Active Directory Connector
Konektor služby Active Directory (AD) umožňuje uživatelům ověřovat se v Team Assistant pomocí LDAP AD nebo Azure AD .
Ověřování LDAP AD
Požadavky
Chcete-li povolit ověřování LDAP, potřebujete:
- Přístup k serveru Active Directory
- Hlavní uživatel s přístupem pro čtení k AD
- Pověření hlavního uživatele
Nastavení v Team assistant
- Přejděte do Administrace > Autentizace > Přidat nový
- Jako modul vyberte LDAP
- Upravte předdefinovaný skript s podrobnostmi o vaší AD:
{
"logoutParams": { "url": "/authenticate" },
"ldap": {
"server": "192.168.0.0",
"port": "389",
"rdn": "CN=Users,DC=Test,DC=CZ",
"people": "CN=Users,DC=Test,DC=CZ",
"principalUser": "CN=administrator,CN=Users,DC=Test,DC=CZ",
"principalPassword": "pass",
"loginSuffix": "@test.ad.cz",
"userFilter": "(&(objectClass=user)(!(userAccountControl:1.2.840.113516.1.4.803:=2)))",
"loginAttr": "sAMAccountName",
"externalId": "objectGUID",
"timeout": 10000
},
"config": {
"createUser": true,
"updateOnLogin": false,
"updatePostInstructions": [],
"adUserMiddleware": "",
"useCompetenceRules": false,
"recursiveMemberOf": false
}
}Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).
Azure AD Authentication
Požadavky
Chcete-li používat ověřování Azure AD , musí klient zaregistrovat Team Assistant na portálu Azure AD a nakonfigurovat ověřování.
Nastavení na portálu Azure AD
- Zaregistrujte aplikaci podle pokynů společnosti Microsoft s oprávněním User.Read .
- Ujistěte se, že aplikace má:
- Je definována adresa URL zpětného volání
- Přístupové tokeny povoleny (pro profilové obrázky)
- ID tokeny povoleny (pro ověření přihlášení)
https://backend_address/auth/azure-ad/callback/authentication_module_id
Tato adresa URL může v závislosti na prostředí obsahovat/api. Zkontrolujte svou backendovou adresu URL ve Vývojářské konzoli (F12). - V
local.jsse ujistěte, že je správně nastaven název hostitele (backendová adresa URL).
Nastavení v Team assistant
- Přejděte do Administrace > Autentizace > Přidat nový
- Jako modul vyberte Azure AD
- Upravte předdefinovaný skript s podrobnostmi o službě Azure AD:
{
"logoutParams": { "url": "/authenticate" },
"tenantID": "Azure tenant id",
"clientID": "Azure client id",
"responseType": "id_token token",
"responseMode": "form_post",
"scope": [ "profile", "email", "openid" ],
"includeUserProfilePicture": true,
"allowHttpForRedirectUrl": false,
"postAuthInstructions": [
"const name = Holder.getTextProperty('name');",
"const email = Holder.getTextProperty('email');",
"const photo = Holder.getTextProperty('photo');",
"const userExternalId = Holder.getTextProperty('oid');",
"const userExternalSource = Holder.getTextProperty('source');",
"const username = email;",
"const [ firstName, ...lastNames ] = Holder.getTextProperty('name').split(' ');",
"const user = identity.findOrCreateUser(username, firstName, lastNames.join(' '));",
"user.USER_EMAIL = email;",
"user.USER_PHOTO = photo;",
"user.USER_EXTERNAL_SOURCE = userExternalSource;",
"user.EXTERNAL_ID = userExternalId;",
"return identity.store(user);"
]
}Poznámka: Před uložením skriptu odstraňte všechny komentáře (//).
Odstraňování problémů
Běžné problémy a řešení
Problém | Příčina | Řešení |
Přihlášení se nezdaří s AADDSTS90102 | Nesprávné | Ujistěte se, že je backendová adresa URL správně nastavena v |
Uživatelé nebyli nalezeni v LDAP | Nesprávný hlavní uživatel nebo uživatelský filtr | Ověřte přihlašovací údaje a konfiguraci filtru |
Profilové obrázky se nesynchronizují |
| Změňte to na |
