Active Directory Connector

Konektor služby Active Directory (AD) umožňuje uživatelům ověřovat se v Team Assistant pomocí LDAP AD nebo Azure AD .

Ověřování LDAP AD

Požadavky

Chcete-li povolit ověřování LDAP, potřebujete:

  • Přístup k serveru Active Directory
  • Hlavní uživatel s přístupem pro čtení k AD
  • Pověření hlavního uživatele

Nastavení v Team assistant

  1. Přejděte do Administrace > Autentizace > Přidat nový
  2. Jako modul vyberte LDAP
  3. Upravte předdefinovaný skript s podrobnostmi o vaší AD:
{
 "logoutParams": { "url": "/authenticate" },
 "ldap": {
 "server": "192.168.0.0",
 "port": "389",
 "rdn": "CN=Users,DC=Test,DC=CZ",
 "people": "CN=Users,DC=Test,DC=CZ",
 "principalUser": "CN=administrator,CN=Users,DC=Test,DC=CZ",
 "principalPassword": "pass",
 "loginSuffix": "@test.ad.cz",
 "userFilter": "(&(objectClass=user)(!(userAccountControl:1.2.840.113516.1.4.803:=2)))",
 "loginAttr": "sAMAccountName",
 "externalId": "objectGUID",
 "timeout": 10000
 },
 "config": {
 "createUser": true,
 "updateOnLogin": false,
 "updatePostInstructions": [],
 "adUserMiddleware": "",
 "useCompetenceRules": false,
 "recursiveMemberOf": false
 }
 }

Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).

Azure AD Authentication

Požadavky

Chcete-li používat ověřování Azure AD , musí klient zaregistrovat Team Assistant na portálu Azure AD a nakonfigurovat ověřování.

Nastavení na portálu Azure AD

  1. Zaregistrujte aplikaci podle pokynů společnosti Microsoft s oprávněním User.Read .
  2. Ujistěte se, že aplikace má:
    • Je definována adresa URL zpětného volání
    • Přístupové tokeny povoleny (pro profilové obrázky)
    • ID tokeny povoleny (pro ověření přihlášení)
    Formát adresy URL zpětného volání:
    https://backend_address/auth/azure-ad/callback/authentication_module_id
    Tato adresa URL může v závislosti na prostředí obsahovat /api . Zkontrolujte svou backendovou adresu URL ve Vývojářské konzoli (F12).
  3. V local.js se ujistěte, že je správně nastaven název hostitele (backendová adresa URL).

Nastavení v Team assistant

  1. Přejděte do Administrace > Autentizace > Přidat nový
  2. Jako modul vyberte Azure AD
  3. Upravte předdefinovaný skript s podrobnostmi o službě Azure AD:
{
 "logoutParams": { "url": "/authenticate" },
 "tenantID": "Azure tenant id",
 "clientID": "Azure client id",
 "responseType": "id_token token",
 "responseMode": "form_post",
 "scope": [ "profile", "email", "openid" ],
 "includeUserProfilePicture": true,
 "allowHttpForRedirectUrl": false,
 "postAuthInstructions": [
 "const name = Holder.getTextProperty('name');",
 "const email = Holder.getTextProperty('email');",
 "const photo = Holder.getTextProperty('photo');",
 "const userExternalId = Holder.getTextProperty('oid');",
 "const userExternalSource = Holder.getTextProperty('source');",
 "const username = email;",
 "const [ firstName, ...lastNames ] = Holder.getTextProperty('name').split(' ');",
 "const user = identity.findOrCreateUser(username, firstName, lastNames.join(' '));",
 "user.USER_EMAIL = email;",
 "user.USER_PHOTO = photo;",
 "user.USER_EXTERNAL_SOURCE = userExternalSource;",
 "user.EXTERNAL_ID = userExternalId;",
 "return identity.store(user);"
 ]
 }

Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).

Odstraňování problémů

Běžné problémy a řešení

Problém

Příčina

Řešení

Přihlášení se nezdaří s AADDSTS90102

Nesprávné redirect_uri

Ujistěte se, že je backendová adresa URL správně nastavena v local.js

Uživatelé nebyli nalezeni v LDAP

Nesprávný hlavní uživatel nebo uživatelský filtr

Ověřte přihlašovací údaje a konfiguraci filtru

Profilové obrázky se nesynchronizují

includeUserProfilePicture nastaven na false

Změňte to na true ve skriptu Azure AD

Anna Gernát Updated by Anna Gernát

Konfigurace autentizačních modulů

Contact

Team assistant (opens in a new tab)

Powered by HelpDocs (opens in a new tab)