er einungis hægt að skrá sig inn með SSO, nema með svokallaðri Undantekningu fyrir innskráningu sem verður minnst á hér á eftir. Hér þarf að taka ákvörðun um hvort aðgangi að kerfiseiningum er stýrt í gegnum SSO eða CCQ:
Notendur geta aðeins skráð sig inn í CCQ með SSO
Þegar búið er að setja upp og tengja AD og SSO virknin komin í gang er hakað við gátreitinn Notendur geta aðeins skráð sig inn í CCQ með SSO. Notendur kerfisins geta þá eins og áður sagði eingöngu notað SSO til innskráningar í CCQ – þ.e. möguleikinn á að skrá sig inn með notandanafni og lykilorði dettur út. Þess skal samt geta að nauðsynlegt er að enn sé einnig hakað við SSO (ADFS) er virkt.
Með þessari stillingu er aðgangi að kerfiseiningum alfarið stýrt í AD sem þýðir að notendur kerfisins verða að vera í réttum grúppum í Azure AD, eigi þeir að fá aðgang að CCQ. Þetta hefur einnig í för með sér að aðgangsstýringin CCQ megin verður óvirk. Öllum aðgangi er nú stýrt frá AD.
Lítið mál er að bæta við nýjum notendum í CCQ eftir að ADFS tengingu er komið á. Nýr notandi er sjálfkrafa stofnaður í kerfinu þegar hann loggar sig inn í fyrsta skipti í gegnum SSO, að því gefnu að viðkomandi notandi er til staðar í viðeigandi grúppum í Azure AD.
Þegar hakað er við SSO (ADFS) er virkt, þá birtist fellilistinn Undantekningar fyrir innskráningu þar sem hægt er að gera undantekningar á innskráningum.
Ef einstaka notendur eiga að geta skráð sig inn í kerfið með notandanafni og lykilorði – þó svo að einungis SSO innskráningin sé valin – þá er hægt að lista þá hér. Þessir notendur nota þá ekki SSO til innskráningar og aðgangi þeirra í kerfið er því alfarið stýrt CCQ megin. Meiningin er að þetta sé eingöngu notað þegar undantekningar skjóta upp kollinum. Til dæmis þegar ráðgjafi, vottunaraðili eða einhver utanaðkomandi aðili þarf á sérstökum (eða tímabundnum) aðgangi að CCQ að halda, og erfitt reynist að réttlæta tilfæringar í AD. Og nauðsynlegt fyrir CCQ stjórnanda og / eða kerfisstjóra til að komast inn í CCQ í þeim tilvikum að eitthvað kæmi upp varðandi Azure AD, útrunnið skírteini sem dæmi.
Kerfisaðgangi notenda er stýrt með CCQ
Ef fyrirtæki vilja af einhverjum ástæðum halda aðgangsstýringu að kerfiseiningum CCQ megin, en nota samt SSO fyrir innskráningu – þá skal haka við þennan kost. Eftir sem áður þarf einnig að vera hakað við SSO (ADFS) er virkt.
Nýjum notendum er þá bætt við á sama hátt og áður í CCQ, og öllum aðgangi stýrt þaðan.
Notendur verða ekki sjálfkrafa gerðir óvirkir
Að lokum er einn reitur ónefndur, Notendur verða ekki sjálfkrafa gerðir óvirkir. Ef hakað er í þennan reit eru notendur ekki gerðir óvirkir þó þeir hafi ekki skráð sig inn undanfarna 3 mánuði. Óvirkjun notenda er hugsað til að fyrirtæki séu ekki að greiða fyrir óvirka notendur.
Athugið að þó þeir séu gerðir óvirkir virkjast þeir einfaldlega aftur næst þegar þeir skrá sig inn í kerfið, svo lengi sem þeir eru enn í viðkomandi AD aðgangshópum.
Azure AD multi-tenant
Ef hakað er við multi-tenant þarf að setja hér inn Identifier (Entity ID) úr Basic SAML configuration í Azure AD (sjá neðar í skjali). Þetta er slóðinn https://quality.ccq.cloud + einkenni sem kerfisstjóri AD hefur gefið í uppsetningu.
Sem dæmi:
Þetta er til að aðgreina fyrirtæki sem hýst eru í sama Azure AD.
AÐGANGSHÓPAR KERFISEININGA
Aðgangur að kerfi / Access to Applications, felligluggi:
Hér þarf að mappa saman aðgangsgrúppur frá Azure AD og CCQ.
ObjectID fyrir viðkomandi grúppu í AD (eða CCQ Alias fyrir það) þarf að vera rétt skráð hér. Fjöldi inntaksreita fer auðvitað eftir því hversu mörgum einingum fyrirtækið er í áskrift að, en það þarf að búa til aðgangsgrúppur í AD fyrir hverja einingu. Hafa skal í huga að stundum þarf margar grúppur fyrir hverja einingu, t.d. fyrir Úttektir, lesaðgang að úttektum, skrifaðgang að úttektum og svo úttektastjóra svo dæmi sé nefnt.
Og að lokum grúppur fyrir aðgang að CCQ einingunum yfirhöfuð (Hefur aðgang að CCQ), í henni þurfa allir að vera sem mega skrá sig inn, og svo fyrir CCQ stjórnendur (CCQ Kerfisstjóri).
Group objectId er bara ólæsileg stafaruna og þess vegna er sniðugt að byrja á því að búa til Azure AD alias í CCQ (þú finnur leið til að gera það undir Stillingar - Aðgangur - Azure AD Hópar) og hafa nöfnin lýsandi, sjá dæmi:
Á myndinni hér að neðan er sýnt hvernig grúppurnar eru mappaðar saman, en maður einfaldlega skráir inn nöfnin á tilsvarandi grúppum í AD (þ.e. group objectID eða Alias).
Dæmi með Group ObjectID frá Azure AD:
Dæmi með CCQ Azure hópa alias, sem er læsilegra. Best er að byrja á því að búa til alias fyrir alla hópana eins og lýst er hér að ofan, og velja þá svo úr felliglugganum:
CCQ NOTENDAHÓPAR
Í CCQ kerfinu er hægt að búa til sérstaka notendahópa, en í valmyndinni vinstra megin er möguleiki að velja Stillingar - Sniðskjöl - Notendahópar og búa þar til hópa eftir þörfum.
Þessar grúppur stýra ekki beint aðgangi að kerfi, heldur eru þetta innankerfishópar sem hægt er að nýta til að stýra aðgangi að einstökum skjölum. Notandi þarf eftir sem áður að vera með aðgang að CCQ kerfinu fyrst. Notendahópar eru gjarnan notaðir af CCQ stjórnendum sem pósthópar eða sem aðgangshópar í þrengri merkingu, t.d. er hægt er að takmarka aðgang að skjölum við þann hóp, senda póst á hann osfrv.
Þeir aðgangshópar sem þú býrð til þar birtast í kjölfarið í CCQ Hópar felliglugganum, en þá hópa geturðu einnig mappað við grúppur í AD. Taka skal fram að nauðsynlegt er að haka við "Aðgangshópur eða Access group" til að hópurinn birtist í CCQ Hópar listanum.
CCQ Hópar, felligluggi:
Grúppurnar eru mappaðar saman á sama hátt og í Aðgangur að kerfi sem lýst er hér að ofan. Samsvarandi grúppur eru búnar til í AD, og nöfn þeirra (group object id eða Azure alias) eru skráð í Hópar í AD listann:
CCQ NOTENDASNIÐMÁT
Nú hefur verið bætt við þeim möguleika að notendur fái sérsniðin lesborð eftir notendasniðmáti. Þannig þarf ekki að stilla til lesborð hjá nýjum notanda, ef hann fær þegar tilbúið sniðmát. Í stuttu máli virkar þetta með sama hætti og Notendahópar hér að ofan, þ.e. stjórnandi býr til Notendasniðmát sem henta mismunandi hópum undir Menu – Template documents – User templates og mappar svo AD hópa fyrir hvert nýtt sniðmát sem birtist þá undir CCQ User templates fellilistanum, þ.e.a.s. setur inn rétt Claim rule heiti fyrir viðkomandi sniðmát (hóp).
Dæmi um notendasniðmát sem hefur verið vistað og birtist þar með undir flipanum CCQ User templates. Hér á eftir að setja inn Outgoing Claim value fyrir viðkomandi hóp í reitinn Groups in AD.
SSO
Einn felliglugginn undir kallast SSO, en þar þurfa þrjú atriði að vera til staðar til að ná tengingu á milli CCQ og Azure AD.
Skírteini / Certificate
Inngöngustaður / Entry point
Listi yfir lén / List of domains
SKÍRTEINI / X509 VOTTORÐ
Þegar búið er að virkja single sign on fyrir CCQ í Azure AD þá er hægt að sækja ákveðið skjal sem kallast Federation metadata. Um er að ræða .xml-skrá sem inniheldur ýmsar upplýsingar, en það sem við höfum áhuga á er svokallað X509 vottorð sem okkur vantar til að koma á tengingunni við CCQ. Þetta skírteini er hægt að sækja í Azure Active Direcory admin center, undir CCQ enterprise application og smella á Single sign-on úr vinstri valstiku. Í yfirlitinu er gluggi merktur SAML Certificates og þar er hægt að hala niður Federation Metadata XML:
Leitið að X509 signing vottorði sem er að finna í .xml skránni.
Vottorðin eru yfirleitt nokkur, eitt sem er notað fyrir "encryption," annað fyrir "signing," o.s.frv. Vottorðið virkar eins og rafræn undirskrift, sem CCQ síðan notar til að tékka hvort svörin sem AD netþjónninn sendir frá sér séu ósvikin.
Vottorðið sem þarf að afrita í Skírteini / Certificate reitinn í CCQ, er innan <X509Certificate> tagsins í .xml skránni.
Hér sést hluti af skírteini í CCQ fyrirtækjaskjali:
Inngöngustaður
Þegar búið er að setja upp SSO fyrir fyrirtækið, þá þarf að taka fram inngangspunktinn í reitnum Inngöngustaður. Þessar upplýsingar eru fengnar af sama stað í AzureAD og skírteinið, í næsta glugga fyrir neðan (4 - Set up CCQ)
Það þarf að afrita Login URL slóðina og setja inn í CCQ undir Inngöngustaður:
Í CCQ:
Lén
Einnig þarf að skilgreina þau lén sem fyrirtækið er að nota í Azure AD – og er það gert undir Listi yfir lén. Í tilviki Origo væri til dæmis "origo.is" fært inn í þennan reit, en ekki setja "https://www." fyrir framan. Setjið hvert lén í eigin línu.
Samantekt
Búa til aliasa fyrir Group ObjectId undir Azure AD hópar, fyrir alla hópa sem nota á í CCQ
Haka við "Fyrirtæki notar Azure AD fyrir innskráningu" í fyrirtækjaskjali á flipanum Aðgangur
Ákveða stýringu á aðgangi - í gegnum SSO eða CCQ (göngum út frá SSO)
Setja inn skírteini frá AzureAd federation metadata xml skjali
Setja inn inngöngustað
Setja inn lén eða lista af lénum (eitt í hverja línu)
Velja rétt hópanafn fyrir hverja kerfiseiningu undir Aðgangur að kerfi
Velja rétt hópanafn fyrir hvern notandahóp undir CCQ Notendahópar (ef notað)
Velja rétt hópanafn fyrir hvert notendasniðmát undir CCQ Notendasniðmát (ef notað)
Setja inn nöfn þeirra sem mega skrá sig inn með undantekningu (ef notað)
Vista fyrirtækjaskjal
Prófa tengingu frá AzureAD (Test this application hnappur)