Sincronizzazione degli utenti AD
Un altro modo per creare utenti in MyQ Roger è quello di impostare una sincronizzazione da servizi esterni. Attualmente Microsoft Entra ID (rinominato da MS Azure Active Directory) è supportato e Google Active Directory è in fase di sviluppo e dovrebbe essere disponibile nel prossimo futuro.
Permessi richiesti
Pages.Administration.UserSync
Microsoft Entra ID
Per configurare un Microsoft Entra ID in MyQ Roger, è necessario disporre di un Microsoft Entra ID esistente.
Impostazione e configurazione
Accedere al sito Portale Microsoft Azure e creare un nuovo file Registrazione dell'app nel proprio ID Microsoft Entra Quickstart: Register an app in the Microsoft identity platform - Microsoft identity platform.
Si apre la pagina di panoramica della nuova app. Copiare l'icona ID applicazione (client) e il ID della directory (inquilino), poiché sono necessari per il collegamento a MyQ Roger.
Vai a Certificati e segreti e creare un Segreto del nuovo cliente. Impostare la data di scadenza e copiare il segreto Valore (eseguire il backup del valore, poiché non verrà più visualizzato.).
La registrazione dell'app DEVE ESSERE il seguente autorizzazioni: Utente.Leggi.Tutti, Gruppo.Leggi.Tutti (nel caso in cui si voglia utilizzare solo un determinato gruppo). Per impostarli, selezionare Autorizzazioni API e quindi fare clic su Aggiungere un'autorizzazione. Nella finestra a destra, nella scheda API di Microsoft, selezionare Grafico Microsoft. Nella finestra successiva, selezionare Autorizzazioni per l'applicazione, cercare e selezionare la voce Utente.Leggi.Tutti e Gruppo.Leggi.Tutti (nel caso in cui si voglia sincronizzare un determinato gruppo) e fare clic su Aggiungere le autorizzazioni.
Andare su MyQ Roger, Modifica e compilare le impostazioni del connettore in MyQ Roger, Amministrazione, Sincronizzazione utenti, Microsoft Entra ID:
ID applicazione*: Aggiungere l'ID applicazione (client) copiato durante la configurazione di Microsoft Entra ID.
ID elenco (inquilino)*: Aggiungere l'ID della directory (tenant) copiati durante la configurazione di Microsoft Entra ID.
Segreto applicativo*: Aggiungere il valore del segreto dell'applicazione copiato durante la configurazione di Microsoft Entra ID.
Data di scadenza del segreto applicativo (opzionale): Impostare una data di scadenza se si desidera essere avvisati della scadenza del segreto. Tutti gli utenti con l'opzione Autorizzazioni di Pages.Administration.UserSync vengono notificati.
Set Gruppi opzioni:
Nessuno: Se si seleziona questa opzione, tutti gli utenti dell'organizzazione vengono sincronizzati.
Selezionato: Inserire l'identificativo del gruppo se si desidera sincronizzare gli utenti di un gruppo Entra ID specifico. È possibile aggiungere più identificatori di gruppo separati da una virgola (,). Il GUID del gruppo Entra ID si trova in Microsoft Entra ID > Gruppi > Etichettato come ID oggetto del gruppo che si desidera sincronizzare.
Impostare il Utenti opzioni:
Gruppi selezionati: Sincronizza gli utenti dei gruppi selezionati e annidati.
Tutti: Sincronizzare tutti gli utenti.
Campi sorgente per gli alias: Aggiungere il nome del campo dell'API Microsoft Entra ID Graph che verrà utilizzato per creare un alias per l'utente. Il campo predefinito è onPremisesSamAccountName. È possibile combinare i campi specificati in un unico alias. Circondare ogni campo con il segno di percentuale (%), ad esempio %givenName%. È possibile specificare più combinazioni utilizzando il punto e virgola (;) come delimitatore, ad esempio %givenName%.%surName%;%surName%-%givenName%.
Invio di e-mail con PIN: Contrassegnare la casella di controllo se si desidera che gli utenti appena creati ricevano un'e-mail di benvenuto con il PIN.
Gestire gli utenti esistenti: Aggiorna e mantiene sincronizzati gli utenti esistenti. Gli utenti sono abbinati al loro indirizzo e-mail.
Consentire l'uso di "Nome visualizzato".: Il nome e il cognome sono campi obbligatori in MyQ Roger. Gli account Microsoft Entra ID potrebbero avere "Displayname" impostato al posto di nome e cognome.
Crea anche alias senza caratteri non validi: I caratteri non validi sono: " [ ] : ; | = + * ? < > / \ , . e gli spazi. Ad esempio, l'alias per John Doe sarà creato come JohnDoe.
Gestire la cancellazione degli utenti: Se abilitato, MyQ Roger confronta gli utenti prima e dopo la sincronizzazione. Elimina gli account che non possono essere recuperati dal sistema remoto. Microsoft Entra ID fornisce informazioni sugli account che devono essere eliminati per un periodo di tempo limitato. Questa opzione va attivata solo se non si esegue una sincronizzazione per un lungo periodo di tempo o se si sono modificate le impostazioni.
Cliccare Collegare. La connessione viene testata e, se tutto è stato impostato correttamente, dovrebbero essere visualizzate altre opzioni (Sincronizza ora, Elimina, Modifica e Sincronizza automaticamente).
Per eseguire la sincronizzazione, fare clic sul pulsante Sincronizza ora o attivare la sincronizzazione automatica per sincronizzare gli utenti ogni 24 ore dall'attivazione.
Regole di sincronizzazione
Se l'indirizzo e-mail di un utente AD non esiste nel tenant MyQ Roger, viene creato un nuovo utente con l'opzione "AD sincronizzato" tag.
Se un utente AD viene cancellato dall'AD e viene effettuata una sincronizzazione, l'utente è cancellato anche da MyQ Roger.
Se l'indirizzo e-mail di un utente AD esiste già nel tenant MyQ Roger, la creazione dell'utente è saltato.
Se sono stati cancellati in precedenza, l'utente viene registrato nuovamente.
Se la creazione di un utente fallisce, la sincronizzazione continua con gli altri utenti. Per maggiori informazioni, vedere il capitolo sulle notifiche.
Accesso - Se un utente è stato sincronizzato tramite Microsoft Entra ID, dovrà effettuare l'accesso a MyQ Roger utilizzando l'opzione 'Accedi con Microsoft'. MyQ Roger non sincronizza le password degli utenti, quindi se l'utente è stato sincronizzato tramite AD è necessario utilizzare l'opzione di accesso del provider. (Microsoft/Google) L'accesso a MyQ Roger con nome utente e password può essere utilizzato solo se l'utente è stato creato direttamente da MyQ Roger.
Notifiche
Se la sincronizzazione viene attivata manualmente:
L'utente che si attiva riceve una notifica nella navbar quando il lavoro termina.
In caso di modifiche (utenti eliminati, aggiunti o non riusciti), tutti gli utenti con i permessi per gestire una sincronizzazione ricevono una notifica nella navbar con brevi informazioni sul lavoro.
Se la sincronizzazione viene attivata automaticamente:
In caso di modifiche (utenti eliminati, aggiunti o non riusciti), tutti gli utenti con i permessi per gestire una sincronizzazione ricevono una notifica nella navbar con brevi informazioni sul lavoro.
Se non ci sono modifiche, gli utenti non vengono avvisati. Nell'amministrazione vengono visualizzate solo brevi informazioni sull'ultima esecuzione.
Se il Data di scadenza del segreto applicativo e il lavoro viene eseguito 7 giorni prima della scadenza, viene visualizzata una notifica nella barra di navigazione e viene inviata una notifica via e-mail agli utenti con i permessi per gestire le sincronizzazioni.
Tutte le sincronizzazioni vengono registrate con brevi informazioni. Vengono registrate anche tutte le sincronizzazioni fallite degli utenti.