Přeskočit na hlavní obsah
Všechny sbírkyPráce s certifikáty, pečetěmi
Integrace se službami Azure pro SSO
Integrace se službami Azure pro SSO
Klára Šleisová avatar
Autor: Klára Šleisová
Aktualizováno před více než 2 měsíci

Azure Active Directory SSO

Single sign-on (SSO), jednotné přihlášení, implementace v DigiSign umožňuje snadné přihlášení a správu uživatelů pomocí Azure Active Directory (AAD).

K dispozici jsou tyto možnosti nastavení:

  1. žádné nastavení - přihlásit přes SSO se mohou uživatelé, které ručně vytvoříte v DigiSignu

  2. create_user - automatické vytváření uživatelů při prvním přihlášení přes SSO

  3. sync_user - automatická synchronizace osobních údajů uživatelů a ROLE po každém přihlášení přes SSO

  4. create_user + sync_user - automatické vytváření i synchronizace uživatelů

  5. using_groups - pokud máte více organizací (viz. druhý bod článku)

Níže je návod, jak jej využít.

Správce AAD, přidání aplikace

  1. Přihlaste se / zaregistrujte se na https://app.digisign.org/

  2. Najděte ID společnosti (Nastavení > Organizace)

  3. Přihlaste se Vaším Microsoft firemním správcovským účtem zde https://entra.microsoft.com/

  4. V nabídce vlevo vyberte Přehled a najděte ID tenanta

  5. Pošlete nám na podpora@digisign.cz následující údaje a naši administrátoři přiřadí Váš Azure AD jako IDP k Vaší organizaci v DigiSignu:

    1. ID organizace v DigiSignu

    2. domény a ID tenanta v Azure

    3. nastavení - žádné nastavení / create user / sync_user / using_groups

  6. V nabídce vlevo vyberte podnikové aplikace. Otevře se podokno Všechny aplikace se seznamem aplikací ve vašem tenantovi Azure AD.

  7. V podokně Aplikace>Podnikové aplikace vyberte Nová aplikace.

  8. Vyhledejte aplikaci DigiSign a dejte Zaregistrovat aplikaci DigiSign

  9. Přihlaste se zadáním Vaší domény

  10. Potvrďte souhlas

    Práva, která aplikace vyžaduje jsou tyto:
    Azure Key Vault

    • user_impersonation - toto právo vyžadujeme kvůli delegovanému přístupu k certifikátům uživatelů, jedná se o integraci s AKV popsanou v bodě C

    Microsoft Graph

    • email - potřebujeme abychom získali email uživatele

    • openid - zajišťuje že můžeme uživatele přihlásit standardem OpenID

    • profile - abychom získali základní údaje uživatele (jméno, příjmení, ...)

    • User.Read - potřebujeme pro získání telefonního čísla uživatele

    GroupMember.Read.All - toto právo je potřeba pokud byste v konfiguraci SSO chtěl používat skupiny (varianta e) - umožňuje načíst si informace o skupinách ve kterých je uživatel členem

  11. Vše hotovo a jste přihlášený v DigiSign pod Vaším účtem

  12. Role si můžete spravovat přes AAD, Podnikové aplikace > DigiSign > Uživatelé a Skupiny - tam lze přiřadit DigiSign roli konkrétním uživatelům nebo skupinám. Defaultní role je ‘DigiSign User’

Pokud máte více organizací - využití skupin

Pokud máte v DigiSignu více organizací, využíváte konfiguraci create_user a nechcete, aby uživatelé měli automaticky přístup do všech organizací a/nebo chcete, aby měli v každé organizaci jinou roli, je možné využít konfiguraci using_groups. Poté si můžete přístupy do organizací nastavovat pomocí tvz. Groups přímo v Azure AD.

Postupujte následovně:

  1. Definice Groups v Azure - důležité je dodržet formát názvu - DGS_XXXXXX_ROLE (lze nakonfigurovat prefix), kde:

    1. XXXXXX = číslo organizace, které najdete v Digisign > Nastavení > Organizace (viz. bod 2)

    2. ROLE = role pod kterou bude uživatel přihlášený, možné jsou ADMIN, USER, TEMPLATES, MANAGER

  2. Přidat uživatele do Group v Azure

  3. Požádejte naši podporu na podpora@digisign.cz o nastavení příznaku using_groups pro vaše organizace (přiložte prosím čísla organizací)

  4. Po přihlášení bude mít uživatel Vámi definovanou roli. Pokud uživatel nebude součástí Groupy s označením organizace, tak se do dané organizace vůbec nedostane.

SSO přihlášení uživatele

Pro přihlášení do DigiSign selfcare přes SSO postupujte následovně:

  1. Přejděte na přihlašovací stránku DigiSign: https://app.digisign.org/

  2. Klikněte na Vybrat způsob přihlášení a zvolte možnost SSO

  3. Zadejte e-mail, pod kterým jste registrováni v AAD a klikněte na Pokračovat

  4. Budete přesměrování na přihlášení do účtu Microsoft, přihlaste se. Pokud jste již ve Vašem prohlížeči přihlášeni, tento krok bude vynechán.

Druhou možností je přihlásit se Vaším firemním emailem na https://app.digisign.org/ a pokud Váš správce zaregistroval a povolil přihlášení pomocí SSO, budete rovnou přesměrováni na přihlášení do účtu Microsoft.

Reference:

  1. https://learn.microsoft.com/cs-cz/entra/identity/enterprise-apps/add-application-portal-setup-oidc-sso

  2. https://azuremarketplace.microsoft.com/en-us/marketplace/apps/aad.digisign?tab=Overview

Související články
Jak nainstalovat I.CA PKI service
Jak získat certifikát pro elektronickou pečeť
Jak přidat nebo odebrat uživatele do organizace
Azure Key Vault pro podpis osobním certifikátem
Azure Key Vault pro pečeť organizace
Dostali jste odpověď na svou otázku?