Přeskočit na hlavní obsah

Integrace se službami Azure pro SSO

Aktualizováno před více než 3 týdny

Azure Active Directory SSO

Single sign-on (SSO), jednotné přihlášení, implementace v DigiSign umožňuje snadné přihlášení a správu uživatelů pomocí Azure Active Directory (AAD).

K dispozici jsou tyto možnosti nastavení:

  1. žádné nastavení - přihlásit přes SSO se mohou uživatelé, které ručně vytvoříte v DigiSignu

  2. create_user - automatické vytváření uživatelů při prvním přihlášení přes SSO

  3. sync_user - automatická synchronizace osobních údajů uživatelů a ROLE po každém přihlášení přes SSO

  4. create_user + sync_user - automatické vytváření i synchronizace uživatelů

  5. using_groups - using_groups - pokud máte více pracovních prostorů (viz. druhý bod článku)

Níže je návod, jak jej využít.

Pro objednání integrace SSO s vaším pracovním prostorem nás kontaktujte na podpora@digisign.cz

Správce AAD, přidání aplikace

  1. Přihlaste se / zaregistrujte se na https://app.digisign.org/

  2. Najděte ID společnosti (Nastavení > Pracovní prostor)

  3. Přihlaste se Vaším Microsoft firemním správcovským účtem zde https://entra.microsoft.com/

  4. V nabídce vlevo vyberte Přehled a najděte ID tenanta

  5. Pošlete nám na podpora@digisign.cz následující údaje a naši administrátoři přiřadí Váš Azure AD jako IDP k vašemu pracovnímu prostoru v DigiSignu:

    1. ID pracovního prostoru v DigiSignu

    2. domény a ID tenanta v Azure

    3. nastavení - žádné nastavení / create user / sync_user / using_groups

  6. V nabídce vlevo vyberte podnikové aplikace. Otevře se podokno Všechny aplikace se seznamem aplikací ve vašem tenantovi Azure AD.

  7. V podokně Aplikace>Podnikové aplikace vyberte Nová aplikace.

  8. Vyhledejte aplikaci DigiSign a dejte Zaregistrovat aplikaci DigiSign

  9. Přihlaste se zadáním Vaší domény

  10. Potvrďte souhlas

    Práva, která aplikace vyžaduje jsou tyto:
    Azure Key Vault

    • user_impersonation - toto právo vyžadujeme kvůli delegovanému přístupu k certifikátům uživatelů, jedná se o integraci s AKV popsanou v bodě C

    Microsoft Graph

    • email - potřebujeme abychom získali email uživatele

    • openid - zajišťuje že můžeme uživatele přihlásit standardem OpenID

    • profile - abychom získali základní údaje uživatele (jméno, příjmení, ...)

    • User.Read - potřebujeme pro získání telefonního čísla uživatele

    GroupMember.Read.All - toto právo je potřeba pokud byste v konfiguraci SSO chtěl používat skupiny (varianta e) - umožňuje načíst si informace o skupinách ve kterých je uživatel členem

  11. Vše hotovo a jste přihlášený v DigiSign pod Vaším účtem

  12. Role si můžete spravovat přes AAD, Podnikové aplikace > DigiSign > Uživatelé a Skupiny - tam lze přiřadit DigiSign roli konkrétním uživatelům nebo skupinám. Defaultní role je ‘DigiSign User’

Pokud máte více pracovních prostorů - využití skupin

Pokud máte v DigiSignu více pracovních prostorů, využíváte konfiguraci create_user a nechcete, aby uživatelé měli automaticky přístup do všech pracovních prostorů a/nebo chcete, aby měli v každém pracovním prostoru jinou roli, je možné využít konfiguraci using_groups. Poté si můžete přístupy do pracovních prostorů nastavovat pomocí tvz. Groups přímo v Azure AD.

Postupujte následovně:

  1. Definice Groups v Azure - důležité je dodržet formát názvu - DGS_XXXXXX_ROLE (lze nakonfigurovat prefix), kde:

    1. XXXXXX = číslo pracovního prostoru, které najdete v Digisign > Nastavení > Pracovní prostor (viz. bod 2)

    2. ROLE = role pod kterou bude uživatel přihlášený, možné jsou ADMIN, USER, TEMPLATES, MANAGER

  2. Přidat uživatele do Group v Azure

  3. Požádejte naši podporu na podpora@digisign.cz o nastavení příznaku using_groups pro vaše pracovní prostory (přiložte prosím čísla pracovních prostorů)

  4. Po přihlášení bude mít uživatel Vámi definovanou roli. Pokud uživatel nebude součástí Groupy s označením pracovního prostoru, tak se do daného pracovního prostoru vůbec nedostane.

SSO přihlášení uživatele

Pro přihlášení do DigiSign selfcare přes SSO postupujte následovně:

  1. Přejděte na přihlašovací stránku DigiSign: https://app.digisign.org/

  2. Klikněte na Vybrat způsob přihlášení a zvolte možnost SSO

  3. Zadejte e-mail, pod kterým jste registrováni v AAD a klikněte na Pokračovat

  4. Budete přesměrování na přihlášení do účtu Microsoft, přihlaste se. Pokud jste již ve Vašem prohlížeči přihlášeni, tento krok bude vynechán.

Druhou možností je přihlásit se Vaším firemním emailem na https://app.digisign.org/ a pokud Váš správce zaregistroval a povolil přihlášení pomocí SSO, budete rovnou přesměrováni na přihlášení do účtu Microsoft.

Reference:

  1. https://learn.microsoft.com/cs-cz/entra/identity/enterprise-apps/add-application-portal-setup-oidc-sso

  2. https://azuremarketplace.microsoft.com/en-us/marketplace/apps/aad.digisign?tab=Overview

Související články
Jak přidat nebo odebrat uživatele do pracovního prostoru
Azure Key Vault pro podpis osobním certifikátem
Azure Key Vault pro pečeť pracovního prostoru
Uživatelské role a jejich práva
Pracovní prostor - využití, vytvoření a nastavení identity
Dostali jste odpověď na svou otázku?