Info

Microsoft Office365 - cloudová aplikace. Identity jsou spravované přes Graph API.

Není nasazeno do produkce. Akuálně udržováno vehementem od Microsoftu (zdrojem dat jsou staré LDAPy, pouští se několikrát denně).

Konektor:

• git repozitář: connector-msgraph
• drobné patche na závislosti
• hlavní změny mergované v upstramu (optimalizace, opravy, podpora licencí)

Resource: Office365

Přes Graph API nelze spravovat emaily. Nastavování přesměrování ve skriptech mimo režii IdM.

Model

Osoby

Zaměstnanci, studenti, rozšířená hostovská konta (je vyžadováno CRO ID).

Primární klíče:

• __NAME__ - LOGIN@DOMAIN
• onPremisesImmutableId - CRO ID (nikdy se nesmí měnit)
• userPrincipalName - LOGIN

Postup přidání přístupu pro hostovské konto:

1. přidělit CRO ID
2. zařadit do skupiny gapps (pak i google) nebo office365

Povolení/blokace: 1:1 podle identity v midPointu

Přejmenování: potřeba ruční zásah kolem správy emailů. Původní email je u přejmenovávané identity ponechán. (TODO: čistit to ve skriptech mimo?)

Fyzické mazání: Po smazání je identita v koši po dobu 1 měsíce. Po tuto dobu ji nelze znovuzaložit automaticky přes Graph API. Lze ji obnovit přes administrátorské rozhraní Office 365, anebo smazat vývojovými administrátorskými nástroji (koš nelze vysypat přes midPoint - umí to Graph API, ale identity mají divoké identifikátory).

Atributy:

• mail: LOGIN@DOMENA, jen přo zakládání, ale nelze spravovat přes Graph API

Skupiny

Stejně skupiny jako jinde.

Licence

Read-only identity. V midPointu použito pro výpočty atributů pro přidělováné licencí (technicky: jde o "ruční" query, nelze použít přímo asociace na resourcu).

Licence se skládá z jednotlivých aplikací.

Pro každou licenci lze nastavit globální vyjímku pro nějakou aplikaci. Ale nelze nastavovat různé vyjímky pro každého uživatele (technicky: přes Graph API to lze, ale vedlo by to na strukturovaný atribut u uživatele, což nelze).