LPS:IdM/midPoint/Office365

Z HelpDesk
< LPS:IdM‎ | midPoint
Verze z 14. 6. 2021, 14:36, kterou vytvořil Valtri (diskuse | příspěvky) (→‎Admin přístup: - testovací prostředí)
Verze k tisku již není podporovaná a může obsahovat chyby s vykreslováním. Aktualizujte si prosím záložky ve svém prohlížeči a použijte prosím zabudovanou funkci prohlížeče pro tisknutí.

Info

Microsoft Office365 - cloudová aplikace. Identity jsou spravované přes Graph API.

Není nasazeno do produkce. Akuálně udržováno vehementem od Microsoftu (zdrojem dat jsou staré LDAPy, pouští se několikrát denně).

Konektor:

  • git repozitář: connector-msgraph
  • drobné patche na závislosti
  • hlavní změny mergované v upstramu (optimalizace, opravy, podpora licencí)

Resource: Office365

Přes Graph API nelze spravovat emaily. Nastavování přesměrování ve skriptech mimo režii IdM.

Admin přístup

  1. https://office365.zcu.cz (testovací: https://login.microsoftonline.com/?whr=zcutest.civ.zcu.cz TODO: lepčí URL?)
  2. Admin Center -> Azure Active Directory -> Azure Active Directory -> App registrations
  3. identita "OpenICF MSGraph Connector" -> Client credentials

==> jako hlavní ID je Application (client) ID

==> jako heslo: secret z Client credentials

==> (lze si zvolit dobu platnosti, v 2021-05-31 zvoleno na 2 roky)

Model

Osoby

Zaměstnanci, studenti, rozšířená hostovská konta (je vyžadováno CRO ID).

Primární klíče:

  • __NAME__ - LOGIN@DOMAIN
  • onPremisesImmutableId - CRO ID (nikdy se nesmí měnit)
  • userPrincipalName - LOGIN

Atributy:

  • mail: LOGIN@DOMENA, jen přo zakládání, ale nelze spravovat přes Graph API

Merge: nelze

Povolení/blokace: 1:1 podle identity v midPointu

Přejmenování: potřeba ruční zásah kolem správy emailů. Původní email je u přejmenovávané identity ponechán. (TODO: čistit to ve skriptech mimo?)

Fyzické mazání: Po smazání je identita v koši po dobu 1 měsíce. Po tuto dobu ji nelze znovuzaložit automaticky přes Graph API. Lze ji obnovit přes administrátorské rozhraní Office 365, anebo smazat vývojovými administrátorskými nástroji (koš nelze vysypat přes midPoint - umí to Graph API, ale identity mají divoké identifikátory).

Skupiny

Udržovány všechny standadní skupiny exportované z midPointu.

Licence

Read-only identity. V midPointu použito pro výpočty atributů pro přidělováné licencí (technicky: jde o "ruční" query, nelze použít přímo asociace na resourcu).

Licence se skládá z jednotlivých aplikací.

Pro každou licenci lze nastavit globální vyjímku pro nějakou aplikaci. Ale nelze nastavovat různé vyjímky pro každého uživatele (technicky: přes Graph API to lze, ale vedlo by to na strukturovaný atribut u uživatele, což nelze).

Postupy

Hostovská konta

Postup přidání přístupu pro hostovská konta:

  1. přidělit CRO ID, viz LPS:IdM/midPoint#Přidělení CRO ID
  2. zařadit do skupiny gapps nebo office365 (gapps znamená i google apps)
Citováno z „https://helpdesk.zcu.cz/index.php?title=LPS:IdM/midPoint/Office365&oldid=58029