Benvenuti nella guida completa su come configurare Azure AD per operare come fornitore di accesso unico (SSO) per ForceManager. Questa procedura utilizza Azure come server OAuth 2.0 con OpenID..
Passaggio 1: Comprensione di Azure AD OAuth 2.0 e OpenID
Azure AD implementa i protocolli OAuth 2.0 e OpenID, semplificando l'autenticazione sicura degli utenti all'interno del proprio dominio. Per una comprensione più approfondita, consultare la documentazione di Azure sui protocolli OAuth 2.0 e OpenID protocols.
Passaggio 2: Configurazione dell'applicazione enterprise di ForceManager CRM
Il cuore del flusso SSO risiede all'interno di un'applicazione enterprise registrata in Azure AD, identificata dall'ID oggetto: 4ad44451-9a99-44a1-adb7-f7a05ceef577.
Questa applicazione, situata sotto "Applicazioni enterprise", richiede l'accesso a ambiti di sicurezza chiave (OpenId, Email, Profilo, User.Read) essenziali per il funzionamento. L'autorizzazione può essere concessa da ciascun utente o dagli amministratori di dominio per tutti o alcuni utenti di dominio.
È possibile trovare ulteriori informazioni sulla necessità degli ambiti di sicurezza e sulla loro necessità in questa pagina https://learn.microsoft.com/en-us/azure/active-directory/develop/scopes-oidc#openid-connect-scopes
Passaggio 3: Convalida dell'email dell'utente
Convalidare l'email dell'utente è cruciale per garantire che l'email utilizzata per il SSO sia di proprietà dell'utente.
Questo viene realizzato tramite lo scope User.Read (https://graph.microsoft.com/User.Read) le informazioni sulla necessità di questo scope possono essere trovate qui: https://learn.microsoft.com/en-us/graph/permissions-reference#remarks-16 e qui https://learn.microsoft.com/en-us/graph/permissions-reference#user-permissions
Passaggio 4: Accesso iniziale all'applicazione
Nota bene, l'applicazione ForceManager CRM sarà visibile solo nell'elenco delle applicazioni enterprise dopo che un utente ha richiesto per la prima volta l'accesso SSO.
Se sono applicate restrizioni di dominio, un amministratore di dominio deve autorizzare inizialmente l'applicazione, accessibile tramite questo link.
Passaggio 5: Configurazione dell'amministratore di Azure AD
Azure AD fornisce un controllo granulare sull'accesso all'applicazione, consentendo la configurazione per l'accesso generale a tutte le applicazioni enterprise o su base per-applicazione. Questa configurazione può essere regolata nel portale delle impostazioni utente di Azure.
Concessione dell'accesso all'applicazione:
Accesso generale:
Se l'opzione "Gli utenti possono registrare applicazioni" è impostata su "sì", allora un amministratore non deve fare nulla di più affinché un utente specifico esegua il SSO con ForceManager.
Approvazione dell'amministratore:
Se questa opzione è impostata su "No", allora un amministratore deve approvare l'accesso per conto degli utenti.
Questo accesso può essere effettuato nei seguenti modi.
Concedere l'accesso a tutto il dominio
Un amministratore può accedere a ForceManager utilizzando il link https://be-pro.forcemanager.net/scim/ e autorizzare l'intero dominio durante il processo di autorizzazione.
Concedere l'accesso su base individuale per utente o basato su regole
Dopo aver accesso per la prima volta all'applicazione ForceManager CRM, l'applicazione apparirà sotto "Applicazioni enterprise" nel menu Azure AD.
Finalizzazione della configurazione:
Dopo aver cercato ForceManager CRM e selezionato l'app. L'amministratore avrà accesso alle seguenti opzioni:
Tipi di configurazione
Le diverse modalità per configurare l'accesso all'applicazione sono:
Configurazione self-service
Utenti e gruppi
Consentire esplicitamente un insieme di utenti o gruppi
Accesso condizionale
Configurare qualsiasi tipo di accesso condizionale supportato da Azure AD