Pokud se chystáte nastavit aplikaci využívající OpenID Connect (OIDC) v prostředí Microsoft Azure Active Directory (AzureAD) pro jednotné přihlašování (SSO), postupujte podle následujících kroků.

Požadavky

Ujistěte se, že máte k dispozici účet AzureAD, ke kterému se můžete přihlásit.

Procedura

 1. Přihlaste se k účtu Microsoft Azure v roli uživatele – administrátora.
  Otevře se domovská obrazovka Microsoft Azure.
 2. Vytvoření nové aplikace:
  1. Vyhledejte a vyberte službu Azure Active Directory.
  2. Přejděte do nabídky Registrace aplikace (App registration) > Nová registrace (New registration).
   Otevře se obrazovka Registrace aplikace (Register an application).
  3. V poli Název (Name) zadejte název aplikace SD-WAN Orchestrator.
  4. V poli URL pro přesměrování (Redirect URL) zadejte URL adresu pro přesměrování, kterou vaše aplikace SD-WAN Orchestrator používá jako koncový bod zpětného volání.
   Odkaz URL pro přesměrování můžete najít v aplikaci SD-WAN Orchestrator v dolní části obrazovky Konfigurace autentizace (Configure Authentication). V ideálním případě bude mít adresa URL pro přesměrování SD-WAN Orchestrator následující formát: https://<URL adresa Orchestratoru>/login/ssologin/openidCallback.
  5. Klikněte na možnost Registrovat (Register).
   Vaše aplikace SD-WAN Orchestrator se zaregistruje a bude uvedena na kartě Všechny aplikace (All applications)Vlastněné aplikace (Owned applications). Nezapomeňte si poznamenat ID klienta / ID aplikace, které budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
  6. Klikněte na možnost Koncové body (Endpoints) a zkopírujte URL adresu prověřené konfigurace OIDC, kterou chcete použít během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
  7. K vytvoření tajného klíče klienta pro aplikaci SD-WAN Orchestrator klikněte na kartě Vlastněné aplikace (Owned applications) na vaši aplikaci SD-WAN Orchestrator.
  8. Přejděte do nabídky Certifikáty a tajné klíče (Certificates & secrets) > Nový tajný klíč klienta (New client secret).
   Otevře se obrazovka Přidání tajného klíče klienta (Add a client secret).
  9. Zadejte podrobnosti tajného klíče, jako je popis a vypršení jeho platnosti, a klikněte na tlačítko Přidat (Add).
   Pro aplikaci se vytvoří tajný klíč klienta. Poznamenejte si nový tajný klíč klienta, který budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
  10. Při konfiguraci oprávnění vaší aplikace SD-WAN Orchestrator klikněte na aplikaci SD-WAN Orchestrator a přejděte do nabídky Oprávnění API (API permissions) > Přidat oprávnění (Add a permission).
   Otevře se obrazovka Vyžádání oprávnění API (Request API permissions).
  11. Klikněte na možnost Microsoft Graph a jako typ oprávnění pro vaši aplikaci vyberte možnost Oprávnění aplikace (Application permissions).
  12. V části Vybrat oprávnění (Select permissions) v rozevírací nabídce Adresář (Directory) vyberte položku Directory.Read.All a z rozevírací nabídky Uživatel (User) vyberte možnost User.Read.All.
  13. Klikněte na tlačítko Přidat oprávnění (Add permissions).
  14. Budete-li chtít přidat a uložit role v manifestu, klikněte na svoji aplikaci SD-WAN Orchestrator a na obrazovce Přehled (Overview) klikněte na možnost Manifest.
   Otevře se webový editor manifestu, který vám umožní upravit manifest v rámci portálu. Volitelně můžete také použít možnost Stáhnout (Download), upravit manifest lokálně a poté pomocí tlačítka Nahrát (Upload) tento manifest znovu použít ve své aplikaci.
  15. V manifestu vyhledejte pole appRoles, přidejte jeden nebo více objektů role dle pokynů v následujícím příkladu a klikněte na tlačítko Uložit (Save).
   Vzorové objekty rolí
   {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Standard Administrator who will have sufficient privilege to manage resource",
         "displayName": "Standard Admin",
         "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
         "isEnabled": true,
         "lang": null,
         "origin": "Application",
         "value": "standard"
       },
       {
         "allowedMemberTypes": [
           "User"
         ],
         "description": "Super Admin who will have the full privilege on SD-WAN Orchestrator",
         "displayName": "Super Admin",
         "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
         "isEnabled": true,
         "lang": null,
         "origin": "Application",
         "value": "superuser"
       } 
   
   Poznámka: Nezapomeňte nastavit id na hodnotu nově vygenerovaného globálního jedinečného identifikátoru (GUID). Identifikátory GUID lze vygenerovat online pomocí webových nástrojů (například https://www.guidgen.com/) nebo spuštěním následujících příkazů:
   • Linux/OSX – uuidgen
   • Windows – powershell [guid]::NewGuid()
 3. Přiřazení skupin a uživatelů do aplikace SD-WAN Orchestrator:
  1. Přejděte do nabídky Azure Active Directory > Podnikové aplikace (Enterprise applications).
  2. Vyhledejte a vyberte svou aplikaci SD-WAN Orchestrator.
  3. Klikněte na tlačítko Uživatelé a skupiny (Users and groups) a přiřaďte k aplikaci vhodné uživatele a skupiny.
  4. Klikněte na tlačítko Odeslat (Submit).

Výsledek

Tímto je nastavení aplikace využívající OIDC v prostředí AzureAD pro potřeby jednotného přihlašování dokončeno.

Jak pokračovat dále

Nakonfigurujte jednotné přihlašování v aplikaci SD-WAN Orchestrator.