Merk
Denne artikkelen er ment for systemadministratorer med antatt erfaring med Microsoft Entra.
Dalux tilbyr ikke noen veiledning på hvordan man konfigurerer Microsoft Entra.
Single Sign On er kun tilgjengelig for prosjekter med Pro-lisens og firmaprofilavtale.
Funksjonen 'Single Sign On' lar firmaet ditt ha et sikrere miljø ved å gi økt sikkerhet angående tilgang til dine Dalux-prosjekter. Med denne funksjonen kan du kontrollere hvordan din organisasjons brukere får tilgang til prosjekter ved å gi dem valgmuligheten eller kreve at de bruker SSO.
Denne artikkelen vil gå gjennom hvordan man setter opp SSO for dine prosjekter ved å bruke Microsoft Login (MS Entra, tidligere AzureAD).
Pålogging må avtales mellom både Dalux og kundens organisasjon for å tillate brukere å logge inn med sin Microsoft-pålogging.
Konfigurasjonsvalg
Ved å sette opp SSO har du forskjellige alternativer for å kontrollere hvordan påloggingen skal se ut for din organisasjons brukere. I alle tilfeller må Dalux være registrert i Microsoft Entra før du kan gi Dalux den nødvendige informasjonen til oppsettet.
Les mer
Du finner en veiledning om hvordan du registrerer applikasjoner her: https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app
Hvis du vil bruke Microsoft Entra-grupper til å administrere brukerrettigheter i Dalux HelpDesk, Drift & Vedlikehold, eller BIM & Dokumentasjon, sørg for å registrere Dalux som 'Multitenant'.
Microsoft-administrator med Dalux-tilgang
- Dalux aktiverer Microsoft-pålogging for kundens domene
- En administrator med passende tilgang i Microsoft Entra logger inn i Dalux. Her blir de bedt om å gi tilgang til alle organisasjonens brukere.
- (Valgfritt) Hvis administratorkonsent ikke ble gitt ved første Microsoft-pålogging til Dalux, kan Dalux-applikasjonen finnes i "Applikasjoner" i Microsoft Entra. Administratoren kan deretter gi samtykke derfra.
- Definer organisasjonens påloggingspolicy i Dalux.
Microsoft-administrator uten Dalux-tilgang
- Dalux aktiverer Microsoft-pålogging for kundens domene
- Organisasjonens Dalux-administrator definerer organisasjonens påloggingspolicy
- Microsoft-administratoren gir samtykke til applikasjonen i Microsoft Entras "Applikasjoner".
Aktiver godkjenningsforespørsler
Du kan bestemme om du vil gi tillatelse for organisasjonens brukere generelt, eller om en revisor skal gi samtykke individuelt.
For å gjøre dette, aktiver samtykkeforespørsler i Microsoft Entra og legg til minst en revisortype. På denne måten vil brukeren få en forespørsel om godkjenning når de prøver å logge inn med Microsoft-pålogging:
Revisoren kan deretter godkjenne eller avslå forespørselen for denne brukeren i Microsoft Entra.
Informasjon å gi til Dalux
Dalux støtter Single-Sign-On (SSO) over OAuth2.0 via Microsoft Entra og Microsoft Graph. Be om aktivering ved å kontakte din Dalux-konsulent og gi følgende informasjon:
- SSO-aktivering: La din konsulent vite at du ønsker å aktivere SSO for organisasjonen din.
- Domener: Oppgi domenene du vil aktivere SSO for, og gi DNS TXT-posten for Dalux (DALUX=COXXXXXX) for å identifisere som kontrolleren av det registrerte domenet.
- Navn på organisasjonen din i Dalux (Firmaprofil)
Administrere påloggingspolicyer
Du kan spesifisere hvordan din organisasjons brukere kan logge inn i Dalux. Det er mulig å konfigurere et domene som "kun SSO", noe som betyr at brukere som er registrert med en e-post fra domenet kun vil få adgang til Dalux etter vellykket autentisering av AD. Dette vil forhindre brukere i å ha separate passord i Dalux.
Du kontrollerer dette alternativet i følgende innstillinger. For Field, Box, Tender, eller Handover, gå til
Firmaprofiler
Velg firmaet ditt
Innstillinger
'Administrerte domener'
Velg et domene som er koblet til organisasjonen din og velg dens 'Påloggingspolicy'.
- Krev AD: Krever at brukerne logger inn med sin Microsoft-pålogging
- Både AD og DaluxID: Brukerne kan velge å logge inn med Microsoft-pålogging eller sin Dalux-konto.
For Helpdesk, Operations & Maintenance, eller BIM & Dokumentasjon: Kontakt din lokale CSM.
Brukeradministrasjon i Dalux FM med Entra
Administrere brukerrettigheter
Dalux FM lar deg administrere dine Dalux-brukergrupper med grupper fra innenfor Microsoft Entra. Med dette kan du administrere brukerrettigheter i din AD, som vil synkroniseres med Dalux.
Merk
Sørg for at Dalux kan få tilgang til informasjonen i Microsoft Entras 'Applikasjoner'. Dalux bør ha leserettigheter til user.read.all og til group.read.all.
Sørg for at brukergruppene dine i Dalux FM er riktig satt opp, og naviger til
Innstillinger
Integrasjoner
Azure AD
Kopier 'Klient-ID' og 'Leietaker-ID' fra Microsoft Entra og skriv inn 'Client Secret'' i det kommende vinduet, og klikk deretter 'Lagre'. Først etter lagring vil tjenesten forsøke å koble til. Hvis tilkoblingen lykkes, vil de aktuelle kartleggingsalternativene for Microsoft-grupper, Dalux-grupper og Brukerområder vises.
Kartlegging av dine AD-grupper med brukergrupper og brukerområder tillater en AD-gruppe å kartlegge til en enkelt Dalux-brukergruppe og -område. Det tillater ikke kartlegging til flere kombinasjoner. Du kan kartlegge flere AD-grupper til samme Dalux-brukergruppe og -område.
Når du skriver inn navnet på AD-gruppen, kan du klikke på 'Validate' for å forsikre deg om at Dalux finner gruppen i katalogen din.
Nye Dalux-brukergrupper eller AD-grupper vises umiddelbart og kan kartlegges, synkronisering utføres hver natt, slik at endringer tar en dag å vises i Dalux.
Oppdater brukerinformasjon
Når en bruker autentiserer via Microsoft Entra, kan den lokale Dalux-brukerprofilen oppdateres med følgende verdier fra Microsoft Graph API (user.read):
- User.email -> Email
- User.givenName -> Name
- User.surname -> Name
- User.companyName -> Company
- User.mobilePhone -> Phone
Denne dataen i Dalux blir overskrevet av oppføringer gjort i katalogen din. Hvis verdien i katalogen din er tom, beholdes dataen i Dalux.
Merk
Synkronisering av brukere vil ta opptil en virkedag, så endringer vil kanskje ikke være synlige umiddelbart.
ADVARSEL
Når du deaktiverer en bruker i din AD og du har satt opp domenet ditt som 'Både AD og DaluxID', kan brukeren fortsatt få tilgang til Dalux-prosjektet ditt. Sørg for å fjerne dem fra grupper i Dalux også.