Připojení a synchronizace přes Entra ID

Vytvoření nového připojení

Přihlaste se do Sofa jako administrátor a v okně Administrace klepněte na tlačítko Sofa 365 Bridge. V následující nabídce spusťte příkaz Připojení.

Na nástrojové liště stejnojmenného okna klepněte na tlačítko + Přidat připojení k Microsoft 365.

image3
Tlačítko Přidat LDAP připojení nemusí být viditelné, záleží na nastavení Sofa ze strany Software602.

Otevře se okno Nové připojení, ve kterém je třeba vyplnit všechny povinné údaje. Klíčová jsou tato dvě pole, která musí být vyplněna naprosto jednoznačně:

  • Do pole ID tenanta zkopírujte údaj, který jste získali v okně Centrum pro správu Microsoft Entra. (Viz kapitola Jak získat ID tenanta organizace.)

  • Voličem Typ vyberte položku Microsoft Entra ID (Azure AD).

    V rámci jedné firmy v Sofa lze vytvořit pouze jedno připojení tohoto typu. Pokud by již nějaké připojení tohoto typu již existovalo, není uvedená volba k dispozici. Abyste mohli v tomto případě vytvořit nové připojení k Microsoft Entra, je třeba nejprve stávající připojení odebrat.

Obsah dalších polí záleží na vás:

  • Do pole Název napište název připojení, pod kterým bude toto připojení viditelné a dostupné.

  • Údaj v poli Identifikátor se ve výchozím tvaru přizpůsobí řetězci zadanému jako Název; můžete jej však libovolně upravit.

    Oba výše uvedené údaje slouží pro interní potřebu v Sofa a nemusí být unikátní.

  • Pole Poznámka slouží k zápisu libovolného nepovinného popisného textu.

image4

Nastavení potvrďte tlačítkem Uložit připojení.

Následuje ověření možnosti připojení k „protější“ firmě pomocí zadaného ID tenanta. Pokud nastane problém, je to oznámeno chybovou zprávou (zde například byla „omylem“ zadána hodnota neexistujícího ID tenanta).

image5

K popisu chyby jsou pak uvedeny další informace, které jsou určeny spíše pro poradenskou službu Microsoftu a nejsou náplní této dokumentace. Pokud je ale chyba „jen“ v chybném zadání ID tenanta, je třeba celou specifikaci připojení odebrat a vytvořit znovu, se správným ID.

Jestliže bylo zadané ID tenanta shledáno jako validní, je dále zapotřebí být přihlášen (přihlásit se) k odpovídající organizaci jako její uživatel pod účtem Microsoft s právy globálního správce.

image6

Aplikace Sofa potřebuje pro úspěšnou autorizaci mít oprávnění přístupu k určitým prostředkům organizace právě přihlášeného uživatele. Tento souhlas je zapotřebí potvrdit jménem této organizace v dialogu Požadované oprávnění. Jde o oprávnění:

  • Mít zajištěnou dostupnost dat, ke kterým organizace poskytuje přístup.

  • Mít možnost přihlásit se k organizaci a mít přístup k profilům jejích uživatelů.

  • Číst údaje o struktuře uživatelů organizace a jejich skupin.

Požadavky potvrdíte zaškrtnutím políčka Souhlas jménem vaší organizace a stiskem tlačítka Přijmout. Tím aplikace Sofa získá přístup k prostředkům pro všechny uživatele organizace; ti je tedy nemusí potvrzovat každý zvlášť.

image7
Tento dialog se zobrazuje, jen pokud některé z oprávnění u organizace chybí. To znamená především při první autorizaci, kdy chybí všechna, a také později, pokud by některá oprávnění z jakýchkoliv důvodů chyběla.

Poté se připojení autorizuje a uloží. Jeho položka je uvedena v seznamu v okně Připojení. Úspěšnou autorizaci oznámí zpráva Připojení bylo úspěšně autorizováno v zeleném rámečku a v položce připojení také indikátor „zelené zatržítko“ ve sloupci Autorizováno.

image8

Úpravy připojení Microsoft Entra ID

Klepnete-li na položku s popisem připojení myší, označí se za „vybranou“ (zatržítko v modrém kroužku) a zpřístupní se nástrojová lišta s tlačítky umožňujícími různé servisní akce – připojení otestovat, znovu autorizovat, upravit či vymazat.

image9

Úprava některých parametrů připojení

Parametry vybraného připojení můžete částečně upravit. Klepnutím na tlačítko Upravit připojení se otevře okno podobné oknu Nové připojení. Položky jsou zde stejné, editovatelná jsou však jen pole Název a Poznámka.

Hodnoty Identifikátor a ID tenanta upravovat nelze, stejně jako nelze změnit typ připojení. V případě nutnosti lze pouze celé připojení odebrat a vytvořit nové.

Smazání připojení

Pokud chcete položku připojení jako celek smazat – tedy odebrat ze seznamu připojení, použijte tlačítko Smazat připojení.

Po potvrzení bezpečnostního dotazu Opravdu chcete smazat připojení? se položka připojení nevratně vyjme ze seznamu a připojení přestane existovat.

Z připojení musí být předem odstraněny všechny navázané synchronizace. Jinak se připojení smazat nepodaří a je zobrazena chybová zpráva v červeném rámečku – Připojení se nepodařilo smazat.

Ověření připojení

Chcete-li ověřit, zda existující připojení je při daném nastavení funkční, tak na nástrojové listě stiskněte tlačítko Ověřit připojení.

Úspěšné ověření je oznámeno zprávou Připojení bylo ověřeno v zeleném rámečku.

image10

Pokud se připojení ověřit nepodařilo, je v horní části okna v červeném poli zobrazena zpráva – Připojení se nepodařilo ověřit ….

image11

Důvod, proč nejde připojení ověřit, je vypsán v rámečku jako součást zprávy. Důvodem může být i to, že uživatel není v dané chvíli správně přihlášen.

Autorizace připojení

Pokud není připojení z nějakého důvodu v dané chvíli autorizováno, je indikátorem ve sloupci Autorizováno červený křížek.

autorizace pripojeni

V tom případě je zapotřebí připojení autorizovat ručně. Na nástrojové listě stiskněte tlačítko Autorizovat připojení. Tím se zopakuje proces autorizace přihlášeného pracovníka „protější firmy“. Je možné, že bude vyžádána kontrola nastavení jeho účtu Microsoft či přihlášení. Výsledek je uveden v informačním pruhu v horní části okna.

pripojeni autorizovano

Synchronizace uživatelů

Jakmile je k dispozici připojení a je ověřeno autorizací, lze přes něj synchronizovat uživatele organizace přes Entra ID (Azure AD) s prostředím aplikace Sofa.

V Sofa je možné nastavit synchronizaci uživatelů a skupin z různých zdrojů. Synchronizační služba se stará o všechny operace související se synchronizací dat identity uživatelů a skupin mezi místním prostředím a prostředím Microsoft Entra (zde Microsoft Entra ID).

K nastavení synchronizací se dostanete z okna Administrace klepnutím na tlačítko Sofa 365 Bridge a dále pak příkazem Synchronizace uživatelů.

image12

V okně Synchronizace je přehled všech dosud specifikovaných synchronizací (pokud již existují).

Vytvoření nové synchronizace

Pro vytvoření nové synchronizace máte v okně Synchronizace k dispozici tlačítko + Přidat Entra ID (Azure AD) synchronizaci.

Tlačítkem otevřete okno Nová synchronizace, které se skládá z několika karet, otvíraných pomocí jejich záložek.

Na kartách jsou dole tlačítka pro přechod na následující nebo předchozí kartu a také tlačítko pro okamžité uložení zadaných údajů.

Přehled o připojení

Na kartě Připojení vidíte údaje převzaté z nastavení při založení připojení (viz kapitola Vytvoření nového připojení). Jedná se o název a identifikátor připojení, poznámkový text a ID tenanta. Údaje jsou na této kartě needitovatelné, slouží pouze pro přehled – pro toto připojení bude synchronizace vytvořena.

image14
Pojem ID tenanta je vysvětlen v kapitole Důležité pojmy.
Pokud nelze přejít na následující karty, pak připojení pravděpodobně není autorizované (či ověřené) připojení (viz kapitola Úpravy připojení Microsoft Entra ID.

Klepnutím na tlačítko Následující:Parametry> přejdete na další kartu.

Nastavení parametrů

Na kartě Parametry nastavíte parametry synchronizace.

  • Do pole Název zapište jedinečné označení synchronizace; údaj je povinný. Pod tímto názvem pak bude tato synchronizace dostupná v seznamu synchronizací v okně. Název je určen jen pro interní identifikaci v Sofa.

    Synchronizací může být vytvořeno několik, aktivní může však být jen jedna z nich.

  • Řetězec uvedený v poli Identifikátor se automaticky vygeneruje podle obsahu pole Název – lze ho však upravit.

  • Do pole Poznámka napište libovolný poznámkový text, který popisuje účel nastavované synchronizace. Tento nepovinný text je určen především pro přehled a informaci pro administrátora.

  • Aby se uživatelé mohli vůbec synchronizovat, je nutné mít všechny uživatele zařazené ve skupině (nebo v několika skupinách). Pole Vzdálené skupiny, jejichž členové budou synchronizováni je voličem pro výběr skupin uživatelů ze vzdálené (externí) firmy podchycené v Microsoft Entra, jejíchž členové se synchronizují do Sofa jako její uživatelé. Po klepnutí do pole se zobrazí seznam vzdálených skupin v rámci firmy podle nastavení tenanta. Ze seznamu můžete vybrat jednu, ale i několik položek.

    Nepřenesou se členové vnořených skupin. Pokud vybraná skupina obsahuje vnořené skupiny, nebudou se jejich členové automaticky synchronizovat. Vnořenou skupinu je třeba vložit samostatně.

  • V sekci Interval spuštění nastavíte, kdy se synchronizační proces spustí. Interval spouštění nastavte s ohledem na to, jak často se mění nastavení v Microsoft Entra ID a jak potřebujete mít uživatele aktualizované.
    Voličem Čas určíte hodinu a minuty spuštění a pomocí zaškrtávacích políček dny, pro které toto nastavení platí. Pokud chcete vytvořit složitější synchronizační schéma, otevřete si tlačítkem Přidat řádek další sadu ovladačů.

  • Políčko Aktivovat synchronizaci ponechte zaškrtnuté, tím zajistíte, aby se synchronizace automaticky spouštěla podle vytvořeného plánu. Ten se stane aktivním hned po uložení popisu synchronizace.

  • Zaškrtnutí políčka Zaslat email v případě selhání synchronizace nabízí možnost zapnout zasílání notifikace o neúspěšné synchronizaci. Důvodem může být například chyba při spojení a podobně. Notifikace přijde uživatelům Sofa v roli Administrátor a Správce subjektů, a to nezávisle na způsobu spuštění synchronizace (tedy ručně či automaticky).

  • Při zaškrtnutí políčka Zaslat novému uživateli email bude přes synchronizaci nově vytvářeným uživatelům zaslána uvítací zpráva na jejich adresu elektronické pošty.

  • Při zaškrtnutí políčka Zaslat novému uživateli nastavení hesla bude nově vytvořeným uživatelům poslán elektronickou poštou odkaz na jejich přístupové heslo. Tuto možnost využívejte pouze když chcete, aby se uživatel přihlašoval do Sofa přes jméno a heslo. Políčko nezaškrtávejte, pokud chcete, aby se uživatele hlásili pouze přes SSO (Single Sign On). Obecně doporučujeme nezaškrtávat, neboť tím se umožňuje kombinovat lokální a Microsoft Entra ověření uživatele.

  • Pokud chcete aktivací nového účtu zrušit již vytvořené synchronizované účty v Sofa, zaškrtněte políčko Deaktivovat účty v Sofa, které byly dříve synchronizované. To se týká pouze synchronizovaných účtů v Sofa; pokud se odebere dříve synchronizovaný uživatel ze skupiny v Microsoft Entra, tak dojde k jeho automatické deaktivaci. Ručně vytvoření uživatelé se tímto způsobem nedeaktivují.

image15

Klepnutím na tlačítko Následující:Mapování atributů uživatele> přejdete na další kartu.

Nastavení mapování atributů uživatele

Na kartě Mapování atributů uživatele se vytváří schéma mapování položek popisu uživatele synchronizovaného s názvy položek popisu uživatele v Sofa.

Pro správné vytvoření uživatele je nutné mít mapované pouze:

  • Uživatelské jméno – mapujte na atribut Mail.

  • Jméno – mapujte na GivenName.

  • Příjmení – mapujte na Surname.

Pro využívání SSO (Single Sign On) je nutné mít mapovaný:

  • ADFS Ident – mapujte na Id.

Pokud chcete využívat Signer s přihlašováním přes SSO, tak je nutné mapovat:

  • Neměnné AD ID – mapujte na OnPremisesImmutableId.

Ostatní atributy nemusí být do Sofa mapovány, záleží jen na vašem uvážení. Tyto atributy se však mohou využívat například v přehledech uživatelů nebo v některých agendách.

mapovani

Klepnutím na tlačítko Následující:Mapování rozšiřujících atributů uživatele > přejdete na další kartu.

Nastavení mapování rozšiřujících atributů uživatele

Na kartě Mapování rozšiřujících atributů uživatele lze mapovat až patnáct dalších uživatelsky vytvořených (rozšiřujících) atributů uživatelů, které nejsou zahrnuty na předchozí kartě.

image16
Žádný z atributů není povinný.

Klepnutím na tlačítko Následující:Mapování členství ve skupinách> přejdete na další kartu.

Nastavení mapování členství ve skupinách

Na kartě Mapování členství ve skupinách se nastaví mapování skupin ze vzdálené (externí) firmy popsané v Microsoft Entra na skupiny v Sofa. Skupiny se vybírají pomocí voličů Skupina v Sofa a Vzdálené skupiny.

Pokud chcete skupin namapovat více, otvírejte si klepnutím na tlačítko Přidat řádek další dvojice voličů.

Toto mapování není povinné, může sloužit k budoucímu rozlišení skupin procesů.

image17

Klepnutím na tlačítko Následující:Mapování členství v rolích> přejdete na další kartu.

Nastavení mapování členství v rolích

Na kartě Mapování členství v rolích je možné namapovat do rolí v Sofa uživatele ze skupin ve vzdálené (externí) firmě.

Role jsou v Sofa důležité například pro využívání certifikátů nebo jejich správu. Takže pokud je zapotřebí, aby synchronizovaní uživatele využívali v Sofa podpisové certifikáty, je nutné pro ně v Microsoft Entra vytvořit vhodnou skupinu, uživatele do ní zařadit a tuto skupinu mapovat na odpovídající roli (Uživatelé certifikátů) v Sofa. Stejný postup je třeba aplikovat i u rolí Správci certifikátů a Administrátoři.

Obecně můžete, ale nemusíte využít stejnou skupinu, jako při výběru skupiny pro synchronizaci na kartě Parametry. Lze také mapovat vícero skupin z Microsoft Entra do jedné role.

Dvojice údajů se vybírají pomocí voličů Role v Sofa a Vzdálené skupiny. Pokud chcete rolí mapovat více, otvírejte si klepnutím na tlačítko Přidat řádek další dvojice voličů.

Role, které musí být obsazeny:

  • Administrátoři.

  • Správci certifikátů.

  • Uživatelé certifikátů.

Mapování dalších rolí není povinné a jejich obsazení záleží na požadovaných funkcích Sofa a jejich nastavení.

image18

Klepnutím na tlačítko Následující:Logování> přejdete na poslední kartu.

Nastavení úrovně logování

Na kartě Logování vyberete, do jaké úrovně se během synchronizace mají zaznamenávat informace o průběhu procesu. Pomocí voliče Úroveň logování můžete vybrat úrovně Debug (ladicí informace), Informace a Varování.

image19

  • Varování je nejnižší stupeň logování – budou se zaznamenávat pouze varování, chyby a kritické chyby.

  • Informace je střední stupeň logování – budou se logovat informace, varování, chyby a kritické chyby.

  • Debug je nejvyšší stupeň logování – loguje se vše předchozí a zároveň se zaznamenává i debugging. Slouží jako podklad pro řešení problémů.

Uložení popisu synchronizace

Tlačítkem Uložit synchronizaci se popis synchronizace uloží.

Spuštění synchronizace

Manuální spuštění

Doporučujeme vyzkoušet funkci sestaveného popisu synchronizace manuálním spuštěním. Na nástrojové liště klepněte na tlačítko Spustit synchronizaci.

synchro manualni spusteni2

Potvrďte dotaz v okénku Spustit synchronizaci.

synchro manualni spusteni3

Na to se zobrazí zelený pruh s indikací Synchronizace byla spuštěna.

synchro manualni spusteni4

Samotný proces synchronizace chvilku trvá. Pokud po chvíli uděláte refresh okna prohlížeče, měli byste vidět ve sloupci Čas posledního spuštění údaj o datu a času spuštění synchronizace s dodatkem ručně, neboť synchronizace myla spuštěna manuálně. V okně Stav by měl být uveden údaj Dokončeno s počtem synchronizovaných uživatelů.

Pokud je zde uvedena informace, že proces právě probíhá s uvedením počtu již synchronizovaných uživatelů z celkového počtu, pak synchronizace dosud probíhá a je potřeba ještě chvilku počkat a okno znovu refreshovat.

O výsledku procesu synchronizace se lze přesvědčit v logu, který otevřete z nástrojové lišty tlačítkem Zobrazit logy.

synchro zobrazit logy

Jednotlivé položky logovacích operací jsou na samostatných řádcích začínajících datem a časem jejich spuštění. Pomocí trojúhelníkových značek na začátku položek je můžete rozvinout (a sbalit) ve výpis jednotlivých úkonů, které v rámci synchronizace proběhly.

Věnujte pozornost sloupci se čtveřicí grafických symbolů ve třetím sloupci. Jsou to grafické indikátory výsledku operace. Zleva doprava mají tento význam: ChybaKritická chybaInformaceVarování.

image21

Pokud byl proces synchronizace úspěšný, musí být v položce dané synchronizace pouze indikátor Information.

Pokud to máte na kartě Parametry v nastaveních vyžádáno (zaškrtnuté políčko Zaslat email v případě selhání synchronizace), přijde vám do mailu upozornění, jestliže kterýkoliv z úkonů v průběhu synchronizace selhal.

synchro chyba
Typické selhání synchronizačního procesu je způsobeno situací, kdy synchronizovaní uživatelé figurují ještě v nějaké jiné firmě. Takovou duplicitu je nutné eliminovat.

Automatické spouštění

K automatické synchronizaci dojde v časovém intervalu, který jste zadali při nastavení parametrů synchronizace – viz kapitola Nastavení parametrů.

synchro automaticke spousteni8

Záznam o provedení synchronizace najdete v okně Synchronizace ve sloupci Čas posledního spuštění. Uvádí se datum a čas poslední synchronizace s dovětkem automaticky.

V logu automaticky spuštěné synchronizace logicky nejsou uvedeny údaje o uživateli, který proces spustil (Jméno aktéra, Typ aktéra a Identifikátor aktéra).
synchro automaticke spousteni9
Nyní se mohou synchronizovaní uživatelé přihlašovat k Sofa pomocí firemního účtu Microsoft Entra.

Výsledek synchronizace

Výsledkem synchronizace je import popisu vzdálených uživatelů do Sofa. To, že byla synchronizace úspěšná, poznáte na první pohled v okně Organizace (otevřete ho Administrace> Organizace). Zde se navýšila hodnota parametru Počet uživatelů o synchronizované uživatele.

synchro vysledek

Seznam konkrétních synchronizovaných uživatelů uvidíte v okně Uživatelé (Administrace> Uživatelé).

Úpravy nastavení synchronizace

Pokud klepnutím myší vyberete položku s popisem synchronizace, zobrazí se nástrojová lišta s tlačítky, jejichž pomocí můžete nastavené synchronizace upravovat.

synchro menu

  • Tlačítkem Upravit synchronizaci se otevře okno umožňující vybranou synchronizaci upravit. Okno nese sedm karet stejně jako okno Nová synchronizace. Na nich lze parametry procesu upravovat a doplňovat.

  • Tlačítkem Smazat synchronizaci celé nastavení synchronizace nevratně vymažete. Vymazání je pojištěno vaším souhlasem v dialogu s dotazem Opravdu chcete smazat synchronizaci?

  • Tlačítkem Deaktivovat synchronizaci vybranou synchronizaci nevymažete, ale dočasně potlačíte její činnost. Po potvrzení dotazu Opravdu chcete deaktivovat synchronizaci? se ve sloupci Interval spuštění vypíše indikátor Neaktivní.

  • Tlačítko Deaktivovat synchronizaci se u této položky změnilo na Aktivovat synchronizaci. Jeho pomocí činnost synchronizace obnovíte.