en-US - - English

Azure AD Provider

Ahhoz, hogy Azure AD (Active Directory) alapján tudjuk hitelesíteni a PassMan belépést, az Azure portálra kell hozzáféréssel rendelkeznünk (https://portal.azure.com/)


Beállítás menete:

     0. Lépjünk be rendszergazdai jogosultságú felhasználóval az Azure portálra: https://portal.azure.com/

         (Nyelvi beállítására a fenti fogaskerék ikonnak nyíilik lehetőség: a Nyelv és régió szekcióban)

           

         

  1. Az Azure szolgáltatások közül válasszuk ki, hogy 'Azure Active Directory'

      

  2. A bal oldali panelen menjünk az Alkalmazásregisztrációk menüpontra, majd kattintsunk az Alkalmazás regisztrálása gombra.

      

  3. Adjuk meg az API nevét (pl. PassMan), valamint a releváns adatokat. Az átirányítási URI akkor szükséges, ha interaktív autentikációt akarunk.

API engedélyeinek beállítása

  1. Legyünk belépve az Azure portálra: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade
  2. A bal panelen menjünk ide: Alkalmazásregisztrációk, majd válasszuk ki az alkalmazásunkat
  3. Most bal oldalt ezt válasszuk: API-engedélyek.

      

  4. Menjünk az Engedély hozzáadása fülre.

           


       5. Válasszuk ki a Microsoft Graph pontot, majd ezen belül az Alkalmazásengedélyek opciót.

           

           


       6. Két engedélyt kell kiválasztanunk: az egyik a Directory / Directory.Read.All, a másik pedig a User / User.Read.All

              

           


       7. Miután kiválasztottuk ezeket, kattintsunk a Rendszergazdai hozzájárulás megadása gombra

           


            *Ha egy megadott jogosultságot vissza akarunk vonni, úgy azt az engedély soránál (annak végén) kell keresnünk, a ' . . . ' opciónál.

           


       8. Még két engedélyt hozzá kell adni az alkalmazáshoz.

          Menjünk ismét az Engedély hozzáadása fülre, válasszuk a Microsoft Graph pontot, és most menjünk a Delegált engedélyek pontra.

          Itt válasszuk ki a  GroupMember / GroupMember.ReadAll  és a  User / User.Read  engedélyeket.


           Miután kiválasztottuk ezeket, kattintsunk a Rendszergazdai hozzájárulás megadása gombra.


       9. Menjünk az alkalmazásunkra, majd a baloldali panelen válasszuk ki a Hitelesítés menüpontot.

           Menjünk legalul a Speciális beállítások szekcióhoz, majd jelöljük be az 'Igen' opciót a Nyilvános ügyfélfolyamatok engedélyezése pontnál:

           


          *Ez azért kell, mert az autentikációs folyamat a public app-on keresztül megy.

API titkos ügyfélkód beállítása

  1. Legyünk belépve az Azure portálra: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade
  2. A bal menüben menjünk ide: Alkalmazásregisztrációk, majd válasszuk ki az alkalmazásunkat, esetünkben a PassMan-t.
  3. Válasszuk ki a baloldali panelen a Tanúsítványok és titkos ügyfélkódok pontot.

     

  4. Lent a Titkos ügyfélkódok szekcióban adhatuk hozzá kódot az alkalmazásunkhoz: + Új titkos ügyfélkódEz lesz a client secret-ünk
    *FIGYELEM! A titkos kód létrehozása után egyből jegyezzük fel az Érték mezőt, mert később ezt már nem lehet lekérdezni!                                                                                                                  

API átirányítási URI megadása

  1. Legyünk belépve az Azure portálra (rendszergazdai joggal): https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade
  2. Bal oldalmenü: Kezelés / Alkalmazásregisztrációk. Kattintsunk az alkalmazásunkra: jelen esetben a PassMan.
  3. Jobb oldalon fent menjünk erre Átirányítási URI azonosítók / Átirányítási URI megadása

      

  4. Válasszuk a Platform hozzáadása pontot. 
      

  5. Így megjelenik egy jobb oldali panel: Platformok konfigurálása. Válasszuk a Web opciót.
  6. Adjuk meg az Átirányítási URI azonosítót (URI: Uniform Resource ID) így: https://PassManURL/redirect/providername

      


  7. A művelet hatására az URI a listánkba kerül. Ezek az átírányítási URI-k a kuka jellel törölhetők.

      

  8. Végül a Mentés gombot is meg kell nyomnunk a lap tetején!

           


SAML2 autentikáció beállítása Azure-ban

Az Azure-ban lehetőség van SAML2 autentikációjú app-ot létrehozni. Ehhez továbbra is az Azure Active Directory szekcióban kell lennünk:

           


  1. Bal oldalt a Kezelés menüpontjainál válasszuk a Vállalati alkalmazások lehetőséget (SAML2 csak ilyen típusú app-nak adható)
      

  2. A fent megjelent új opciók közül válasszuk ezt: Új alkalmazás, majd Saját alkalmazás létrehozása:

           

           

       3. A jobb oldali panelen nevezzük el az alkalmazásunkat (hagyjuk meg a 3. opciót), majd Létrehozás:

            


       4. Kis idő után létrejön az applikáció, adjunk hozzá felhasználókat (az SSO autentikációval létrejött app-al csak az tud bejelentkezni, akit ide felveszünk).

            


       5. Balra a panelen vállaszuk az Egyszeri bejelentkezés (Single sign-on) pontot:

            


        6. Itt válasszuk a SAML opciót:

            


       7. A SAML alapkonfiguráció pontban állítsuk be ezeket a változókat: AzonosítóVálasz URL,Bejelentkezési URL a PASSMAN_URL/api/authorize/saml2/PROVIDER_NAME -re.

            



        8. Az Attribútumok és jogcímek pontban győződjünk meg róla, hogy a name vagy Egyedi felhasznói azonosító (UPN) meg van-e adva.

            Ha a name van megadva, akkor győződjünk meg arról, hogy upn formátumban kapjuk vissza.

            


SAML2 autentikáció beállítása Padmin-ban


       1. Menjünk ide: System Settings / Authentication

          


        2. A NEW gomb segítségével vegyünk fel Azure AD Providert.

         


         3. Kapcsoljuk be az opciót: Use SAML auth (pipa legyen), így egyéb mezők is megjelennek majd:

         

         

        4. Töltsük ki a Ki/ bejelentkezési URL-t, és az Azure szolgáltatás azonosítóját.


            


         Az értékek Azure-ból tudjuk kimásolni:

                         


         5. Most töltsük be a tanúsítványt:

            
            

          A SAML-aláíró tanúsítvány pontból töltsük le a Tanúsítvány (base64) állományt.

            

          Annak tartalmát húzzuk rá pl. egy megnyitott Notepad(++) lapra.

          Végül a törzs-szöveget (fejlécek nélkül) másoljuk be a Padmin-ban található IdP Signature certificate* mezőbe.

            

          6. Töltsük ki a 'név adatokat' is:

              

             

             Melyeket az Attribútumok és jogcímek részlegből olvashatunk ki (szerkesztés)

              


            A Padminban bekért 5 adat mindegyikét megtalálhatjuk az Azure szerkesztési nézetében:

            További jogcímek / Jogcím neve listában:       

              

        

            A Padminban a UPN SAML2 attribute name* mezőbe pl. az utolsó előtti sorban látható jogcímet (URL-t) másoljuk


Ha minden kötelező mezőt kitöltöttünk, úgy a SAVE gombbal mentsük el az új Providert. Innentől a Padmin megőrzi az adatait.


Az Authentication group-ban megadott tagság alapján fog validálni a PassMan bejelentkezés,

Ahhoz, hogy Azure AD (Active Directory) alapján tudjuk hitelesíteni a PassMan belépést, az Azure portálra kell hozzáféréssel rendelkeznünk (https://portal.azure.com/)