Azure Active Directory (Microsoft Entra ID) tunnistautuminen

Seuraa

 

Sisällysluettelo

Käyttäjätietojen ylläpito

Pikaohje AD:n käyttöön ottamiseksi

Esiehto AD:n käyttämiselle Gillieen tunnistauduttaessa ja AD-integraation päälle laittamiselle

Laita integraatio Gilliestä Azure Active Directoryyn päälle

Käyttäjäoikeuksien asettaminen AD:ssa perustuu Gillien tiimeihin ja rooleihin

Lisää Gillien roolit Active Directoryyn

AD-käyttäjän kirjautuminen Gillieen

Miten poistan AD-käyttäjältä pääsyn Gillieen?

 

 

Käyttäjätietojen ylläpito

Käyttäjä voi kirjautua Gillieen

  • Käyttäjätunnus + salasana -yhdistelmällä
  • Microsoft Azure Active Directory -käyttäjätunnuksella

MS Azure Active Directory -tunnus on yleensä sama kuin Intranet-tunnus, jolla avaat työaseman. Azuren käyttöön saat tukea Microsoftilta tai sinulle tukipalveluja tuottavasta yrityksestä.

Tästä löydät ohjeet, miten ylläpidät käyttäjätietoja Gilliessä, kun et käytä AD:ta.

 

Miten Gillien ja AD:n välinen integraatio toimii?

AD-tunnistautumista käyttävä Käyttäjä syöttää sähköpostiosoitteensa Gillien login ikkunaan
1) Gillie tunnistaa domainin (esim @gillie.ai)
2) Gillie ohjaa pyynnön  AD:lle
3) AD palauttaa sen domainin, mikä käyttäjällä on (kts AD:ssa UserPrincipalName (UPN) kenttä ja selvitä miten organisaatiosi käyttää AD:ta)

 

Pikaohje AD:n käyttöön ottamiseksi

  1. Luo Microsoft Azure Active Directoryyn käyttäjä (ellei käyttäjällä ole jo voimassa olevaa intranet-tunnusta)
  2. Laita integraatio Gilliestä Azure Active Directoryyn päälle
  3. Lisää Gillien roolit AD:hen ja kytke käyttäjä rooleihin
  4. Lisää Gillien tiimit AD:hen ja kytke käyttäjä tiimeihin

 

Esiehto AD:n käyttämiselle Gillieen tunnistauduttaessa ja AD-integraation päälle laittamiselle

  • Sinulla on Gillieen käyttäjätunnus, jolla on pääkäyttäjä-oikeudet
  • Sinulla on Azure Active Directory käytössäsi tai intranetista on perustettu luottamussuhde Azureen. Luottamussuhde on voitu jo perustaa, mikäli yrityksessä on käytössä Ofiice365 sähköposti.
  • Sinulla tulee olla AD:n ja Gillien välisen integraation päälle laittamista varten AD:hen sellainen AD pääkäyttäjätunnus, jolla voit myöntää luvituksia tavallisille AD-käyttäjille
  • Olet perustanut käyttäjät AD:hen 

 

Laita integraatio Gilliestä Azure Active Directoryyn päälle

  1. Kirjaudu Gillieen pääkäyttäjänä
  2. Klikkaa vasemmasta menusta integraatiot 
  3. Klikkaa +Uusi nappia lisätäksesi AD -integraation
  4. Klikkaa listasta Azure openid kirjautuminen 
  5. Laita aktivinen -vipu päälle
  6. Anna integraatiolle kuvaava nimi
  7. Anna AD:n sähköpostiosoitteen loppuosa (esim. jos sähköposti on etunimi.sukunimi@gillie.onmicrosft.com , niin anna  gillie.onmicrosoft.com)
  8. Anna Azure-hakemiston uuid-muotoinen tunniste (Directory ID) 
    1. Kirjaudu Azureen
    2. Valitse Active Directory ja sitten Properties
    3. Kopioi Directory ID Active Directorystä Gillieen (kts kuva alla)
  9. Laita Gilliessä käyttäjien automaattinen luonti -vipu päälle  (luo AD:n tietojen perusteella käyttäjät Gillieen)
  10. Klikkaa Gilliessä tallenna integraatio
  11. Kirjaudu ensimmäisen kerran Gillien loginiin,
    1. AD - pääkäyttäjäoikeuksilla varustetutulla käyttäjätunnuksella tai
    2. Normaaleilla käyttäjätunnuksilla, mutta siten että adminin oikeudet omaava henkilö on paikalla. 
  12. Azure palvelu avaa Permissions requested -ikkunan.  (kts. alla oleva näyttökaappaus) Aseta Consent on behalf of your Organization -asetus päälle. Jos kirjautumisen tehneellä henkilöllä ei ole oikeuksia consentin myöntämiseen, on tässä vaiheessa admin-oikeuden omaavan henkilön käytettävä omia tunnuksiaan consentin myöntämiseen. Tämän jälkeen tavallisilla AD-käyttäjillä on oikeus lukea Active Directorystä ryhmätietoja kirjautuessaan Gillie -pilveen. Varmista, että selaimen osoiterivi alkaa https://login.microsoftonline.com
  13. Huom! AD pääkäyttäjä ei ole yleensä Gillien käyttäjä, eikä AD:ssa tällä pääkäyttäjällä ole Gillien roolitietoa AD:ssa (groups on esim. gillierole_admin). Tästä syystä Consentin myöntämisen jälkeen Gillie palauttaa AD-pääkäyttäjän Gillie-loginiin. Tästä huolimatta Consent on myönnetty.

 

 

 

Na_ytto_kuva_2019-9-4_kello_11.23.29.png

Kuva: Aseta Azuressa tavalliselle käyttäjälle oikeus (Consent on behalf of your organization) lukea Active Directorystä ryhmätietoja.

 

Na_ytto_kuva_2019-10-24_kello_9.23.28.png 

Kuva: Kopioi Directory ID Azuresta Gillieen. Kun Luo automaattisesti käyttäjät Gillieen -vipu on päällä, niin käyttöoikeudet kopioidaan AD:sta Gillieen joka kerta, kun käyttäjä kirjautuu Gillieen. 

 

Miten annan AD-käyttäjälle oikeudet kaikkiin henkilöihin?

  1. Lisää AD:ssa käyttäjälle ryhmä (tässä esimerkissä gilliegroup_all), jolle haluat antaa oikeudet käsitellä kaikkien henkilöiden tietoja. 
  2. Kirjaudu Gillieen pääkäyttäjänä ja vaihda pääkäyttäjänäkymään
  3. Klikkaa vasemmasta menusta integraatiot
  4. Valitse Azure Open ID - kirjautuminen -niminen integraatio
  5. Syötä kenttään AD ryhmän nimi tai ID, jotka antaa käyttäjälle pääsyn kaikkien tiimien asiakkaisiin  
  6. Tallenna muutokset 

 

Huom! AD-roolin nimi ei saa alkaa gillieteam_ tai gillierole_ , ne ovat varattuja sanoja.

 

Na_ytto_kuva_2019-10-24_kello_9.40.21.png

Kuva: Gillien integraatiossa on kerrottu, että AD:n gilliegroup_all:iin kuuluvilla käyttäjillä on pääsy kaikkien tiimien asiakkaisiin.

 

Miten edellä mainittu "anna oikeudet kaikkien tiimien asiakkaisiin" toimii ?

  1. AD-käyttäjän kirjautuessa Gillie-järjestelmään, Gillie tarkistaa kuuluuko käyttäjä AD:ssa  Gillien AD-integraatiossa annettuun ryhmään (groups) 
  2. Jos on, niin Gillie asettaa käyttäjälle "salli kaikkien tiimien henkilöt" -asetuksen päälle Gillien käyttäjätietueelle.

Na_ytto_kuva_2019-10-18_kello_12.32.23.png

Kuva: käyttäjätietoihin tulee Salli kaikkien tiimien henkilöt asetus päälle, koska käyttäjällä on AD:ssa ryhmänä gilliegroup_all  ja Gillien AD-integraatiossa on kyseisen tiimin käyttäjille annettu pääsy kaikkiin asiakkaisiin.

 

Suositus: joko tiimejä ei käytetä ollenkaan tai kaikilla asiakkailla on tiimi

Mikäli osalla tai kaikilla henkilöillä puuttuisi tiimitieto, tämä edellä kuvattu käyttäjä näkee myös kaikki henkilöt, joilla ei ole tiimitietoa asetettuna Gillieen.

 

Gillie ei tue monelle alueelle yhteistä Active Directoryä

Gilliessä kullakin alueella tulee olla oma active directory käytössä.  Mikäli kahdessa alueessa on yhtäaikaa samaan Active Directoryyn integraatio päällä, niin käyttäjä ei voi kirjautua Gillieen.

 

Gilliessä voi yhdellä alueella olla käytössä useita Active Directoreja

Jos käytät esimerkiksi kolmea eri AD:ta, niin tällöin sinun tulee lisätä Gillieen pääkäyttäjänä 3 AD-integraatiota.

 

Käyttäjäoikeuksien asettaminen AD:ssa perustuu Gillien tiimeihin ja rooleihin

Gilliessä on

  • Oletuksena valmiina olevia rooleja (roolipohjaisia käyttäjäryhmiä)
  • Käyttäjän määriteltävissä olevia rooleja
  • Tiimejä

Rooleista ja tiimeistä löydät lisää tästä.

Käyttäjätietojen ylläpidossa kerrot, mistä autentikaatiojärjestelmästä käyttäjän käyttöoikeudet tarkistetaan. 

 

Lisää Gillien roolit Active Directoryyn

Roolien nimet

Suosittelemme, että käytät oletusrooleja AD:n kanssa, vaikkakin Gillie sallii myös käyttäjän määriteltävissä olevat "kustomoidut" roolit.

Oletuksena olevat roolit ovat (suluissa AD:ssa käytettävä roolin tunniste)

  • Omaiskäyttäjä (self)
  • Ammattilainen (staff)
  • Pääkäyttäjä (admin)
  • Toimittaja (supplier)

Räätälöitävät roolit 

  • Gilleen voit luoda oletusroolien lisäksi omia rooleja, esimerkiksi teet roolin nimeltä customrole
  • Jos käytät AD:ta, niin kirjoita roolin nimi Gillieen pienillä kirjaimilla 

Gillien roolit määräytyvät AD:n ryhmien perusteella. Käytettävissä on kaksi tapaa roolien määrittämiseen:

1. Vapaasti asetattava nimi. Gilliessä kerrotaan AD-ryhmien nimet tai ID:t, joiden perusteella roolit annetaan. Etuna tässä on, että AD-ryhmien nimet voi valita vapaasti ja haittana vastaavasti, että Gilliessä joutuu kertomaan AD-ryhmien nimet.

2. Nimeämiskonventioon perustuva. AD:ssa roolin nimen syntaksi on gillierole_<rooli> . Esimerkiksi ammattilaisen rooli on gillierole_staff .  Tai räätäliroolin nimeksi tulee AD:ssa gillierole_customrole Nimen pienet ja isot kirjaimet ovat merkitseviä (case sensitive). Räätäliroolien nimiin ei voi käyttää erikoismerkkejä, skandimerkkejä tai välilyöntejä.

Käyttäjällä voi olla useita rooleja. 

 

Ohje roolien lisäämiseksi Active Directoryyn

  1. Kirjaudu Azureen
  2. Klikkaa Azure Active Directory
  3. Klikkaa Groups 
  4. Klikkaa New Group 
  5. Lisää ryhmä (esim. gillierole_staff)
  6. Kytke käyttäjät ryhmiin

 

Na_ytto_kuva_2019-8-13_kello_15.46.54.png

Kuva: Anna ryhmän nimeksi gillierole_<rooli> ja kytke käyttäjät rooliin.

 

Na_ytto_kuva_2019-8-13_kello_14.59.16.png

Kuva:  AD:ssa on lisätty rooli ammattilainen (gillierole_staff) ja tiimi Kaunisjärvi (gillieteam_kaunisjarvi). Gillien käsitteitä rooli ja tiimi vastaa AD:ssa käsite group.

 

Lisää Gillien tiimit Active Directoryyn

Tiimien nimet

Käyttäjälle sallitut tiimit määräytyvät AD:n ryhmien perusteella. Käytettävissä on kaksi tapaa tiimien määrittämiseen:

1. Vapaasti asetattava nimi. Gilliessä kerrotaan AD-ryhmien nimet tai ID:t, joiden perusteella tiimit asetetaan. Etuna tässä on, että AD-ryhmien nimet voi valita vapaasti ja haittana vastaavasti, että Gilliessä joutuu kertomaan AD-ryhmien nimet.

2. Nimeämiskonventioon perustuva. AD:ssa Gillien tiimiä vastaavan ryhmän (groups)  nimen syntaksi on gillieteam_<tiimin nimi> . Nimen pienet ja isot kirjaimet ovat merkitseviä (case sensitive). Et voi voi käyttää Gilliessä tiimien nimissä erikoismerkkejä, skandimerkkejä tai välilyöntejä. Esimerkiksi Kaunisjärvi-niminen tiimi tuleekin perustaa Gillieen nimellä kaunisjarvi ja tällöin tunnus AD:ssa on  gillieteam_kaunisjarvi 

Ohje tiimien lisäämiseksi Active Directoryyn

  1. Kirjaudu Azureen
  2. Klikkaa Azure Active Directory
  3. Klikkaa Groups 
  4. Klikkaa New Group 
  5. Lisää tiimi (esim. gillieteam_kaunisjarvi)
  6. Kytke käyttäjät tiimeihin

Tiimit luodaan automaattisesti Gillieen

Huom! jos AD-käyttäjällä on tiimitieto AD:ssa (esim. gillieteam_kaunisjarvi) ja tiimiä ei ole valmiina Gilliessä, niin Gillie luo automaattisesti tiimitietueen nimellä kaunisjarvi. Eli gillieteam_ -alkuinen sana on varattu ja siihen on rakennettu em. automaattinen tiimin lisäys. 

AD-käyttäjän kirjautuminen Gillieen

Kun uusi AD-käyttäjä kirjautuu ensimmäisen kerran Gillieen, niin

  1. Käyttäjä ohjataan Gillien loginista AD:n loginiin ja käyttäjä antaa käyttäjätunnuksen lisäksi myös AD:n salasanan (oman organisaatiosi AD-asetuksista ja selaimen välimuistista riippuen, voi olla että sinun ei tarvitse antaa lainkaan AD-salasanaasi). Toimintamalli pätee niin mobiilikäyttäjiin, kuin työasemakäyttäjiin.
  2. Gillieen syntyy ensimmäisen kirjautumisen yhteydessä automaattisesti käyttäjätietue niillä käyttöoikeuksilla (rooli ja tiimi), jotka olet antanut AD:ssa. (Edellyttää, että Gillien AD-integraatiossa on päällä "luo automaattisesti käyttäjät")

Kertakirjautuminen

Seuraavila kirjautumiskerroilla Gillie kysyy käyttäjältä pelkän käyttäjätunnuksen (sama kuin AD:ssa kerrottu) ja antaa AD:ssa määritellyt käyttöoikeudet käyttäjälle.

Tämä kertakirjautuminen on käytössä, jos valitset AD:ssa vaihtoehdon muista minut. Muussa tapauksessa Azure AD kysyy salasanaa uudelleen. Muista vaihtoehdon voi poistaa tyhjentämällä selaimen välimuistin.

Käyttäjätunnuksia ja salasanoja hallinnoidaan AD:ssa.

 

Miten poistan AD-käyttäjältä pääsyn Gillieen?

Voit poistaa AD-käyttäjältä oikeudet Gillieen

  • Poistamalla käyttäjältä roolit ja ryhmät (esim. gillierole_<rooli> , gillierole_<tiimin nimi>) AD:n groupseista (tällöin AD:n käyttäjä voi käyttää muita palveluja, joihin hänellä on annettu luvitus AD:ssa)
  • Poistamalla käyttäjän kokonaan AD:sta

Huomioiden näkymisen oletusten asettaminen

Gilliessä voit määritellä mistä tapahtumista syntyy huomio ja mitkä huomiot näkyvät oletuksena käyttäjälle. Katso lisää huomoiden syntymisen ohjauksesta tästä.

 

Aseta Gilliessä Active Directory integraatioon huomioryhmien asetukset

Toimintaperiaate

Kun Active Directory -tunnistautumista käyttävä käyttäjä kirjautuu ensimmäisen kerran  Gillieen, niin hänen käyttäjätietoihinsa syntyy oletus asetus huomioryhmille. Huomioryhmät ohjaavat, mitkä huomiot näkyvät ammattilaisnäkymässä henkilölistauksessa

Seuraavilla kirjautumiskerroilla huomioryhmän oletus tulee käyttäjän tiedoista. Käyttäjä voi itse muuttaa oletuksiaan

 

Miten asetat oletusarvot huomioryhmille

Voit asettaa kohdassa Oletus huomioiden ryhmittely oletusarvon, joka toteutuu joka tapauksessa eli tässä Kaikki tarkoittaa, että kaikki huomiot näkyvät käyttäjälle oletuksena. Tämä on turvallinen oletus. 

Voit myös asettaa AD-ryhmiin perustuvia oletuksia huomioryhmille. Tässä esimerkissä koordinaatiokeskukselle (hälytyskeskus) näkyy tietyt hälytykset ja muulle kotihoidolle toiset hälytykset.

Oletusten määräytymisjärjestys:

  1. Jos löytyy käyttäjän AD-ryhmällä huomioryhmä-asetus, niin tämä tulee oletukseksi käyttäjätietueelle, ellei niin
  2. Käyttäjän oletukseksi tulee Oletus huomioiden ryhmittely -kohdassa oleva huomioryhmä, ellei tätä ole, niin
  3. Käyttäjä näkee oletuksena kaikki huomiot

 

Na_ytto_kuva_2021-1-13_kello_15.49.56.png

Kuva: AD groupeihin perustuvat huomioryhmät. HUOM! ryhmien nimet tai ID:t tulee olla samalla tavalla kirjoitettuna sekä AD:ssa, että Gilliessä (case sensitive). Tässä esimerkissä gillierole_staff -AD groupiin kuuluvat käyttäjät saavat oletuksena näkyviin huomiot ryhmästä Kotihoito. Vastaavasti gillierole_emergencycenter AD-ryhmään kuuluvat käyttäjät saavat oletusarvoksi Koordinaatiokeskus.

Lisäksi kannattaa huomioida, että jos käyttäjällä on useita ryhmiä (group) AD:ssa ja Gilliessä on vastaavasti useita oletusryhmäasetuksia, niin käyttäjälle tulee vain yksi oletus.

 

 

Na_ytto_kuva_2021-1-13_kello_15.31.25.png

Kuva: Käyttäjälle on asetettu gillierole_staff -ryhmä (group) Active Directoryssä. Niinpä hän näkee kotihoidolle määritellyt huomiot.

 

0/0 koki tästä olevan apua

Kommentit

0 kommenttia

Kommentointi on poistettu käytöstä.