Pokud se chystáte nastavit aplikaci využívající OpenID Connect (OIDC) v prostředí Microsoft Azure Active Directory (AzureAD) pro jednotné přihlašování (SSO), postupujte podle následujících kroků.

Požadavky

Ujistěte se, že máte k dispozici účet AzureAD, ke kterému se můžete přihlásit.

Procedura

  1. Přihlaste se k účtu Microsoft Azure v roli uživatele – administrátora.
    Otevře se domovská obrazovka Microsoft Azure.
  2. Vytvoření nové aplikace:
    1. Vyhledejte a vyberte službu Azure Active Directory.
    2. Přejděte do nabídky Registrace aplikace (App registration) > Nová registrace (New registration).
      Otevře se obrazovka Registrace aplikace (Register an application).
    3. V poli Název (Name) zadejte název aplikace SD-WAN Orchestrator.
    4. V poli URL pro přesměrování (Redirect URL) zadejte URL adresu pro přesměrování, kterou vaše aplikace SD-WAN Orchestrator používá jako koncový bod zpětného volání.
      Odkaz URL pro přesměrování můžete najít v aplikaci SD-WAN Orchestrator v dolní části obrazovky Konfigurace autentizace (Configure Authentication). V ideálním případě bude mít adresa URL pro přesměrování SD-WAN Orchestrator následující formát: https://<URL adresa Orchestratoru>/login/ssologin/openidCallback.
    5. Klikněte na možnost Registrovat (Register).
      Vaše aplikace SD-WAN Orchestrator se zaregistruje a bude uvedena na kartě Všechny aplikace (All applications)Vlastněné aplikace (Owned applications). Nezapomeňte si poznamenat ID klienta / ID aplikace, které budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    6. Klikněte na možnost Koncové body (Endpoints) a zkopírujte URL adresu prověřené konfigurace OIDC, kterou chcete použít během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    7. K vytvoření tajného klíče klienta pro aplikaci SD-WAN Orchestrator klikněte na kartě Vlastněné aplikace (Owned applications) na vaši aplikaci SD-WAN Orchestrator.
    8. Přejděte do nabídky Certifikáty a tajné klíče (Certificates & secrets) > Nový tajný klíč klienta (New client secret).
      Otevře se obrazovka Přidání tajného klíče klienta (Add a client secret).
    9. Zadejte podrobnosti tajného klíče, jako je popis a vypršení jeho platnosti, a klikněte na tlačítko Přidat (Add).
      Pro aplikaci se vytvoří tajný klíč klienta. Poznamenejte si nový tajný klíč klienta, který budete potřebovat během konfigurace jednotného přihlašování v aplikaci SD-WAN Orchestrator.
    10. Při konfiguraci oprávnění vaší aplikace SD-WAN Orchestrator klikněte na aplikaci SD-WAN Orchestrator a přejděte do nabídky Oprávnění API (API permissions) > Přidat oprávnění (Add a permission).
      Otevře se obrazovka Vyžádání oprávnění API (Request API permissions).
    11. Klikněte na možnost Microsoft Graph a jako typ oprávnění pro vaši aplikaci vyberte možnost Oprávnění aplikace (Application permissions).
    12. V části Vybrat oprávnění (Select permissions) v rozevírací nabídce Adresář (Directory) vyberte položku Directory.Read.All a z rozevírací nabídky Uživatel (User) vyberte možnost User.Read.All.
    13. Klikněte na tlačítko Přidat oprávnění (Add permissions).
    14. Budete-li chtít přidat a uložit role v manifestu, klikněte na svoji aplikaci SD-WAN Orchestrator a na obrazovce Přehled (Overview) klikněte na možnost Manifest.
      Otevře se webový editor manifestu, který vám umožní upravit manifest v rámci portálu. Volitelně můžete také použít možnost Stáhnout (Download), upravit manifest lokálně a poté pomocí tlačítka Nahrát (Upload) tento manifest znovu použít ve své aplikaci.
    15. V manifestu vyhledejte pole appRoles, přidejte jeden nebo více objektů role dle pokynů v následujícím příkladu a klikněte na tlačítko Uložit (Save).
      Poznámka: Vlastnost hodnoty z appRoles musí být přidána do sloupce Název role poskytovatele identity (Identity Provider Role Name)v tabulce Mapa rolí (Role Map) na záložce Autentizace (Authentication), aby bylo možné role správně namapovat.
      Vzorové objekty rolí 
      {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Standard Administrator who will have sufficient privilege to manage resource",
            "displayName": "Standard Admin",
            "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "standard"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Super Admin who will have the full privilege on SD-WAN Orchestrator",
            "displayName": "Super Admin",
            "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "superuser"
        }
      Poznámka: Nezapomeňte nastavit id na hodnotu nově vygenerovaného globálního jedinečného identifikátoru (GUID). Identifikátory GUID lze vygenerovat online pomocí webových nástrojů (například https://www.guidgen.com/) nebo spuštěním následujících příkazů:
      • Linux/OSX – uuidgen
      • Windows – powershell [guid]::NewGuid()
  3. Přiřazení skupin a uživatelů do aplikace SD-WAN Orchestrator:
    1. Přejděte do nabídky Azure Active Directory > Podnikové aplikace (Enterprise applications).
    2. Vyhledejte a vyberte svou aplikaci SD-WAN Orchestrator.
    3. Klikněte na tlačítko Uživatelé a skupiny (Users and groups) a přiřaďte k aplikaci vhodné uživatele a skupiny.
    4. Klikněte na tlačítko Odeslat (Submit).

Výsledek

Tímto je nastavení aplikace využívající OIDC v prostředí AzureAD pro potřeby jednotného přihlašování dokončeno.

Jak pokračovat dále

Nakonfigurujte jednotné přihlašování v aplikaci SD-WAN Orchestrator.