В главном меню портала https://portal.azure.com/ выбрать ”Microsoft Entra ID”
В следующем меню выбрать «Регистрация приложений»
Нажать «Новая регистрация»
Ввести имя приложения (оно не имеет значения — указывается для удобства)
Выбрать «Учетные записи в любом каталоге организации (любой клиент Microsoft Entra ID — мультитенантное решение)»
Нажать «Зарегистрировать»
Скопировать и сохранить в удобное место поля:
• «Идентификатор приложения (клиент)» — далее в тексте это поле называем ”clientID”
• «Идентификатор каталога (клиент)» — далее в тексте это поле называем ”tenantID”
Перейти в пункт меню «Сертификаты и секреты»
Нажать «Новый секрет клиента»
Ввести тестовое описание и указать срок действия секретного ключа
Скопировать ключ из колонки «Значение» и сохранить вместе с clientID и tenantID.
Далее в тексте секретный ключ также называем ”Client Secret”
ВНИМАНИЕ! Скопировать его можно будет только первый раз — сразу после создания.
Если скопировать не удалось, необходимо создать новый ключ.
Перейти в пункт меню «Проверка подлинности»
Нажать «Добавить платформу» и выбрать Web
В поле «URI перенаправления» ввести адрес в таком формате:
https://{доменное имя или ip:port платформы}/Synergy/microsoft/callback
Нажать «Настроить»
Перейти в пункт меню «Разрешения API»
Нажать «Добавить разрешение»
Выбрать ”Microsoft Graph”, затем «Разрешения приложения»
В выпадающих списках выбрать все следующие разрешения:
Если внутри облачных тенантов есть пересечения, возможно имеет смысл выставить единственную опцию User.Read.All
Данный приём потенциально позволяет исключить ситуации, когда юзер указан одновременно пользователем тенанта, и находится в группах/контактах других тенантов
Нажать «Добавить разрешения»
Снова нажать «Добавить разрешение», выбрать ”Microsoft Graph”, затем «Делегированные разрешения»
Выбрать пункты: offline_access, openid, profile, и так же «Добавить разрешения»
Нажать «Предоставить согласие администратора для Default Directory»
Подтвердить, и дождаться результата предоставления согласия
Настройка на портале Azure завершена.
Зайти под супер-админом в модуль SynergyAdmin
Перейти в «Настройки аутентификации»
В выпадающием списке выбрать Microsoft Entra ID
В панели настройки заполнены только поля с настройками по умолчанию:
В поле «URL домашней страницы» ввести адрес платформы в формате:
https://{доменное имя или ip:port}
Учётные данные в виде clientID, tenantID, и client secret, полученные на этапе настройки портала Azure, следует ввести в соответствующие поля на панели настройки:
• Если у вас 1 кабинет Microsoft Entra, можно ввести в уже отображающиеся поля • Если у вас несколько кабинетов Microsoft Entra, то необходимо выбрать «Множественный ввод учётных данных Microsoft Entra», и с помощью кнопки «+» добавить необходимое количество панелей для ввода
Примечание: режим «множественного ввода» (multitenant) в т.ч. поддерживает вход с помощью 1-го кабинета Microsoft Entra.
При необходимости, можно выставить дополнительные настройки:
• «Перенаправлять на страницу выхода из аккаунта Microsoft при выходе из системы» — соответственно, производит редирект на окно выхода из учётной записи Microsoft • «Таймаут обновления буфера пользователей Microsoft Entra» — опция, позволяющая выставить период синхронизации пользователей из облаков Azure. Указывается в секундах. Это может сократить время входа, если кабинетов Microsoft Entra несколько (экономит время синхронизации), однако новые пользователи будут подтягиваться с задержкой. • «Время жизни сессии» — означает зазор времени в секундах, за который будет актуальна одна попытка входа каждого пользователя. Этот параметр скорее технический, т.к. сессии в системе переиспользуются для роутинга (редиректов) между модулями платформы.
Настройка в модуле SynergyAdmin завершена.
На портале https://portal.azure.com/ внутри Microsoft Entra ID выбрать «Пользователи»
Затем нажать «Новый пользователь» и «Создание нового пользователя»
Ввести учётные данные, нажать «Проверка и создать», затем «Создать»
Важные примечания:
• На основе поля «Имя субъекта-пользователя» будет сгенерирован e-mail, используемый затем в качестве уникального идентификатора для входа в платформу • Пароль, указанный при создании пользователя в Microsoft Entra, будет скорее всего заменён самим пользователем — политика безопасности Microsoft предполагает создание нового пароля при входе
Перейти в SynergyAdmin
Перейти в «Управление пользователями», нажать на кнопку «+»
Минимальные данные пользователя, которые необходимо указать:
• Фамилия • Имя • Код (автоматически заполняется) • Адрес эл. почты • Доступ в систему: разрешен
ВНИМАНИЕ! Адрес электронной почты должен обязательно совпадать с e-mail учётной записи Microsoft Entra!
Нажать на кнопку сохранения (!)
После этого новый пользователь может войти в платформу.
По умолчанию, новый пользователь может входить только в Synergy — права на модули Configurator и SynergyAdmin выставляются аналогично обычным способам входа (по настройке «Дополнительный доступ»)