Pokud se chystáte nastavit aplikaci využívající OpenID Connect (OIDC) v prostředí Microsoft Azure Active Directory (AzureAD) pro jednotné přihlašování (SSO), postupujte podle následujících kroků.

Požadavky

Ujistěte se, že máte k dispozici účet AzureAD, ke kterému se můžete přihlásit.

Procedura

  1. Přihlaste se k účtu Microsoft Azure v roli uživatele – administrátora.
    Otevře se domovská obrazovka Microsoft Azure.
  2. Vytvoření nové aplikace:
    1. Vyhledejte a vyberte službu Azure Active Directory.
    2. Přejděte do nabídky Registrace aplikace (App registration) > Nová registrace (New registration).
      Otevře se obrazovka Registrace aplikace (Register an application).
    3. V poli Název (Name) zadejte název aplikace SD-WAN Orchestrator.
    4. V poli URL pro přesměrování (Redirect URL) zadejte URL adresu pro přesměrování, kterou vaše aplikace SD-WAN Orchestrator používá jako koncový bod zpětného volání.
      Odkaz URL pro přesměrování můžete najít v aplikaci SD-WAN Orchestrator v dolní části obrazovky Konfigurace autentizace (Configure Authentication). V ideálním případě bude mít adresa URL pro přesměrování SD-WAN Orchestrator následující formát: https://<URL adresa Orchestratoru>/login/ssologin/openidCallback.
    5. Klikněte na možnost Registrovat (Register).
      Vaše aplikace SD-WAN Orchestrator se zaregistruje a bude uvedena na kartě Všechny aplikace (All applications)Vlastněné aplikace (Owned applications). Nezapomeňte si poznamenat ID klienta / ID aplikace, které budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    6. Klikněte na možnost Koncové body (Endpoints) a zkopírujte URL adresu prověřené konfigurace OIDC, kterou chcete použít během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    7. K vytvoření tajného klíče klienta pro aplikaci SD-WAN Orchestrator klikněte na kartě Vlastněné aplikace (Owned applications) na vaši aplikaci SD-WAN Orchestrator.
    8. Přejděte do nabídky Certifikáty a tajné klíče (Certificates & secrets) > Nový tajný klíč klienta (New client secret).
      Otevře se obrazovka Přidání tajného klíče klienta (Add a client secret).
    9. Zadejte podrobnosti tajného klíče, jako je popis a vypršení jeho platnosti, a klikněte na tlačítko Přidat (Add).
      Pro aplikaci se vytvoří tajný klíč klienta. Poznamenejte si nový tajný klíč klienta, který budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    10. Při konfiguraci oprávnění vaší aplikace SD-WAN Orchestrator klikněte na aplikaci SD-WAN Orchestrator a přejděte do nabídky Oprávnění API (API permissions) > Přidat oprávnění (Add a permission).
      Otevře se obrazovka Vyžádání oprávnění API (Request API permissions).
    11. Klikněte na možnost Microsoft Graph a jako typ oprávnění pro vaši aplikaci vyberte možnost Oprávnění aplikace (Application permissions).
    12. V části Vybrat oprávnění (Select permissions) v rozevírací nabídce Adresář (Directory) vyberte položku Directory.Read.All a z rozevírací nabídky Uživatel (User) vyberte možnost User.Read.All.
    13. Klikněte na tlačítko Přidat oprávnění (Add permissions).
    14. Budete-li chtít přidat a uložit role v manifestu, klikněte na svoji aplikaci SD-WAN Orchestrator a na obrazovce Přehled (Overview) klikněte na možnost Manifest.
      Otevře se webový editor manifestu, který vám umožní upravit manifest v rámci portálu. Volitelně můžete také použít možnost Stáhnout (Download), upravit manifest lokálně a poté pomocí tlačítka Nahrát (Upload) tento manifest znovu použít ve své aplikaci.
    15. V manifestu vyhledejte pole appRoles, přidejte jeden nebo více objektů role dle pokynů v následujícím příkladu a klikněte na tlačítko Uložit (Save).
      Vzorové objekty rolí 
      {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Standard Administrator who will have sufficient privilege to manage resource",
            "displayName": "Standard Admin",
            "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "standard"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Super Admin who will have the full privilege on SD-WAN Orchestrator",
            "displayName": "Super Admin",
            "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "superuser"
        }
      Poznámka: Nezapomeňte nastavit id na hodnotu nově vygenerovaného globálního jedinečného identifikátoru (GUID). Identifikátory GUID lze vygenerovat online pomocí webových nástrojů (například https://www.guidgen.com/) nebo spuštěním následujících příkazů:
      • Linux/OSX – uuidgen
      • Windows – powershell [guid]::NewGuid()
  3. Přiřazení skupin a uživatelů do aplikace SD-WAN Orchestrator:
    1. Přejděte do nabídky Azure Active Directory > Podnikové aplikace (Enterprise applications).
    2. Vyhledejte a vyberte svou aplikaci SD-WAN Orchestrator.
    3. Klikněte na tlačítko Uživatelé a skupiny (Users and groups) a přiřaďte k aplikaci vhodné uživatele a skupiny.
    4. Klikněte na tlačítko Odeslat (Submit).

Výsledek

Tímto je nastavení aplikace využívající OIDC v prostředí AzureAD pro potřeby jednotného přihlašování dokončeno.

Jak pokračovat dále

Nakonfigurujte jednotné přihlašování v aplikaci SD-WAN Orchestrator.