Sisällysluettelo
Pikaohje AD:n käyttöön ottamiseksi
Esiehto AD:n käyttämiselle Gillieen tunnistauduttaessa ja AD-integraation päälle laittamiselle
Laita integraatio Gilliestä Azure Active Directoryyn päälle
Käyttäjäoikeuksien asettaminen AD:ssa perustuu Gillien tiimeihin ja rooleihin
Lisää Gillien roolit Active Directoryyn
AD-käyttäjän kirjautuminen Gillieen
Miten poistan AD-käyttäjältä pääsyn Gillieen?
Käyttäjätietojen ylläpito
Käyttäjä voi kirjautua Gillieen
- Käyttäjätunnus + salasana -yhdistelmällä
- Microsoft Azure Active Directory -käyttäjätunnuksella
MS Azure Active Directory -tunnus on yleensä sama kuin Intranet-tunnus, jolla avaat työaseman. Azuren käyttöön saat tukea Microsoftilta tai sinulle tukipalveluja tuottavasta yrityksestä.
Tästä löydät ohjeet, miten ylläpidät käyttäjätietoja Gilliessä, kun et käytä AD:ta.
Miten Gillien ja AD:n välinen integraatio toimii?
Pikaohje AD:n käyttöön ottamiseksi
- Luo Microsoft Azure Active Directoryyn käyttäjä (ellei käyttäjällä ole jo voimassa olevaa intranet-tunnusta)
- Laita integraatio Gilliestä Azure Active Directoryyn päälle
- Lisää Gillien roolit AD:hen ja kytke käyttäjä rooleihin
- Lisää Gillien tiimit AD:hen ja kytke käyttäjä tiimeihin
Esiehto AD:n käyttämiselle Gillieen tunnistauduttaessa ja AD-integraation päälle laittamiselle
- Sinulla on Gillieen käyttäjätunnus, jolla on pääkäyttäjä-oikeudet
- Sinulla on Azure Active Directory käytössäsi tai intranetista on perustettu luottamussuhde Azureen. Luottamussuhde on voitu jo perustaa, mikäli yrityksessä on käytössä Ofiice365 sähköposti.
- Sinulla tulee olla AD:n ja Gillien välisen integraation päälle laittamista varten AD:hen sellainen AD pääkäyttäjätunnus, jolla voit myöntää luvituksia tavallisille AD-käyttäjille
- Olet perustanut käyttäjät AD:hen
Laita integraatio Gilliestä Azure Active Directoryyn päälle
- Kirjaudu Gillieen pääkäyttäjänä
- Klikkaa vasemmasta menusta integraatiot
- Klikkaa +Uusi nappia lisätäksesi AD -integraation
- Klikkaa listasta Azure openid kirjautuminen
- Laita aktivinen -vipu päälle
- Anna integraatiolle kuvaava nimi
- Anna AD:n sähköpostiosoitteen loppuosa (esim. jos sähköposti on etunimi.sukunimi@gillie.onmicrosft.com , niin anna gillie.onmicrosoft.com)
- Anna Azure-hakemiston uuid-muotoinen tunniste (Directory ID)
- Kirjaudu Azureen
- Valitse Active Directory ja sitten Properties
- Kopioi Directory ID Active Directorystä Gillieen (kts kuva alla)
- Laita Gilliessä käyttäjien automaattinen luonti -vipu päälle (luo AD:n tietojen perusteella käyttäjät Gillieen)
- Klikkaa Gilliessä tallenna integraatio
- Kirjaudu ensimmäisen kerran Gillien loginiin,
- AD - pääkäyttäjäoikeuksilla varustetutulla käyttäjätunnuksella tai
- Normaaleilla käyttäjätunnuksilla, mutta siten että adminin oikeudet omaava henkilö on paikalla.
- Azure palvelu avaa Permissions requested -ikkunan. (kts. alla oleva näyttökaappaus) Aseta Consent on behalf of your Organization -asetus päälle. Jos kirjautumisen tehneellä henkilöllä ei ole oikeuksia consentin myöntämiseen, on tässä vaiheessa admin-oikeuden omaavan henkilön käytettävä omia tunnuksiaan consentin myöntämiseen. Tämän jälkeen tavallisilla AD-käyttäjillä on oikeus lukea Active Directorystä ryhmätietoja kirjautuessaan Gillie -pilveen. Varmista, että selaimen osoiterivi alkaa https://login.microsoftonline.com.
- Huom! AD pääkäyttäjä ei ole yleensä Gillien käyttäjä, eikä AD:ssa tällä pääkäyttäjällä ole Gillien roolitietoa AD:ssa (groups on esim. gillierole_admin). Tästä syystä Consentin myöntämisen jälkeen Gillie palauttaa AD-pääkäyttäjän Gillie-loginiin. Tästä huolimatta Consent on myönnetty.
Kuva: Aseta Azuressa tavalliselle käyttäjälle oikeus (Consent on behalf of your organization) lukea Active Directorystä ryhmätietoja.
Kuva: Kopioi Directory ID Azuresta Gillieen. Kun Luo automaattisesti käyttäjät Gillieen -vipu on päällä, niin käyttöoikeudet kopioidaan AD:sta Gillieen joka kerta, kun käyttäjä kirjautuu Gillieen.
Miten annan AD-käyttäjälle oikeudet kaikkiin henkilöihin?
- Lisää AD:ssa käyttäjälle ryhmä (tässä esimerkissä gilliegroup_all), jolle haluat antaa oikeudet käsitellä kaikkien henkilöiden tietoja.
- Kirjaudu Gillieen pääkäyttäjänä ja vaihda pääkäyttäjänäkymään
- Klikkaa vasemmasta menusta integraatiot
- Valitse Azure Open ID - kirjautuminen -niminen integraatio
- Syötä kenttään AD ryhmän nimi tai ID, jotka antaa käyttäjälle pääsyn kaikkien tiimien asiakkaisiin
- Tallenna muutokset
Huom! AD-roolin nimi ei saa alkaa gillieteam_ tai gillierole_ , ne ovat varattuja sanoja.
Kuva: Gillien integraatiossa on kerrottu, että AD:n gilliegroup_all:iin kuuluvilla käyttäjillä on pääsy kaikkien tiimien asiakkaisiin.
Miten edellä mainittu "anna oikeudet kaikkien tiimien asiakkaisiin" toimii ?
- AD-käyttäjän kirjautuessa Gillie-järjestelmään, Gillie tarkistaa kuuluuko käyttäjä AD:ssa Gillien AD-integraatiossa annettuun ryhmään (groups)
- Jos on, niin Gillie asettaa käyttäjälle "salli kaikkien tiimien henkilöt" -asetuksen päälle Gillien käyttäjätietueelle.
Kuva: käyttäjätietoihin tulee Salli kaikkien tiimien henkilöt asetus päälle, koska käyttäjällä on AD:ssa ryhmänä gilliegroup_all ja Gillien AD-integraatiossa on kyseisen tiimin käyttäjille annettu pääsy kaikkiin asiakkaisiin.
Suositus: joko tiimejä ei käytetä ollenkaan tai kaikilla asiakkailla on tiimi
Mikäli osalla tai kaikilla henkilöillä puuttuisi tiimitieto, tämä edellä kuvattu käyttäjä näkee myös kaikki henkilöt, joilla ei ole tiimitietoa asetettuna Gillieen.
Gillie ei tue monelle alueelle yhteistä Active Directoryä
Gilliessä kullakin alueella tulee olla oma active directory käytössä. Mikäli kahdessa alueessa on yhtäaikaa samaan Active Directoryyn integraatio päällä, niin käyttäjä ei voi kirjautua Gillieen.
Gilliessä voi yhdellä alueella olla käytössä useita Active Directoreja
Jos käytät esimerkiksi kolmea eri AD:ta, niin tällöin sinun tulee lisätä Gillieen pääkäyttäjänä 3 AD-integraatiota.
Käyttäjäoikeuksien asettaminen AD:ssa perustuu Gillien tiimeihin ja rooleihin
Gilliessä on
- Oletuksena valmiina olevia rooleja (roolipohjaisia käyttäjäryhmiä)
- Käyttäjän määriteltävissä olevia rooleja
- Tiimejä
Rooleista ja tiimeistä löydät lisää tästä.
Käyttäjätietojen ylläpidossa kerrot, mistä autentikaatiojärjestelmästä käyttäjän käyttöoikeudet tarkistetaan.
Lisää Gillien roolit Active Directoryyn
Roolien nimet
Suosittelemme, että käytät oletusrooleja AD:n kanssa, vaikkakin Gillie sallii myös käyttäjän määriteltävissä olevat "kustomoidut" roolit.
Oletuksena olevat roolit ovat (suluissa AD:ssa käytettävä roolin tunniste)
- Omaiskäyttäjä (self)
- Ammattilainen (staff)
- Pääkäyttäjä (admin)
- Toimittaja (supplier)
Räätälöitävät roolit
- Gilleen voit luoda oletusroolien lisäksi omia rooleja, esimerkiksi teet roolin nimeltä customrole
- Jos käytät AD:ta, niin kirjoita roolin nimi Gillieen pienillä kirjaimilla
Gillien roolit määräytyvät AD:n ryhmien perusteella. Käytettävissä on kaksi tapaa roolien määrittämiseen:
1. Vapaasti asetattava nimi. Gilliessä kerrotaan AD-ryhmien nimet tai ID:t, joiden perusteella roolit annetaan. Etuna tässä on, että AD-ryhmien nimet voi valita vapaasti ja haittana vastaavasti, että Gilliessä joutuu kertomaan AD-ryhmien nimet.
2. Nimeämiskonventioon perustuva. AD:ssa roolin nimen syntaksi on gillierole_<rooli> . Esimerkiksi ammattilaisen rooli on gillierole_staff . Tai räätäliroolin nimeksi tulee AD:ssa gillierole_customrole Nimen pienet ja isot kirjaimet ovat merkitseviä (case sensitive). Räätäliroolien nimiin ei voi käyttää erikoismerkkejä, skandimerkkejä tai välilyöntejä.
Käyttäjällä voi olla useita rooleja.
Ohje roolien lisäämiseksi Active Directoryyn
- Kirjaudu Azureen
- Klikkaa Azure Active Directory
- Klikkaa Groups
- Klikkaa New Group
- Lisää ryhmä (esim. gillierole_staff)
- Kytke käyttäjät ryhmiin
Kuva: Anna ryhmän nimeksi gillierole_<rooli> ja kytke käyttäjät rooliin.
Kuva: AD:ssa on lisätty rooli ammattilainen (gillierole_staff) ja tiimi Kaunisjärvi (gillieteam_kaunisjarvi). Gillien käsitteitä rooli ja tiimi vastaa AD:ssa käsite group.
Lisää Gillien tiimit Active Directoryyn
Tiimien nimet
Käyttäjälle sallitut tiimit määräytyvät AD:n ryhmien perusteella. Käytettävissä on kaksi tapaa tiimien määrittämiseen:
1. Vapaasti asetattava nimi. Gilliessä kerrotaan AD-ryhmien nimet tai ID:t, joiden perusteella tiimit asetetaan. Etuna tässä on, että AD-ryhmien nimet voi valita vapaasti ja haittana vastaavasti, että Gilliessä joutuu kertomaan AD-ryhmien nimet.
2. Nimeämiskonventioon perustuva. AD:ssa Gillien tiimiä vastaavan ryhmän (groups) nimen syntaksi on gillieteam_<tiimin nimi> . Nimen pienet ja isot kirjaimet ovat merkitseviä (case sensitive). Et voi voi käyttää Gilliessä tiimien nimissä erikoismerkkejä, skandimerkkejä tai välilyöntejä. Esimerkiksi Kaunisjärvi-niminen tiimi tuleekin perustaa Gillieen nimellä kaunisjarvi ja tällöin tunnus AD:ssa on gillieteam_kaunisjarvi
Ohje tiimien lisäämiseksi Active Directoryyn
- Kirjaudu Azureen
- Klikkaa Azure Active Directory
- Klikkaa Groups
- Klikkaa New Group
- Lisää tiimi (esim. gillieteam_kaunisjarvi)
- Kytke käyttäjät tiimeihin
Tiimit luodaan automaattisesti Gillieen
Huom! jos AD-käyttäjällä on tiimitieto AD:ssa (esim. gillieteam_kaunisjarvi) ja tiimiä ei ole valmiina Gilliessä, niin Gillie luo automaattisesti tiimitietueen nimellä kaunisjarvi. Eli gillieteam_ -alkuinen sana on varattu ja siihen on rakennettu em. automaattinen tiimin lisäys.
AD-käyttäjän kirjautuminen Gillieen
Kun uusi AD-käyttäjä kirjautuu ensimmäisen kerran Gillieen, niin
- Käyttäjä ohjataan Gillien loginista AD:n loginiin ja käyttäjä antaa käyttäjätunnuksen lisäksi myös AD:n salasanan (oman organisaatiosi AD-asetuksista ja selaimen välimuistista riippuen, voi olla että sinun ei tarvitse antaa lainkaan AD-salasanaasi). Toimintamalli pätee niin mobiilikäyttäjiin, kuin työasemakäyttäjiin.
- Gillieen syntyy ensimmäisen kirjautumisen yhteydessä automaattisesti käyttäjätietue niillä käyttöoikeuksilla (rooli ja tiimi), jotka olet antanut AD:ssa. (Edellyttää, että Gillien AD-integraatiossa on päällä "luo automaattisesti käyttäjät")
Kertakirjautuminen
Seuraavila kirjautumiskerroilla Gillie kysyy käyttäjältä pelkän käyttäjätunnuksen (sama kuin AD:ssa kerrottu) ja antaa AD:ssa määritellyt käyttöoikeudet käyttäjälle.
Tämä kertakirjautuminen on käytössä, jos valitset AD:ssa vaihtoehdon muista minut. Muussa tapauksessa Azure AD kysyy salasanaa uudelleen. Muista vaihtoehdon voi poistaa tyhjentämällä selaimen välimuistin.
Käyttäjätunnuksia ja salasanoja hallinnoidaan AD:ssa.
Miten poistan AD-käyttäjältä pääsyn Gillieen?
Voit poistaa AD-käyttäjältä oikeudet Gillieen
- Poistamalla käyttäjältä roolit ja ryhmät (esim. gillierole_<rooli> , gillierole_<tiimin nimi>) AD:n groupseista (tällöin AD:n käyttäjä voi käyttää muita palveluja, joihin hänellä on annettu luvitus AD:ssa)
- Poistamalla käyttäjän kokonaan AD:sta
Huomioiden näkymisen oletusten asettaminen
Gilliessä voit määritellä mistä tapahtumista syntyy huomio ja mitkä huomiot näkyvät oletuksena käyttäjälle. Katso lisää huomoiden syntymisen ohjauksesta tästä.
Aseta Gilliessä Active Directory integraatioon huomioryhmien asetukset
Toimintaperiaate
Kun Active Directory -tunnistautumista käyttävä käyttäjä kirjautuu ensimmäisen kerran Gillieen, niin hänen käyttäjätietoihinsa syntyy oletus asetus huomioryhmille. Huomioryhmät ohjaavat, mitkä huomiot näkyvät ammattilaisnäkymässä henkilölistauksessa.
Seuraavilla kirjautumiskerroilla huomioryhmän oletus tulee käyttäjän tiedoista. Käyttäjä voi itse muuttaa oletuksiaan.
Miten asetat oletusarvot huomioryhmille
Voit asettaa kohdassa Oletus huomioiden ryhmittely oletusarvon, joka toteutuu joka tapauksessa eli tässä Kaikki tarkoittaa, että kaikki huomiot näkyvät käyttäjälle oletuksena. Tämä on turvallinen oletus.
Voit myös asettaa AD-ryhmiin perustuvia oletuksia huomioryhmille. Tässä esimerkissä koordinaatiokeskukselle (hälytyskeskus) näkyy tietyt hälytykset ja muulle kotihoidolle toiset hälytykset.
Oletusten määräytymisjärjestys:
- Jos löytyy käyttäjän AD-ryhmällä huomioryhmä-asetus, niin tämä tulee oletukseksi käyttäjätietueelle, ellei niin
- Käyttäjän oletukseksi tulee Oletus huomioiden ryhmittely -kohdassa oleva huomioryhmä, ellei tätä ole, niin
- Käyttäjä näkee oletuksena kaikki huomiot
Kuva: AD groupeihin perustuvat huomioryhmät. HUOM! ryhmien nimet tai ID:t tulee olla samalla tavalla kirjoitettuna sekä AD:ssa, että Gilliessä (case sensitive). Tässä esimerkissä gillierole_staff -AD groupiin kuuluvat käyttäjät saavat oletuksena näkyviin huomiot ryhmästä Kotihoito. Vastaavasti gillierole_emergencycenter AD-ryhmään kuuluvat käyttäjät saavat oletusarvoksi Koordinaatiokeskus.
Lisäksi kannattaa huomioida, että jos käyttäjällä on useita ryhmiä (group) AD:ssa ja Gilliessä on vastaavasti useita oletusryhmäasetuksia, niin käyttäjälle tulee vain yksi oletus.
Kuva: Käyttäjälle on asetettu gillierole_staff -ryhmä (group) Active Directoryssä. Niinpä hän näkee kotihoidolle määritellyt huomiot.
Kommentit
Kommentointi on poistettu käytöstä.