Active Directory integrasjon med Imageshop

Endret Wed, 2 Okt ved 2:12 PM

Introduksjon


Denne artikkelen gir en teknisk beskrivelse av hvordan man integrerer Imageshop med Active Directory.

Engangspålogging (SSO) med Active Directory (AD) kan settes opp for Imageshop. Kravet for integrasjonen er en identitetstilbyder med WS-FED-støtte, som Microsoft Entra ID, OKTA, ADFS eller lignende.

Hvis gruppetilhørighet for brukeren blir videresendt til Imageshop, kan dette brukes for å gi brukeren tilgang til spesifikke grensesnitt basert på gruppetilhørighet. Standardoppførselen er at alle AD-brukere får tilgang til det interne og offentlige grensesnittet (hvis det eksisterer), og blir videresendt til det interne grensesnittet når de får tilgang til Imageshop gjennom AD, men dette kan endres slik at AD-brukere får tilgang til spesifikke grensesnitt basert på gruppetilhørighet i AD.


Det må velges et bestemt domene for AD-integrasjonen. Eventuelt kan alle andre domener som peker på dette grensesnittet omdirigeres til AD-domenet for å tvinge AD-pålogging for alle brukere som får tilgang til dette grensesnittet. I eksemplene nedenfor har jeg brukt screentek.imageshop.no, men dette må erstattes med det faktiske domenet som er avtalt med Imageshop under oppsettprosessen.


Hvis brukeren allerede eksisterer under pålogging med Active Directory, vil brukertilgangen forbli den samme som den var (ingen ekstra tilgang vil bli gitt og ingen tilgang vil bli fjernet). Dette betyr at hvis en Imageshop-administrator endrer tilgangen eller blokkerer en bruker i Imageshop, vil brukeren få tildelt / bli nektet tilgang i henhold til dette.


Se nedenfor for en detaljert beskrivelse av hvordan du integrerer med Microsoft Entra ID (alternativ 1) og hvordan du integrerer med ADFS (alternativ 2). De samme prinsippene vil gjelde for OKTA og andre tilbydere.

Alternativ 1: Microsoft Entra ID

Imageshop må legges til med riktig URL i formatet *.imageshop.<no|dk|se|org>. Vanligvis brukes <organisasjon>ansatt.imageshop.no, <organisasjon>sso.imageshop.org eller lignende, men dette må avtales.


For å sette opp integrasjonen trenger Imageshop følgende:

  • Lenken til metadatafilen
  • Applikasjons-ID for applikasjonen
  • Hvis organisasjonen bruker Office-integrasjoner, ID-en til gruppen som vil ha tilgang. Dette er nødvendig selv om tilgang basert på grupper ikke brukes.
  • Hvis tilgang basert på grupper brukes, er ID-en til alle grupper sammen med navnet på alle grupper nødvendig.

I dette eksemplet bruker vi sceentek.imageshop.no som AD-URL. Bruk domenet som er avtalt med Imageshop. Gå til Entra ID i Azure og opprett en ny registrering for domenet ditt. Bruk det avtalte domenet i feltet "Redirect URI".


Se under for flere innstillinger. Erstatt alle forkomster av screentek.imageshop.no i skjermbildene under med ditt eget domene avtalt i oppsettet for å koble mot Imageshop.

 


Legg inn applikasjons-id'en her: 

 


Grupper

Du kan lese mer om hvordan du begrenser gruoppetilgang her:

https://learn.microsoft.com/en-us/entra/identity-platform/howto-restrict-your-app-to-a-set-of-users


Det er også mulig å sende grupper til Imageshop, hvis du ønsker at grensesnitt-tilgang skal begrenses basert på gruppe-tilhørighet. Du kan da sende gruoppe-id'ene i tokenet til Imageshop. Du konfigurere dette under "Token configuration" -> "Add group claims". Du må velge en eller flere grupper som skal sendes.


Alternativ 2: Integrasjon med ADFS eller andre identitetstilbydere med støtte for WS-FED

  • Det er å foretrekke å bruke offentlige sertifikater for token-signering, token-kryptering og tjenestekommunikasjon hvis Imageshop skal kunne verifisere sertifikatet. Ellers må vi kjøre uten sertifikatvalidering eller installere rot-sertifikatet på Imageshop-serveren.
  • Send adressen til Federationmetadata til Imageshop. Typisk plasseres den på https://hostname/federationmetadata/2007-06/federationmetadata.xml. Sjekk om den er tilgjengelig eksternt før du sender adressen. Hvis ikke kan XML-en sendes direkte til oss ([email protected]).
  • Da vil vi sende en XML-fil til deg, slik at du kan sette opp en tillitsforholdspart.
  • Tillitsforholdsparten må ha følgende påstander: Merk at "Token-Groups" ikke er obligatoriske hvis Imageshop ikke skal filtrere tilgang basert på dette.


  • Sett ADFS-serveren i intranettsonen i Internet Explorer.
  • Hvis automatisk pålogging ikke fungerer lokalt, kan kommandoen "setspn -S http/<ADFS-server-URL> <datamaskinnavn>" løse problemet, avhengig av hvilken bruker AD FS-tjenestene kjører som.

Var denne artikkelen nyttig?

Så bra!

Takk for din tilbakemelding

Beklager at vi ikke kunne være mer til hjelp

Takk for din tilbakemelding

Fortell oss hvordan vi kan forbedre denne artikkelen.

Velg minst én av grunnene
CAPTCHA-verifisering er obligatorisk.

Tilbakemeldingen er sendt inn

Vi setter pris på tilbakemeldingen din og vil prøve å rette på artikkelen