Tunnistautuminen
      Takaisin aloitussivulle
      1. Tietokeskus
      2. Hallinnointi
      3. Tunnistautuminen

      Azure Entra ID kertakirjautumisen integrointi

      Näin toteutat kertakirjatumisen Azure Entra ID:n avulla

      📌Tämä ominaisuus kuuluu Orchidea Professional ja Enterprise versioihin

              1. Klikkaa Orchidean vasemman laidan navigaation yläosasta Koti. Kirjaa sen jälkeen talteen selaimen osoiteriviltä Orchidean kotisivun osoite, joka on muotoa https://app.orchidea.dev/työtilannimi.
              2. Siirry Azure Active Directory admin centeriin ja valitse siellä All services ja sen jälkeen esiin tulevasta valikosta Enterprise applicationsAAD All services - Enterprise applications
              3. Klikkaa sitten + New application
                ADD new application
              4. Klikkaa esiintulevasta ikkunasta + Create your own application
                ADD create own application
              5. Anna applikaatiolle vapaavalintainen nimi ja valitse kohta Integrate any other application you don't find in the gallery (Non-gallery)
                ADD create own application 2Klikkaa ikkunan alalaidasta Create. Applikaatio on valmis.
              6. Valitse esiin tulevasta ikkunasta Assign users and groupsAAD assign users groups
              7. Klikkaa +Add user/group lisätäksesi sellaisia käyttäjiä tai ryhmiä, joille halutaan antaa pääsy Orchideaan.
                AAD add users groups
              8. Valitse None Selected. Voit valita sen jälkeen oikealta esiin tulevasta ikkunasta ne käyttäjät ja ryhmät, joille halutaan antaa pääsy Orchideaan.
                AAD select users groups
                Kun olet valinnut haluamasi ryhmät ja käyttäjät, klikkaa Select ja Assign.
              9. Valitse seuraavaksi vasemman laidan sisemmästä navigaatiosta Single sign-on ja valitse esiin tulevista ruuduista SAML.
                AAD select SSO method
              10. Klikkaa Edit kohdassa Basic SAML Configuration.
              11. Täytä oikealta esiin tulevaan ikkunaan seuraavat kohdat:
                1. Identifier (Entity ID) - täytä tähän "https://orchidea.dev"
                2. Reply URL (Assertion Consumer Service URL) - täytä tähän väliaikainen vastauksen URL "https://app.orchidea.dev/api/saml/login/" (et pysty tallentamaan konfiguraatiota, jos tämä kenttä on tyhjä)
                3. Sign on URL - täytä tähän tämän ohjeen kohdassa 1 tallentamasi Orchidean kotisivun osoite
                Klikkaa lopuksi Save tallentaaksesi tekemäsi muutokset.
              12. Lataa seuraavaksi luomasi applikaation kertakirjautumisen metadata otsikon SAML Signing Certificate alta kohdasta Federation Metadata XML - Download.
              13. Siirry työtilan asetuksiin klikkaamalla Orchidean oikeasta yläkulmasta ratas-ikonia
              14. Klikkaa sen jälkeen vasemman laidan navigaatiosta kohtaa Tunnistautuminen ja valitse sen jälkeen esiin tulevalta sivulta + Lisää uusi IDP.
                AAD tunnistautuminen - lisää uusi IDP
              15. Täytä esiintulevaan ikkunaan lisättävän IDP:n vapaavalintainen nimi kohtaan IDP nimi. Siirry sen jälkeen kohtaan Metatiedot ja klikkaa siellä Valitse tiedosto. Lataa esiintulevan latausikkunan avulla aikaisemmin kohdassa 12 lataamasi kertakirjautumisen metadata Orchideaan.
                AAD lisää uusi IDP tiedot
                Tarkista metadatan lataamisen jälkeen, että IDP:n tiedot etunimi, sukunimi, sähköposti ja käyttäjätunnus linkkautuvat vastaaviin tietoihin Orchideassa.
                Jos haluat, että käyttäjälle luodaan automaattisesti uusi tunnus IDP:n avulla, kun hän yrittää kirjautua Orchideaan ensimmäistä kertaa, täytä sallitut verkkotunnukset (domainit) kohtaan Automaattinen käyttäjien luonti. Käy tarkistamassa myös Työtilan asetuksista, että 1) siellä on valittu asetus Salli kutsut ja itse rekisteröityminen alla luetelluista verkkotunnuksista ja 2) samat verkkotunnukset on lisätty sinne. Tässä linkki asiaa käsittelevään artikkeliin.
                Kun olet valmis klikkaa lopuksi Lisää uusi IDP ikkunan pohjalta.
              16. Kopio vastauksen URL talteen klikkaamalla Kopioi vastauksen URL juuri luomasi IDP:n rivilta.
              17. Siirry takaisin Azure Active Directory admin centeriin viimeksi auki jääneeseen näkymään ja klikkaa siellä Edit kohdassa Basic SAML Configuration.
              18. Korvaa oikealta esiin tulevaan ikkunaan aikaisemmin täyttämäsi väliaikainen Reply URL (Assertion Consumer Service URL) - kohdassa 16 tallentamallasi vastauksen URL -osoitteella
              19. Klikkaa lopuksi Save tallentaaksesi tekemäsi muutokset.
              20. Testaa lopuksi integraation toiminta sellaisella käyttäjätunnuksella, jolle on annettu kohdassa 8 pääsy Orchideaan. Jos testaat jo olemassa olevalla salasanatunnistaumista käyttävällä käyttäjällä, pitää sinun ensiksi käydä asettamassa ko. käyttäjä käyttämään juuri luomaasi IDP:tä Järjestelmänvalvoja asetuksissa. Laita samalla päälle kyseiselle käyttäjälle myös asetus Manuaalinen sisäänkirjautuminen, jotta voit mahdollisten kertakirjautumisen ongelmien ilmetessä kirjautua sisään myös salasanalla.

      Jos kertakirjautuminen toimii odotetulla tavalla, kannattaa käydä lopuksi asettamassa kaikille halutuille aikaisemmin salasanatunnistaumista käyttäneille käyttäjille juuri luotu IDP päälle. Kertakirjautumisen ongelmatilanteitten varalta on kuitenkin suositeltavaa jättää muutama järjestelmänvalvoja-tasoinen tunnus käyttämään kertakirjautumisen rinnalla manuaalista kirjautumista yllä kuvatulla tavalla.