Azure Entra ID kertakirjautumisen integrointi

Näin toteutat kertakirjautumisen Azure Entra ID:n avulla

Vaadittu versio

📌 Tämä ominaisuus kuuluu Orchidea Professional ja Enterprise versioihin

1. Klikkaa Orchidean vasemman laidan navigaation yläosasta Koti. Kirjaa sen jälkeen talteen selaimen osoiteriviltä Orchidean kotisivun osoite, joka on muotoa https://app.orchidea.dev/työtilannimi.

   

2. Siirry Azure Active Directory admin centeriin ja valitse siellä All services ja sen jälkeen esiin tulevasta valikosta Enterprise applications.

   

3. Klikkaa sitten + New application.

   

4. Klikkaa esiintulevasta ikkunasta + Create your own application.

   

5. Anna applikaatiolle vapaavalintainen nimi ja valitse kohta Integrate any other application you don't find in the gallery (Non-gallery).

   

   Klikkaa ikkunan alalaidasta Create. Applikaatio on valmis.

6. Valitse esiin tulevasta ikkunasta Assign users and groups.

   

7. Klikkaa +Add user/group lisätäksesi sellaisia käyttäjiä tai ryhmiä, joille halutaan antaa pääsy Orchideaan.

   

8. Valitse None Selected. Voit valita sen jälkeen oikealta esiin tulevasta ikkunasta ne käyttäjät ja ryhmät, joille halutaan antaa pääsy Orchideaan.

   

   Kun olet valinnut haluamasi ryhmät ja käyttäjät, klikkaa Select ja Assign.

9. Valitse seuraavaksi vasemman laidan sisemmästä navigaatiosta Single sign-on ja valitse esiin tulevista ruuduista SAML.

   

10. Klikkaa Edit kohdassa Basic SAML Configuration.

    

11. Täytä oikealta esiin tulevaan ikkunaan seuraavat kohdat:

    1. Identifier (Entity ID) - täytä tähän https://orchidea.dev

    2. Reply URL (Assertion Consumer Service URL) - täytä tähän väliaikainen vastauksen URL https://app.orchidea.dev/api/saml/login/ (et pysty tallentamaan konfiguraatiota, jos tämä kenttä on tyhjä)

    3. Sign on URL - täytä tähän tämän ohjeen kohdassa 1 tallentamasi Orchidean kotisivun osoite

    4. Klikkaa lopuksi Save tallentaaksesi tekemäsi muutokset.

    

12. Lataa seuraavaksi luomasi applikaation kertakirjautumisen metadata otsikon SAML Signing Certificate alta kohdasta Federation Metadata XML - Download.

    

13. Siirry työtilan asetuksiin klikkaamalla Orchidean oikeassa yläkulmassa olevaa käyttäjäkuvakettasi ja valitsemalla esiin tulevasta valikosta kohta Työtilan asetukset.

14. Klikkaa sen jälkeen vasemman laidan navigaatiosta kohtaa Tunnistautuminen ja valitse sen jälkeen esiin tulevalta sivulta + Lisää uusi IDP.

    

15. Täytä esiintulevaan ikkunaan lisättävän IDP:n tiedot:

    1. Täytä IDP:n vapaavalintainen nimi kohtaan (1) IDP nimi.
    2. Siirry sen jälkeen kohtaan Metatiedot ja klikkaa siellä (2) Valitse tiedosto.
    3. Lataa latausikkunan avulla aikaisemmin kohdassa 12 lataamasi kertakirjautumisen metadata Orchideaan.
    4. Tarkista metadatan lataamisen jälkeen, että IDP:n tiedot (3) etunimi, sukunimi, sähköposti ja käyttäjätunnus linkkautuvat vastaaviin tietoihin Orchideassa.
    5. Jos haluat, että käyttäjälle luodaan automaattisesti uusi tunnus IDP:n avulla, kun hän yrittää kirjautua Orchideaan ensimmäistä kertaa, täytä sallitut verkkotunnukset (domainit) kohtaan (4) Automaattinen käyttäjien luonti.
    6. Kun olet valmis, klikkaa lopuksi (5) Lisää uusi IDP ikkunan pohjalta.

16. Jos haluat, että käyttäjälle luodaan automaattisesti uusi tunnus IDP:n avulla ja lisäsit siksi sallitut verkkotunnukset edellisen vaiheen kohdassa 15, sinun täytyy lisätä samat verkkotunnukset myös kohtaan Tiimin kutsunta. Lisää samat verkkotunnukset kohtaan Kanavapäällikkö / käyttäjä voi kutsua vain sallituista sähköpostipäätteistä. Laita päälle myös asetus Salli itserekisteröityminen ilman kutsua yllä olevista sähköpostipäätteistä. Tässä linkki asiaa käsittelevään artikkeliin.

    

17. Kopioi vastauksen URL talteen klikkaamalla Kopioi vastauksen URL juuri luomasi IDP:n rivilta.

    

18. Siirry takaisin Azure Active Directory admin centeriin viimeksi auki jääneeseen näkymään ja klikkaa siellä Edit kohdassa Basic SAML Configuration.

    

19. Korvaa oikealta esiin tulevaan ikkunaan aikaisemmin täyttämäsi väliaikainen Reply URL (Assertion Consumer Service URL) kohdassa 16 tallentamallasi vastauksen URL -osoitteella.

    

20. Klikkaa lopuksi Save tallentaaksesi tekemäsi muutokset.

    

21. Testaa lopuksi integraation toiminta sellaisella käyttäjätunnuksella, jolle on annettu kohdassa 8 pääsy Orchideaan. Jos testaat jo olemassa olevalla salasanatunnistautumista käyttävällä käyttäjällä, sinun pitää ensin käydä asettamassa kyseinen käyttäjä käyttämään juuri luomaasi IDP:tä Järjestelmänvalvoja-asetuksissa. Laita samalla päälle kyseiselle käyttäjälle myös asetus Manuaalinen sisäänkirjautuminen, jotta voit mahdollisten kertakirjautumisen ongelmien ilmetessä kirjautua sisään myös salasanalla.

    

Jos kertakirjautuminen toimii odotetulla tavalla, kannattaa käydä lopuksi asettamassa kaikille halutuille aikaisemmin salasanatunnistautumista käyttäneille käyttäjille juuri luotu IDP päälle. Kertakirjautumisen ongelmatilanteiden varalta on kuitenkin suositeltavaa jättää muutama järjestelmänvalvoja-tasoinen tunnus käyttämään kertakirjautumisen rinnalla manuaalista kirjautumista yllä kuvatulla tavalla.