Rozhodla se vaše společnost pro přihlašování v Teamiu přes SSO (single sign-on)? V tomto článku najdete návod, jak nastavit SSO z Azure či jiného Idp a další body, které by vás mohly zajímat pro správné a úspěšné nastavení v Teamiu.
ℹ️ Tento návod primárně vysvětluje nastavení pro Azure, ale obdobně by to mělo fungovat i pro jiné systémy. V první části nápovědy naleznete informace, které jsou důležité pro vaše IT oddělení. Druhá část nápovědy je zaměřená pro HR oddělení, které nastavuje SSO přímo v Teamiu.
Požadavky:
Máte administrátorská oprávnění k vytvoření aplikace ve firemním Azure AD.
Máte oprávnění pro nastavení SSO v Teamiu.
Pro Teamio byla definována firemní doména, která bude sloužit pro přihlašování uživatelů.
Otevřete nastavení SSO v Teamiu
V nastavení Teamia klikněte na nastavení SSO
Vyberte Azure
Ve formuláři vidíte seznam povinných položek, který musíte vyplnit. Tyto položky překopírujeme postupně z Azure během návodu.
Otevřete správu Azure AD
V novém okně si otevřete https://portal.azure.com a vyberte Azure AD.
Přejděte na Microsoft Entra ID
Registrace aplikace
V menu klikněte na “přidat” a vyberte “registrace aplikace”
Do pole Název zadejte např. “Teamio”
Do pole “identifikátor URI ” zvolte Web a překopírujte jej z nastavení SSO pro Azure z políčka “Redirect URL”.
Klikněte na registrovat
Vytvoření tajného kódu
V levém panelu vyberte Certifikáty a tajné kódy. Na středovém panelu klikněte na Nový tajný kód klienta.
Pojmenujte kód jako Teamio a vyberte správné datum vypršení platnosti. Nebudete automaticky upozorněni na vypršení tohoto tajemství, takže si to budete muset sami sledovat.
Klikněte na Přidat
Zkopírujte hodnotu kódu na bezpečné místo (např. do poznámkového bloku). V případě, že jej nezkopírujete a obrazovku zavřete, tak hodnotu tajného klíče už nebudete moci zobrazit.
Nastavení oprávnění
V levém panelu vyberte Oprávnění API
Na středovém panelu by již mělo být výchozí oprávnění s názvem User.Read pod Microsoft Graph. Pokud není, vložte jej ručně.
Klikněte na Přidat oprávnění na středovém panelu. Vyberte Microsoft Graph, poté vyberte Delegovaná oprávnění.
Zaškrtněte políčko pro openID, profile a poté klikněte na Přidat oprávnění.
Klikněte na Udělit souhlas správce a potvrďte stiskem Ano.
Přejděte na přehled a dokončete nastavení v Teamiu
V levém panelu vyberte Přehled
Dokončete nastavení v Teamiu
Najděte si nastavení SSO pro Azure pokud jej ještě nemáte otevřený a doplňte, případně zkontrolujte povinné pole.
Důležité pro administrátory Teamia:
Vyplňte SSO doménu, která slouží pro přihlašování uživatelů do Teamia. Je důležité, aby uživatelé tuto doménu měli upravenou i ve svém Teamio účtu v políčku “přihlašovací e-mail”.
např. v případě, že sso doména je almamedia.com a ve svém Teamio účtu v přihlašovacím e-mailu mám uvedeno jan.novak@lmc.eu, tak je nutné upravit “lmc.eu” → “almamedia.com”
Zkopírujte text ID aplikace (klienta), který zadáte v Teamiu do Client ID
Zkopírujte text ID adresáře (tenanta), který zadáte v Teamiu do Tenant ID
Zkopírovaný tajný kód (viz krok 4) vložte do Client secret
💡 Po uložení nastavení se odhlaste a opět přihlaste do Teamia skrze SSO.
Ve chvíli kdy se přihlásíte, tak je konfigurace ověřena. Až poté zadáváte povinné přihlášení, pokud to vaše firma vyžaduje.
Povinné přihlášení přes SSO
Tato možnost způsobí, že všichni uživatelé Vašeho Teamia přihlásí pouze přes SSO. Nebude možné se přihlásit přes e-mail a heslo.
Tato možnost je “zablokovaná” při prvním nastavení SSO, ale zaktivní se vám ve chvíli, když nastavení uložíte a přihlásíte se do Teamia přes SSO. V ten moment je ověřeno, že nastavení jste provedli správně.
Doporučujeme toto přihlašování přes SSO komunikovat s Vašimi uživateli. Pro přihlášení přes SSO. Je nutné mít uvedený správný e-mail resp. správnou doménu ve svém Teamio účtu (viz SSO doména).
Uživatelům následně do e-mailu přijde informace o způsobu přihlášení, které firma nastavila.
Kontrola firemních uživatelů a jejich přihlašovacích e-mailů
ℹ️ Tato informace je pro nastavení přihlášení do Teamia přes SSO, jak nepovinné, tak i nepovinné.
V případě, že se vám ozve firemní uživatel, že se nemůže přihlásit do Teamia přes SSO, můžete jednoduše zkontrolovat jakou adresou se do Teamia uživatel přihlašuje a adresu upravit.
krok - přejděte do Nastavení -> Správa uživatelů, kde naleznete seznam uživatelů, kteří se přes SSO nemohou přihlásit.
ℹ️ POZN. pokud máte volitelné přihlášení přes SSO, tak se vám chybová hláška u uživatele zobrazí žlutě. Pokud máte povinné přihlášení přes SSO, tak hláška u uživatele bude červenou barvou.
2. krok - v profilu konkrétního uživatele můžete změnit požadovanou e-mailovou adresu.
💡V případě, že se e-mailová adresa neshoduje s doménou pro SSO přihlášení, tak vás na to upozorníme.
3. krok - v profilu uživatele vidíte změněnou e-mailovou adresu.
❗️UPOZORNĚNÍ ❗️Uživatel by měl znát své e-mailové firemní údaje, které používá třeba i k přihlášení do jiných firemních systémů.