LPS:IdM/midPoint/Office365
Info
Microsoft Office365 - cloudová aplikace. Identity jsou spravované přes Graph API.
Není nasazeno do produkce. Akuálně udržováno vehementem od Microsoftu (zdrojem dat jsou staré LDAPy, pouští se několikrát denně).
Konektor:
- git repozitář: connector-msgraph
- drobné patche na závislosti
- hlavní změny mergované v upstramu (optimalizace, opravy, podpora licencí)
Resource: Office365
Přes Graph API nelze spravovat emaily. Nastavování přesměrování ve skriptech mimo režii IdM.
Admin přístup
- https://office365.zcu.cz (testovací: https://login.microsoftonline.com/?whr=zcutest.civ.zcu.cz TODO: lepčí URL?)
- Admin Center -> Azure Active Directory -> Azure Active Directory -> App registrations
- identita "OpenICF MSGraph Connector" -> Client credentials
==> jako hlavní ID je Application (client) ID
==> jako heslo: secret z Client credentials
==> (lze si zvolit dobu platnosti, v 2021-05-31 zvoleno na 2 roky)
Model
Osoby
Zaměstnanci, studenti, rozšířená hostovská konta (je vyžadováno CRO ID).
Primární klíče:
- __NAME__ - LOGIN@DOMAIN
- onPremisesImmutableId - CRO ID (nikdy se nesmí měnit)
- userPrincipalName - LOGIN
Atributy:
- mail: LOGIN@DOMENA, jen přo zakládání, ale nelze spravovat přes Graph API
Merge: nelze
Povolení/blokace: 1:1 podle identity v midPointu
Přejmenování: potřeba ruční zásah kolem správy emailů. Původní email je u přejmenovávané identity ponechán. (TODO: čistit to ve skriptech mimo?)
Fyzické mazání: Po smazání je identita v koši po dobu 1 měsíce. Po tuto dobu ji nelze znovuzaložit automaticky přes Graph API. Lze ji obnovit přes administrátorské rozhraní Office 365, anebo smazat vývojovými administrátorskými nástroji (koš nelze vysypat přes midPoint - umí to Graph API, ale identity mají divoké identifikátory).
Skupiny
Udržovány všechny standadní skupiny exportované z midPointu.
Licence
Read-only identity. V midPointu použito pro výpočty atributů pro přidělováné licencí (technicky: jde o "ruční" query, nelze použít přímo asociace na resourcu).
Licence se skládá z jednotlivých aplikací.
Pro každou licenci lze nastavit globální vyjímku pro nějakou aplikaci. Ale nelze nastavovat různé vyjímky pro každého uživatele (technicky: přes Graph API to lze, ale vedlo by to na strukturovaný atribut u uživatele, což nelze).
Postupy
Hostovská konta
Postup přidání přístupu pro hostovská konta:
- přidělit CRO ID, viz LPS:IdM/midPoint#Přidělení CRO ID
- zařadit do skupiny gapps nebo office365 (gapps znamená i google apps)