Active Directory Connector

Konektor služby Active Directory (AD) umožňuje uživatelům ověřovat se v Team Assistant pomocí LDAP AD nebo Azure AD .

Ověřování LDAP AD

Požadavky

Chcete-li povolit ověřování LDAP, potřebujete:

  • Přístup k serveru Active Directory
  • Hlavní uživatel s přístupem pro čtení k AD
  • Pověření hlavního uživatele

Nastavení v Team assistant

  1. Přejděte do Administrace > Autentizace > Přidat nový
  2. Jako modul vyberte LDAP
  3. Upravte předdefinovaný skript s podrobnostmi o vaší AD:
{
 "logoutParams": { "url": "/authenticate" },
 "ldap": {
 "server": "192.168.0.0",
 "port": "389",
 "rdn": "CN=Users,DC=Test,DC=CZ",
 "people": "CN=Users,DC=Test,DC=CZ",
 "principalUser": "CN=administrator,CN=Users,DC=Test,DC=CZ",
 "principalPassword": "pass",
 "loginSuffix": "@test.ad.cz",
 "userFilter": "(&(objectClass=user)(!(userAccountControl:1.2.840.113516.1.4.803:=2)))",
 "loginAttr": "sAMAccountName",
 "externalId": "objectGUID",
 "timeout": 10000
 },
 "config": {
 "createUser": true,
 "updateOnLogin": false,
 "updatePostInstructions": [],
 "adUserMiddleware": "",
 "useCompetenceRules": false,
 "recursiveMemberOf": false
 }
 }

Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).

Azure AD Authentication

Požadavky

Chcete-li používat ověřování Azure AD , musí klient zaregistrovat Team Assistant na portálu Azure AD a nakonfigurovat ověřování.

Nastavení na portálu Azure AD

  1. Zaregistrujte aplikaci podle pokynů společnosti Microsoft s oprávněním User.Read .
  2. Ujistěte se, že aplikace má:
    • Je definována adresa URL zpětného volání
    • Přístupové tokeny povoleny (pro profilové obrázky)
    • ID tokeny povoleny (pro ověření přihlášení)
    Formát adresy URL zpětného volání:
    https://backend_address/auth/azure-ad/callback/authentication_module_id
    Tato adresa URL může v závislosti na prostředí obsahovat /api . Zkontrolujte svou backendovou adresu URL ve Vývojářské konzoli (F12).
  3. V local.js se ujistěte, že je správně nastaven název hostitele (backendová adresa URL).

Nastavení v Team assistant

  1. Přejděte do Administrace > Autentizace > Přidat nový
  2. Jako modul vyberte Azure AD
  3. Upravte předdefinovaný skript s podrobnostmi o službě Azure AD:
{
 "logoutParams": { "url": "/authenticate" },
 "tenantID": "Azure tenant id",
 "clientID": "Azure client id",
 "responseType": "id_token token",
 "responseMode": "form_post",
 "scope": [ "profile", "email", "openid" ],
 "includeUserProfilePicture": true,
 "allowHttpForRedirectUrl": false,
 "postAuthInstructions": [
 "const name = Holder.getTextProperty('name');",
 "const email = Holder.getTextProperty('email');",
 "const photo = Holder.getTextProperty('photo');",
 "const userExternalId = Holder.getTextProperty('oid');",
 "const userExternalSource = Holder.getTextProperty('source');",
 "const username = email;",
 "const [ firstName, ...lastNames ] = Holder.getTextProperty('name').split(' ');",
 "const user = identity.findOrCreateUser(username, firstName, lastNames.join(' '));",
 "user.USER_EMAIL = email;",
 "user.USER_PHOTO = photo;",
 "user.USER_EXTERNAL_SOURCE = userExternalSource;",
 "user.EXTERNAL_ID = userExternalId;",
 "return identity.store(user);"
 ]
 }

Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).

Odstraňování problémů

Běžné problémy a řešení

Problém

Příčina

Řešení

Přihlášení se nezdaří s AADDSTS90102

Nesprávné redirect_uri

Ujistěte se, že je backendová adresa URL správně nastavena v local.js

Uživatelé nebyli nalezeni v LDAP

Nesprávný hlavní uživatel nebo uživatelský filtr

Ověřte přihlašovací údaje a konfiguraci filtru

Profilové obrázky se nesynchronizují

includeUserProfilePicture nastaven na false

Změňte to na true ve skriptu Azure AD

Konfigurace autentizačních modulů

Contact

Team assistant (opens in a new tab)

Powered by HelpDocs (opens in a new tab)