I detta dokument beskrivs kortfattat ibruktagandet av MPASSid-tjänsten med hjälp av AzureAD-integrationen. Ett förhandskrav för integrationen är att uppgifterna enligt MPASSid-datamodellen kan läsas i användarindexet. Mer information om datainnehållskraven finns här: https://wiki.eduuni.fi/x/8rMID
https://mpass-proxy.csc.fi/Shibboleth.sso/SAML2/POST
Klicka på Set och ange: "api://<guid>" värden. Klicka Save
Välj Microsoft Graph
Delegated permissions
Application permissions
Godkänn ändringarna genom att klicka på: ”Grant admin consent for ...”
Välj ”Certificates & secrets” till vänster
Skapa en ny client secret.
Ge nyckeln ett namn och välj önskad giltighetstid för nyckeln. Välj Add och kom ihåg att kopiera nyckeln här eftersom du inte längre kan se den när du stänger sidan.
Obs! Anteckna nyckelns giltighetstid, eftersom inloggningarna i MPASSid slutar fungera om nyckeln inte förnyas hos Azure AD och MPASSid innan den går ut. En ny client secret måste lämnas till MPASSid senast en vecka innan den gamla går ut.
Application (client) ID
Directory (tenant) ID
Client secret (nyckel) och datumet när nyckelns giltighetstid upphör
Uppgift om i vilka attribut i Azure AD de användaruppgifter som ska förmedlas till MPASSid finns
I Azure AD kan attributens tekniska namn avvika från namnen i det grafiska användargränssnittet. MPASSid hämtar uppgifterna via Microsoft Graph API. När uppgifterna hämtas på detta sätt, måste man känna till attributens tekniska namn och även gemener och versaler ska användas rätt i attributen (surname vs Surname).
Med hjälp av PowerShell-funktionen nedan kan du kontrollera attributens skrivsätt genom att till exempel hämta uppgifterna för någon av testkoderna i Azure AD. Vi rekommenderar att man först testar attributens skrivsätt på detta sätt.
Funktionen klipps och klistras i PowerShell-fönstret och hämtas därefter med kommandot getAccountAttributes i samma fönster.
function getAccountAttributes { |
# Exempel på användning av funktionen. # Utan parametern -optionalAttributes hämtar kommandot basuppgifterna för användarobjektet (visningsnamn, förnamn, efternamn och UPN). # Du kan lägga till fler attributnamn i parametern -optionalAttributes; dessa ska separeras med kommatecken. # Ange uppgifterna för App registration och Azure AD tenant som du skapade ovan som värden x, y, och z. getAccountAttributes -clientID "xxxxxxxxxxxxxxxxxxxxxxx" -clientSecret "yyyyyyyyyyyyyyyyy" -tenantID "zzzzzzzzzzzzzzzzzzzz" -userPrincipalName "<haettavatunnus@domain.onmicrosoft.com>" -optionalAttributes "city,companyName,Department,department,faxNumber,jobTitle,officeLocation,onpremisesextensionattributes,postalCode,state,streetAddress" |