Tässä dokumentissa kuvataan MPASSid palvelun käyttöönottaminen Azure AD -integraatiota hyödyntäen. Ennakkovaatimuksena integraatiolle on että MPASSid tietomallin mukaiset tiedot ovat luettavissa käyttäjähakemistosta. Lisätietoja tietosisällöllisistä vaatimuksista löytyy täältä: https://wiki.eduuni.fi/x/8rMID

App registration luonti

MPASSid tarvitsee Azure AD tenanttiinne App registration sovelluksen, jonka kautta käyttäjän attribuutit noudetaan kirjautumisen yhteydessä. Alla olevien ohjeiden avulla voit luoda Azure AD tenanttiisi MPASSid:n tarvitseman App registration:n tarvittavilla asetuksilla. App registration:n luodaan joko GUIn tai PowerShellin kautta, voit itse valita kumpaa tapaa käytät.

Azure AD attribuuttien nimien varmistaminen

Azure AD:ssa attribuuttien tekniset nimet saattavat poiketa graafisen käyttöliittymän nimistä. MPASSid hakee tiedot Microsoft Graph API:n kautta. Sitä kautta noudettaessa tulee tietää attribuuttien tekniset nimet ja attribuuttien kirjainkoonkin tulee olla oikein (surname vs Surname).

Alla olevan powershell funktion avulla voi varmistaa attribuuttien kirjoitusasun hakemalla esimerkiksi jonkin Azure AD:ssa olevan testitunnuksen tiedot. Onkin suositeltavaa testata ensin sen avulla attribuuttien oikea kirjoitusasu.

Funktio copy-pastetaan powershell ikkunaan ja sen jälkeen sitä kutsutaan getAccountAttributes -komennolla samassa ikkunassa.


function getAccountAttributes {
    param (
        [Parameter()]
        [string] $clientID,
        [Parameter()]
        [string] $clientSecret,
        [Parameter()]
        [string] $tenantID,
        [Parameter()]
        [string] $userPrincipalName,
        [Parameter()]
        [string] $optionalAttributes
    )
 
 
    $ReqTokenBody = @{
        Grant_Type    = "client_credentials"
        Scope         = "https://graph.microsoft.com/.default"
        client_Id     = $clientID
        Client_Secret = $clientSecret
    }
     
    $TokenResponse = Invoke-RestMethod -Uri "https://login.microsoftonline.com/$TenantID/oauth2/v2.0/token" -Method POST -Body $ReqTokenBody
 
    if ( !$optionalAttributes )
    {
        $apiUrl = "https://graph.microsoft.com/v1.0/users/" + $userPrincipalName
    } else {
        $apiUrl = "https://graph.microsoft.com/v1.0/users/" + $userPrincipalName + "?`$select=displayName,givenName,surname,userPrincipalName,id,$optionalAttributes "
    }
 
    $Data = Invoke-RestMethod -Headers @{Authorization = "Bearer $($Tokenresponse.access_token)"} -Uri $apiUrl -Method Get
 
    return ( $data )
}
 
# Esimerkki funktion käytöstä. 
# Ilman -optionalAttributes parametria komento hakee käyttäjäobjektin perustiedot (näyttönimi, etunimi, sukunimi ja UPN).
# Voit lisätä -optionalAttributes parametriin lisää attribuuttien nimiä pilkulla eroteltuina.
# Vaihda x, y, ja z arvoiksi yllä luomasi App registration:n ja Azure AD tenantin tiedot.

getAccountAttributes -clientID "xxxxxxxxxxxxxxxxxxxxxxx" -clientSecret "yyyyyyyyyyyyyyyyy" -tenantID "zzzzzzzzzzzzzzzzzzzz" -userPrincipalName "<haettavatunnus@domain.onmicrosoft.com>" -optionalAttributes "city,companyName,Department,department,faxNumber,jobTitle,officeLocation,onpremisesextensionattributes,postalCode,state,streetAddress"

Kaikilta organisaatioilta vaadittavat tiedot

MPASSid-integraation rakentamista varten jokaisen luottamusverkostoon liittyneen koulutustoimijan on ilmoitettava seuraavat tiedot palveluosoitteeseemme mpass@oph.fi:

  • Oppilaitostyypit, joilla aiotte MPASSid:tä käyttää. Hyväksytyt oppilaitostyypit koodiarvoineen löytyvät täältä: https://koski.opintopolku.fi/koski/dokumentaatio/koodisto/oppilaitostyyppi/latest

  • Kunnan/koulutustoimijan logotiedoston, jonka haluatte näytettävän MPASSid:n koulunvalintasivulla.

    • Logo: png-muodossa, koko 125x36 px. 
  • Wilma-organisaatioilta organisaationne kirjautumisosoite (url-osoite, esim. koulutuksenjärjestäjä.inschool.fi tai vastaava)

Kun nämä tiedot on lähetetty MPASSid:lle ja liittymissopimukset ovat allekirjoitettuna molempien osapuolten toimesta, saadaan integraatio päälle usein parin arkipäivän kuluessa.

  • No labels