Versions Compared

Old Version 2

changes.mady.by.user Toni Sormunen

Saved on

compared with

New Version Current

changes.mady.by.user Mikko Pitkänen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Tässä dokumentissa kuvataan lyhyesti MPASSid palvelun käyttöönottaminen AzureAD integraatiota hyödyntäen. Ennakkovaatimuksena  integraatiolle on että MPASSid tietomallin mukaiset tiedot ovat luettavissa käyttäjähakemistosta. Lisätietoja tietosisällöllisistä vaatimuksista löytyy täältä: https://wiki.eduuni.fi/x/9IjYBQ

AzureAD:n konfigurointi

1. Microsoft Azure portaalissa valitse "App registrations" ja "

...

Image Removed

2. Lisää MPASSid SSO URL https://mpass-proxy-prd.csc.fi/Shibboleth.sso/SAML2/POST  Sign-on URL kenttään.

3. Ota talteen  "Application ID" ja "Application ID URI" arvot. MPASSid tiimi tarvitsee nämä tiedot, jotta voivat viedä asennuksen loppuun.

Image Removed

 

4. Seuraavaksi meidän on annettava tarvittavat käyttöoikeudet. Valitse "Required permissions" ja anna seuraavat oikeudet MPASSid palvelulle.

 Application permissions

    • Read directory data

Delegated permissions

New registration"

Image Added

Image Added


Image Added

MPASSid:n asiakaspalvelu toimittaa redirect URI:n. Jos et ole vielä saanut sellaista, niin voit tässä vaiheessa jättää kentän tyhjäksi ja lisätä sen myöhemmin. Integraatio vaatii toimiakseen URI:n määrittämisen, joten se tulee lisätä ennen testausta. 


2. Lisää kohtaan "Add an Application ID URI": 

Image Added

Image Added

Klikkaa Set:

Image Added

Application ID URI -kenttään tulee automaattisesti "api://<guid> arvo. Ota se talteen ja paina Save


3. Anna tarvittavat käyttöoikeudet Azure AD:hen. Valitse vasemmasta valikosta "API permissions" ja sen jälkeen "Add a permission"

Valitse Microsoft Graph

Image Added

Delegated permissions

    • Oletuksena pitäisi olla jo: User.Read (
  • Access the directory as the signed-in user
  • Read directory data
    • Sign in and read user profile)

Image Removed

5. Paina  "Add";  "Required permissions" sarakkeessa ja valitse  listalta "Microsoft Graph API". Anna sovellukselle vastaavat oikeudet Graph API:in, kuten edellisessä vaiheessa. Lopuksi muista painaa "Grant Permissions" painiketta.

...

 Application permissions

    • User / User.Read.All (Read all users' full profiles)


Hyväksy muutokset painamalla: "Grant admin consent for ...".


4. MPASSid sovellus tarvitsee salasanan päästäkseen integroitumaan AzureAD:n kanssa

Valitse vasemmalta "Certificates & secrets"

Image Added

Luo uusi client secret.

. Tämä avain (salasana) voidaan luoda "Keys" kohdassa. Anna avaimelle nimi ja valitse kesto (mahdollisimman pitkä). Muista kopioida avain haluamasi avaimen voimassaoloaika. Valitse Add ja muista kopioida avain (Value EI Secret ID) tässä kohtaa talteen, koska et enää pääse näkemään sitä suljettuasi sivun.   

Image Removed

7.  MPASSid tiimi tarvitsee seuraavat attribuutit asennuksen viimeistelemiseksi.

Huom: Ota avaimen voimassaoloaika talteen, koska MPASSid:n kirjautumiset lakkaavat toimimasta mikäli avainta ei uusita Azure AD:n ja MPASSid:n päässä ennen sen vanhenemista. Uusi client secret tulee toimittaa viimeistään viikkoa ennen vanhan vanhenemista MPASSid:n tukeen.


5.  OPH:lle tulee toimittaa seuraavat tiedot

  • Directory (tenant) ID 
  • Application (client) ID
  • Client secret (Value EI Secret ID) ja avaimen voimassaolon päättymisajankohta
  • Application ID URI (api://<guid>)
  • Lista Azure AD attribuuteista, joista käyttäjien tiedot löytyvät
    • Lista tarvittavista attribuuteista löytyy täältä
  • TenantID
  • ApllicationID
  • App ID URI
  • Password (avain)