AUTENTIFIKACE MS ENTRA ID MULTI-TENANT
Obsah stránky
Od verze CDESK 3.2.6 je možné umožnit přihlašování externím uživatelům z různých Microsoft Entra ID tenantů (multi-tenant autentifikace). Toto nastavení zajistí, že uživatelé se budou moci přihlásit pomocí svého Office 365 účtu bez ohledu na to, ve kterém tenantu se nachází, za předpokladu, že mají v CDESK vytvořený účet s odpovídajícím e-mailem.
Aby bylo možné tuto funkci využít, je třeba nejprve nastavit základní autentifikaci přes Microsoft Entra ID. Pokud jste to ještě neudělali, doporučujeme projít si nastavením pro základní autentizaci MS Entra ID.
Níže uvádíme podrobný postup pro aktivaci multi-tenant autentifikace již při vytváření konektoru, nebo i v již existujícím konektoru.
Nastavení Multi-Tenant při prvním propojení CDESK s MS Entra ID
V případě, že ještě nemáte vytvořen konektor a registrovanou aplikaci v MS Entra ID, projděte si základní nastavení autentifikace MS Entra ID. Během tohoto nastavení stačí provést dvě změny.
- Aktivace Multi-Tenant v konektoru CDESK
Při vytváření konektoru Microsoft Entra ID Autentication v CDESK (CDESK → Global settings → Connectors, API) zapněte přepínač Multi-Tenant.
Tip: Pokud již konektor máte vytvořen, můžete jej upravit podle instrukcí v další části tohoto návodu.
2. Registrace CDESK aplikace v MS Entra ID
Při registraci CDESK aplikace v MS Entra ID zvolte v Supported account types možnost Acconunts in any organizational directory (Any Microsoft Entra ID tenant – Multitenant). Toto nastavení zajistí, že autentifikace bude fungovat i pro uživatele z jiných tenantů.
Nastavení Multi-Tenant při již vytvořeném konektoru a registrované CDESK aplikací v MS Entra ID
Přejděte do části CDESK → Global settings → Connectors, API a najděte svůj vytvořený Microsoft Entra ID Autentication konektor. Po jeho otevření zapněte přepínač Multi-Tenant. Změny uložte pomocí tlačítka Save.
Potom přejděte na stránku office.com, kde se přihlaste pod Office 365 účtem s oprávněním administrovat MS Entra ID. Mezi nabídkou aplikací na levé straně okna vyhledejte aplikaci Admin.
Po kliknutí se otevře úvodní obrazovka správce. V menu na levé straně vyberte možnost Show all. V rozšířeném menu klikněte na možnost Identity.
Otevře se nové okno. V levém menu vyberte možnost App registrations. Následně otevřete záložku All applications, vyhledejte a otevřete registrovanou CDESK aplikaci z konektoru. Zkontrolujte, zda se jedná o správnou aplikaci – ověřit to můžete porovnáním Application (client) ID.
Po otevření aplikace přejděte do části Authentication a přescrollujte k sekcí Supported account types. Vyberte možnost Acconunts in any organizational directory. Nastavení nezapomeňte uložit tlačítkem Save.
Udělení povolení aplikací při prvním přihlášení
Upozorňujeme, že při každém prvním přihlášení uživatele bude Microsoft vyžadovat udělit oprávnění aplikací. Správce každého tenantu, ze kterého se budou uživatelé přihlašovat, může při prvním přihlášení zaškrtnout „Consent on behalf of your organization “, čímž udělí Admin Consent za celou organizaci. Tímto způsobem se zajistí, že aplikace bude pro daný tenant fungovat bez dalších výzev k souhlasu pro ostatní uživatele v organizaci. Bez souhlasu správce si bude muset tato povolení udělit každý uživatel sám.
Admin Consent lze udělit i přes MS Entra ID portál, a to v části Enterprise applications, kde vyberete danou aplikaci, přejdete do sekce Permissions a kliknete na Grant admin consent for your company.
