ZÁKLADNÍ AUTENTIFIKACE DO CDESK POMOCÍ MS ENTRA ID
Obsah stránky
Autentifikace pomocí Microsoft Entra ID slouží ke zvýšení bezpečnosti a zjednodušení přihlašování do CDESK. Propojení CDESK s MS Entra ID zvládnete do 15 minut. Pro využití této funkce musíte mít vlastní doménu CDESK/CM Serveru.
Autentifikaci můžete nakonfigurovat buď pouze pro uživatele z vašeho MS Entra tenantu (single-tenant), nebo i pro externí uživatele z jiných tenantů (multi-tenant). Přihlašování pro externí uživatele (multi-tenant) je podporováno od verze CDESK 3.2.6 a je jeho nastavení je popsáno v článku MS Entra ID – Multi-Tenant autentifikace.
Aby autentifikace fungovala, organizace musí mít vytvořený Office 365 tenant se založenými účty pro uživatele. Účty nemusí mít Office 365 licenci. K ověření stačí, aby měl uživatel v tenantu zaregistrovanou platnou e-mailovou adresu, kterou reálně používá (kvůli aktivačnímu linku). Tato adresa nemusí být součástí Office 365, může jít i o externí e-mailovou službu. V takovém případě však musí být doména této služby nakonfigurována v Office 365 prostředí, které dořešte s vaším IT.
Postup nastavení single-tenant propojení je popsán níže.
Přidání API konektoru MS Entra ID Authentication v CDESK
Prvním krokem pro vytvoření propojení je přidání API konektoru MS Entra ID Authentication v CDESK. Přejděte do části CDESK → Global settings → Connectors, API. Otevře se seznam konektorů a API, které jsou aktuálně nakonfigurovány na Vašem CDESK Serveru. Pro přidání MS Entra ID konektoru klikněte na tlačítko +Add connector, které se nachází v pravém horním rohu.
Po kliknutí se otevře nové okno s výběrem typu konektoru. Vyberte možnost Microsoft Entra ID Authentication a klepněte na tlačítko Continue.
Následně se otevře formulář pro konfiguraci MS Entra ID Authentication konektoru. Pole označená symbolem • jsou povinná. Popis jednotlivých polí:
Connector type • – Automaticky předvyplněný konektor, který jste vybrali v předchozím kroku.
Title • – Název, pod kterým se konektor bude zobrazovat v seznamu konektorů.
Enabled – Zapnutí nebo vypnutí aktivity konektoru. Pokud konektor nebudete chtít používat, tento přepínač vypněte.
More detailed logging – Používá se v případě problémů při autentifikaci. Zapněte pouze po dohodě s pracovníkem podpory výrobce CDESK.
Application (client) ID • – Tuto hodnotu získáte v nastaveních MS Entra ID. Postup je popsán níže v odstavci Propojení CDESK prostředí s MS Entra ID tenantem.
Secret value • – Tuto hodnotu získáte v nastaveních MS Entra ID. Postup je popsán níže v odstavci Propojení CDESK prostředí s MS Entra ID tenantem.
Directory (tentant) ID • – Tuto hodnotu získáte v nastaveních MS Entra ID. Postup je popsán níže v odstavci Propojení CDESK prostředí s MS Entra ID tenantem. Potřebné jen při single-tenant nastavení.
Multi-Tenant – Zapněte, pokud chcete autentifikovat uživatele z jiných tenant prostředí Office 365. Nastavení Multi-Tenant autentifikace je popsáno v článku MS Entra ID – Multi-Tenant autentifikace.
Redirect URI – Adresa automaticky vygenerovaná CDESK. Používá se při registraci CDESK aplikace v MS Entra ID. Udává adresu, na kterou se bude přistupovat přes MS Entra ID po úspěšné autorizaci. Tuto adresu budete vkládat do registrované aplikace v MS Entra ID.
Automatic login from the login screen (True SSO) – Je-li zapnuto, uživatel bude hned po zadání adresy CDESK / CM Portálu přihlášen, aniž by musel kliknout na tlačítko Office 365 / Entra ID.
Allow new customer accounts to be created in CDESK – Pokud je zapnuto, uživatelé z povolených domén, kteří ještě nemají účet v CDESK, budou moci vytvořit uživatelský účet po úspěšné autentizaci přes MS Entra ID. Nastavení této funkce je blíže popsáno v článku Samoobslužné vytváření zákaznických účtů.
Registrace CDESK aplikace v MS Entra ID
Pro získání údajů Application (client) ID, Directory (tenant) ID a Secret value je třeba registrovat CDESK aplikaci v MS Entra ID. Přejděte na stránku office.com, kde se přihlaste pod Office 365 účtem s oprávněním administrovat MS Entra ID. Mezi nabídkou aplikací na levé straně okna vyhledejte aplikaci Admin.
Po kliknutí se otevře úvodní obrazovka správce. V menu na levé straně vyberte možnost Show all. V rozšířeném menu klikněte na možnost Identity.
Otevře se nové okno. V levém menu vyberte možnost App registrations. Následně vyberte možnost +New registration pro zaregistrování nové aplikace.
Po kliknutí se otevře okno pro registrování nové aplikace s následujícími položkami:
Name – textové pole pro zadání jména, pod kterým se bude registrace zobrazovat v seznamu registrovaných aplikací.
Supported account types – nastavení, zda se autentifikace bude provádět i pro jiné tenanty. Zvolte možnost Acconunts in this organizational directory only (vaše společnost only – Single tenant).
Redirect URI – vyberte možnost Web a do textového pole zkopírujte Redirect URI z nastavení API konektoru MS Entra ID v CDESK (následující obrázek).
Následně pro registraci aplikace klikněte na tlačítko Rejstřík, které se nachází v levém dolním rohu pod seznamem.
Propojení CDESK prostředí s MS Entra ID tenantem
Po registraci aplikace budete přesměrováni do části Overview, kde se zpřístupní údaje o registraci. Do formuláře pro konfiguraci API konektoru pro autentizaci pomocí MS Entra ID v CDESK zkopírujte data Application (client) ID a Directory (tenant) ID.
Pro dokončení konfigurace konektoru je třeba ještě zadat hodnotu Secret value. Přejděte do části Certificates & secrets, který se nachází v menu na levé straně. Klepněte na tlačítko +New client secret a vyberte dobu expirace kódu. Doporučujeme dva roky. V poli Description můžete vložit popis. Pro vygenerování kódu klikněte na tlačítko Add.
Po vytvoření kliknutí se v seznamu Client secrets zobrazí vygenerovaný kód. Klikněte Copy to clipboard, přejděte do CDESK a vložte jej do pole Secret value ve formuláři MS Entra ID konektoru.
Když už se ve formuláři nacházejí všechny potřebné údaje, nastavení uložte pomocí tlačítka Create vpravo dole.
Propojení uživatelského účtu CDESK s MS Entra ID
Přejděte do části Users and groups → Users. V seznamu otevřete uživatelský účet, který chcete propojit a v záložce General settings přescrollujte níže.
Po dokončení konfigurace MS Entra ID konektoru je ve všech účtech ve výchozím nastavení zapnut přepínač Logging in via MS Entra ID – use the contact email, tedy k autentifikaci se použije nastavený kontaktní e-mail.
Pokud byste však potřebovali použít jiný e-mail, přepínač vypněte a do pole Entra ID account e-mail pro sync napište daný e-mail. Použitý e-mail musí být v obou případech ten, který má uživatel i v MS Entra ID. Nastavení uložte pomocí tlačítka Save v pravém dolním rohu.
Přihlášení do CDESK pomocí MS Entra ID
Po konfiguraci konektoru MS Entra ID se na login obrazovce CDESK zobrazí tlačítko pro přihlášení pomocí Office 365 / Entra ID.
Po jeho kliknutí budete přesměrováni na přihlašovací stránku Office 365, kde se ověříte svými přihlašovacími údaji. Pokud již jste v prohlížeči přihlášeni, autentifikace proběhne automaticky a budete okamžitě přesměrováni do CDESK bez potřeby opětovného zadávání přihlašovacích údajů.
Udělení povolení aplikací při prvním přihlášení
Upozorňujeme, že při každém prvním přihlášení uživatele bude Microsoft vyžadovat udělit oprávnění aplikací. Správce tenantu může při prvním přihlášení zaškrtnout „ Consent on behalf of your organization “, čímž udělí Admin Consent za celou organizaci. Tímto způsobem se zajistí, že aplikace bude pro daný tenant fungovat bez dalších výzev k souhlasu pro ostatní uživatele v organizaci. Bez souhlasu správce si bude muset tato povolení udělit každý uživatel sám.
Admin Consent lze udělit i přes MS Entra ID portál, a to v části Enterprise applications, kde vyberete danou aplikaci, přejdete do sekce Permissions a kliknete na Grant admin consent for your company.
