Jak nastavit Single Sign On (SSO) s Microsoft Entra

Funkce 'Single Sign On' poskytuje vaší společnosti bezpečnější prostředí tím, že zvyšuje zabezpečení přístupu k vašim projektům v Daluxu. Tato funkce vám umožňuje řídit, jak uživatelé vaší organizace přistupují k projektům — nabídnout jim možnost nebo vyžadovat použití SSO.

Tento článek popisuje, jak nastavit SSO pro vaše projekty pomocí Microsoft Login (MS Entra, dříve AzureAD).

Přihlášení musí být odsouhlaseno jak Daluxem, tak zákaznickou organizací, aby se uživatelé mohli přihlašovat pomocí Microsoft Login.

Možnosti konfigurace

Při nastavování SSO máte různé možnosti, jak řídit zobrazení přihlášení pro uživatele vaší organizace. V každém případě musí být Dalux zaregistrován v Microsoft Entra, než budete moci Daluxu poskytnout požadované informace pro nastavení.

Pokud chcete používat skupiny Microsoft Entra k řízení oprávnění uživatelů v Dalux HelpDesk, Operations & Maintenance nebo BIM & Documentation, ujistěte se, že je Dalux registrován jako 'Multitenant'.

Microsoft administrátor s přístupem do Daluxu

1. Dalux povoluje Microsoft Login pro doménu zákazníka
2. Administrátor s odpovídajícím přístupem v Microsoft Entra se přihlásí do Daluxu. Zde budou vyzváni, aby udělili přístup všem uživatelům organizace.
3. (Volitelné) Pokud nebyl při prvním Microsoft Login do Daluxu udělen souhlas administrátora, aplikaci Dalux najdete v sekci 'Applications' v Microsoft Entra. Administrátor může následně udělit souhlas zde.
4. V Daluxu definujte zásadu přihlašování organizace.

Microsoft administrátor bez přístupu do Daluxu

1. Dalux povoluje Microsoft Login pro doménu zákazníka
2. Správce Daluxu organizace definuje zásadu přihlašování organizace
3. Správce Microsoftu udělí aplikaci souhlas v sekci 'Applications' v Microsoft Entra.

Aktivovat žádosti o schválení

Můžete se rozhodnout, zda chcete udělit souhlas obecně pro uživatele vaší organizace, nebo zda má souhlas udělovat revidující osoba jednotlivě.

K tomu povolte v Microsoft Entra žádosti o souhlas a přidejte alespoň jeden typ revidující osoby. Tímto způsobem, když se uživatel pokusí přihlásit pomocí Microsoft Login, zobrazí se mu formulář žádosti o schválení:

Revidující osoba může následně v Microsoft Entra tuto žádost pro daného uživatele schválit nebo zamítnout.

Informace, které je třeba poskytnout Daluxu

Dalux podporuje Single-Sign-On (SSO) přes OAuth2.0 prostřednictvím Microsoft Entra a Microsoft Graph. Požádejte o aktivaci kontaktováním vašeho konzultanta Dalux a poskytněte následující informace:

• Aktivace SSO: Informujte svého konzultanta, že chcete aktivovat SSO pro vaši organizaci.
• Domény: Uveďte domény, pro které chcete aktivovat SSO, a poskytněte DNS TXT záznam pro Dalux (DALUX=COXXXXXX), aby bylo možné identifikovat správce registrované domény.
• Název vaší organizace v Daluxu (Profil společnosti)

Správa zásad přihlášení

Můžete určit, jak se uživatelé vaší organizace mohou přihlašovat do Daluxu. Je možné nakonfigurovat doménu jako „pouze SSO“, což znamená, že uživatelům registrovaným s e-mailem z této domény bude povolen přístup do Daluxu pouze po úspěšné autentizaci v AD. Tím zabráníte, aby uživatelé měli v Daluxu samostatná hesla.

Tuto možnost ovládáte v následujícím nastavení. Pro Field, Box, Tender nebo Handover přejděte do

Profily společností Vyberte svou společnost Nastavení 'Spravované domény'

Pro HelpDesk, Operations & Maintenance nebo BIM & Documentation přejděte do

NastaveníIntegrace'Nastavení domény'

Vyberte doménu připojenou k vaší organizaci a zvolte její 'Login policy'.

• Vyžadovat AD: Vyžaduje, aby se uživatelé přihlašovali pomocí svého Microsoft přihlášení
• AD i DaluxID: Uživatelé si mohou vybrat přihlášení pomocí Microsoft Login nebo svého účtu Dalux.

Správa uživatelů v Dalux FM pomocí Entra

Správa oprávnění uživatelů

Dalux FM vám umožňuje spravovat uživatelské skupiny v Daluxu pomocí skupin z Microsoft Entra. Tímto můžete spravovat oprávnění uživatelů ve vašem AD, která se budou synchronizovat s Daluxem.

Ujistěte se, že vaše uživatelské skupiny v Dalux FM jsou správně nastaveny, a přejděte do

NastaveníIntegraceAzure AD

Zkopírujte 'Client Id' a 'Tenant Id' z Microsoft Entra a vložte 'Client Secret' do zobrazeného okna, poté klikněte na 'Uložit'. Pouze po uložení se služba pokusí navázat připojení. Pokud je připojení úspěšné, zobrazí se možnosti mapování Microsoft skupin, Dalux skupin a regionů.

Mapování vašich skupin AD s uživatelskými skupinami a uživatelskými regiony umožňuje, aby se skupina AD namapovala na jednu uživatelskou skupinu a region v Daluxu. Neumožňuje mapování na více kombinací. Můžete namapovat více AD skupin na stejnou Dalux uživatelskou skupinu a region.

Při zadávání názvu skupiny AD můžete kliknout na 'Validate', abyste se ujistili, že Dalux skupinu najde ve vašem adresáři.

Nové Dalux uživatelské skupiny nebo AD skupiny se zobrazí okamžitě a lze je mapovat; synchronizace se provádí každou noc, takže změny se v Daluxu projeví do jednoho dne.

Aktualizace informací o uživateli

Když se uživatel autentizuje přes Microsoft Entra, může být lokální uživatelský profil v Daluxu aktualizován následujícími hodnotami z Microsoft Graph API (user.read):

• Uživatel.email -> E-mail
• Uživatel.givenName -> Jméno
• Uživatel.surname -> Příjmení
• Uživatel.companyName -> Společnost
• Uživatel.mobilePhone -> Telefon

Tato data v Daluxu jsou přepsána záznamy provedenými ve vašem adresáři. Pokud je hodnota ve vašem adresáři prázdná, data v Daluxu zůstanou zachována.