Kako nastaviti Single Sign On (SSO) z Microsoft Entra

Funkcija 'Single Sign On' omogoča vašemu podjetju varnejše okolje z večjo varnostjo pri dostopu do vaših Dalux projektov. S to funkcijo lahko nadzorujete, kako uporabniki vaše organizacije dostopajo do projektov, tako da jim omogočite možnost ali pa zahtevate uporabo SSO.

V tem članku je opisano, kako nastaviti SSO za vaše projekte z uporabo Microsoft Login (MS Entra, prej AzureAD).

Prijava mora biti dogovorjena tako s strani Dalux kot tudi organizacije uporabnika, da lahko uporabniki uporabljajo Microsoft vpis.

Možnosti konfiguracije

Pri nastavitvi SSO imate različne možnosti, s katerimi lahko določite, kako naj prijava izgleda za uporabnike vaše organizacije. V vsakem primeru mora biti Dalux registriran v Microsoft Entra, preden lahko Daluxu posredujete zahtevane informacije za nastavitev.

Če želite uporabljati skupine Microsoft Entra za upravljanje dovoljenj uporabnikov v Dalux HelpDesk, Operations & Maintenance ali BIM & Documentation, se prepričajte, da ste Dalux registrirali kot 'Multitenant'.

Microsoft skrbnik z dostopom do Dalux

1. Dalux omogoča Microsoft vpis za domeno stranke
2. Administrator z ustreznim dostopom v Microsoft Entra se prijavi v Dalux. Tu je pozvan, da podeli dostop vsem uporabnikom organizacije.
3. (Neobvezno) Če administratorjeva privolitev ni bila dodeljena ob prvi Microsoft prijavi v Dalux, se aplikacija Dalux najde lahko v 'Applications' v Microsoft Entra. Administrator lahko nato tam podeli privolitev.
4. V Daluxu določite politiko prijave vaše organizacije.

Microsoft skrbnik brez dostopa do Dalux

1. Dalux omogoča Microsoft vpis za domeno stranke
2. Daluxov administrator organizacije določi politiko prijave organizacije
3. Microsoft skrbnik podeli privolitev aplikaciji v 'Applications' v Microsoft Entra.

Aktiviraj zahteve za odobritev

Odločite se lahko, ali želite podeliti privolitev za vse uporabnike organizacije nasploh ali da pregledovalec podeli privolitve posamično.

Za ta namen mogočite zahteve za privolitev v Microsoft Entra in dodajte vsaj eno vrsto pregledovalca. Na ta način, ko se uporabnik poskuša prijaviti z Microsoft vpisom, se mu prikaže obrazec z zahtevo za odobritev:

Pregledovalec lahko nato v Microsoft Entra odobri ali zavrne zahtevo za tega uporabnika.

Informacije, ki jih morate posredovati Daluxu

Dalux podpira Single-Sign-On (SSO) prek OAuth2.0 preko Microsoft Entra in Microsoft Graph. Zahtevajte aktivacijo tako, da kontaktirate svojega dodeljenega Dalux svetovalca in mu posredujete naslednje informacije:

• Aktivacija SSO: Obvestite svojega svetovalca, da želite aktivirati SSO za vašo organizacijo.
• Domene: Navedite domene, za katere bi želeli aktivirati SSO, in posredujte DNS TXT zapis za Dalux (DALUX=COXXXXXX), da se identificira kot upravljavec registrirane domene.
• Ime vaše organizacije v Dalux (Profil podjetja)

Upravljanje pravil prijave

Določite lahko, kako se lahko uporabniki vaše organizacije prijavijo v Dalux. Možno je konfigurirati domeno kot »izključno SSO«, kar pomeni, da bodo uporabniki, registrirani z e-pošto iz te domene, imeli dostop do Dalux le po uspešni avtentikaciji v AD. To bi preprečilo, da bi uporabniki imeli ločena gesla v Daluxu.

To možnost nadzorujete v naslednjih nastavitvah. Za Field, Box, Tender ali Handover pojdite na

Profil podjetja Izberite svoje podjetje Nastavitve 'Managed domains'

Za Helpdesk, Operations & Maintenance ali BIM & Documentation pojdite na

NastavitveIntegracije'Nastavitve domene'

Izberite domeno, povezano z vašo organizacijo, in izberite njen 'Pravila prijave'.

• Require AD: Zahteva, da se uporabniki prijavijo z Microsoft vpisom
• Oboje AD ter DaluxID: Uporabniki se lahko odločijo za prijavo z Microsoft vpisom ali svojim Dalux računom.

Upravljanje uporabnikov v Dalux FM z Entra

Upravljanje dovoljenj uporabnikov

Dalux FM vam omogoča upravljanje uporabniških skupin v Dalux z uporabo skupin iz Microsoft Entra. S tem lahko upravljate dovoljenja uporabnikov v vašem AD, ki se bodo sinhronizirala z Daluxom.

Prepričajte se, da so vaše uporabniške skupine v Dalux FM pravilno nastavljene ter pojdite na

NastavitveIntegracijeAzure AD

Kopirajte 'Client Id' in 'Tenant Id' iz Microsoft Entra ter v pojavnem oknu vnesite 'Client Secret', nato kliknite 'Shrani'. Šele po shranjevanju bo storitev poskusila vzpostaviti povezavo. Če je bila povezava uspešna, se bodo prikazale dejanske možnosti preslikave Microsoftovih skupin, Daluxovih skupin in regij.

Preslikava vaših AD skupin z uporabniškimi skupinami in regijami uporabnikov omogoča, da se AD skupina preslika na eno Dalux uporabniško skupino in regijo. Ne omogoča preslikave na več kombinacij. Lahko preslikate več AD skupin na isto Dalux uporabniško skupino in regijo.

Ko vnesete ime AD skupine, lahko kliknete na 'Validate', da se prepričate, da Dalux najde skupino v vašem imeniku.

Nove Dalux uporabniške skupine ali AD skupine se prikažejo takoj in jih je mogoče preslikati; sinhronizacija se izvaja ponoči, zato spremembe potrebujejo en dan, da se prikažejo v Daluxu.

Posodobi informacije o uporabniku

Ko se uporabnik avtenticira prek Microsoft Entra, se lahko lokalni Dalux uporabniški profil posodobi z naslednjimi vrednostmi iz Microsoft Graph API (user.read):

• Uporabnik.email -> E-pošta
• Uporabnik.givenName -> Ime
• Uporabnik.surname -> Ime
• Uporabnik.companyName -> Podjetje
• Uporabnik.mobilePhone -> Telefon

Ti podatki v Daluxu se prepišejo z vnosi, narejenimi v vašem imeniku. Če je vrednost v vašem imeniku prazna, se podatki v Daluxu obdržijo.