Synchronizace uživatelů
Jakmile je k dispozici připojení k Microsoft Entra ID a je autorizováno, lze nastavit synchronizaci uživatelů do systému Sofa.
V Sofa je možné nastavit synchronizaci uživatelů a skupin z různých zdrojů. Synchronizační služba se stará o všechny operace související se synchronizací dat identity uživatelů a skupin mezi místním prostředím a prostředím Active Directory (zde Microsoft Entra ID).
K nastavení synchronizací se dostanete z okna Administrace klepnutím na tlačítko Sofa 365 Bridge a dále pak příkazem Synchronizace uživatelů.
V okně Synchronizace je přehled všech dosud specifikovaných synchronizací (pokud nějaké existují).
Požadavek na vytvoření nové synchronizace
Pro vytvoření nové synchronizace máte v okně Synchronizace k dispozici tlačítko + Přidat Entra ID (Azure AD) synchronizaci.
Tlačítkem otevřete okno Nová synchronizace, které se skládá z několika karet, otvíraných pomocí jejich záložek.
Na kartách jsou tlačítka pro přechod na následující nebo předchozí kartu a také tlačítko pro okamžité uložení zadaných údajů.
Přehled o připojení
Na kartě Připojení vidíte údaje převzaté z nastavení v okně Připojení (ADMINISTRACE > Sofa 365 Bridge > Připojení). Jedná se o název a identifikátor připojení, poznámkový text a ID tenanta. Údaje na této kartě jsou needitovatelné, slouží pouze pro informaci, že synchronizace bude vytvořena pro takto popsané připojení.
Pojem ID tenanta je vysvětlen v kapitole Důležité pojmy. |
Pokud nelze přejít na následující karty, pak připojení pravděpodobně není autorizované (či ověřené) připojení (viz kapitola Úpravy připojení k Microsoft Entra. |
Pomocí tlačítka Následující: Parametry přejdete na kartu Parametry.
Nastavení parametrů
Na kartě Parametry nastavíte parametry synchronizace.
-
Do pole Název zapište jedinečné označení synchronizace; údaj je povinný. Pod tímto názvem pak bude tato synchronizace dostupná v seznamu synchronizací v okně. Název je určen jen pro interní identifikaci v Sofa.
Synchronizací může být vytvořeno několik, aktivní může však být jen jedna z nich. -
Řetězec uvedený v poli Identifikátor se automaticky vygeneruje podle obsahu pole Název – lze ho však upravit.
-
Do pole Poznámka napište libovolný poznámkový text, který popisuje účel nastavované synchronizace. Tento nepovinný text je určen především pro přehled a informaci pro administrátora.
-
Aby se uživatelé mohli vůbec synchronizovat, je nutné mít všechny uživatele zařazené ve skupině (nebo v několika skupinách). Pole Vzdálené skupiny, jejíchž členové budou synchronizováni je voličem pro výběr skupin uživatelů ze vzdálené (externí) firmy podchycené v Microsoft Entra, jejíchž členové se synchronizují do Sofa jako její uživatelé. Po klepnutí do pole se zobrazí seznam vzdálených skupin v rámci firmy podle nastavení tenanta. Ze seznamu můžete vybrat jednu, ale i několik položek.
Nepřenesou se členové vnořených skupin. Pokud vybraná skupina obsahuje vnořené skupiny, nebudou se jejich členové automaticky synchronizovat. Vnořenou skupinu je třeba vložit samostatně. -
V sekci Interval spuštění nastavíte, kdy se synchronizační proces spustí. Interval spouštění nastavte s ohledem na to, jak často se mění nastavení v Microsoft Entra ID a jak potřebujete mít uživatele aktualizované.
Voličem Čas určíte hodinu a minuty spuštění a pomocí zaškrtávacích políček dny, pro které toto nastavení platí. Pokud chcete vytvořit složitější synchronizační schéma, otevřete si tlačítkem Přidat řádek další sadu ovladačů. -
Políčko Aktivovat synchronizaci ponechte zaškrtnuté, tím zajistíte, aby se synchronizace automaticky spouštěla podle vytvořeného plánu. Ten se stane aktivním hned po uložení popisu synchronizace.
-
Zaškrtnutí políčka Zaslat email v případě selhání synchronizace nabízí možnost zapnout zasílání notifikace o neúspěšné synchronizaci. Důvodem může být například chyba při spojení a podobně. Notifikace přijde uživatelům Sofa v roli Administrátor a Správce subjektů, a to nezávisle na způsobu spuštění synchronizace (tedy ručně či automaticky).
-
Při zaškrtnutí políčka Zaslat novému uživateli email bude přes synchronizaci nově vytvářeným uživatelům zaslána uvítací zpráva na jejich adresu elektronické pošty.
-
Při zaškrtnutí políčka Zaslat novému uživateli nastavení hesla bude nově vytvořeným uživatelům poslán elektronickou poštou odkaz na jejich přístupové heslo. Tuto možnost využívejte pouze když chcete, aby se uživatel přihlašoval do Sofa přes jméno a heslo. Políčko nezaškrtávejte, pokud chcete, aby se uživatele hlásili pouze přes SSO (Single Sign On). Obecně doporučujeme nezaškrtávat, neboť tím se umožňuje kombinovat lokální a Microsoft Entra ověření uživatele.
-
Pokud chcete aktivací nového účtu zrušit již vytvořené synchronizované účty v Sofa, zaškrtněte políčko Deaktivovat účty v Sofa, které byly dříve synchronizované. To se týká pouze synchronizovaných účtů v Sofa; pokud se odebere dříve synchronizovaný uživatel ze skupiny v Microsoft Entra, tak dojde k jeho automatické deaktivaci. Ručně vytvoření uživatelé se tímto způsobem nedeaktivují.
Pomocí tlačítka Následující: Mapování atributů uživatele přejdete na kartu Mapování atributů uživatele.
Nastavení mapování atributů uživatele
Na kartě Mapování atributů uživatele se vytváří schéma mapování položek popisu uživatele synchronizovaného s názvy položek popisu uživatele v Sofa.
Pro správné vytvoření uživatele je nutné mít mapované pouze:
-
Email – mapujte na atribut Mail.
-
Jméno – mapujte na GivenName.
-
Příjmení – mapujte na Surname.
Pro využívání SSO (Single Sign On) je nutné mít mapovaný:
-
ADFS Ident – mapujte na Id.
Pokud chcete využívat Signer s přihlašováním přes SSO, tak je nutné mapovat:
-
Neměnné AD ID – mapujte na OnPremisesImmutableId.
Ostatní atributy nemusí být do Sofa mapovány, záleží jen na vašem uvážení. Tyto atributy se však mohou využívat například v přehledech uživatelů nebo v některých agendách.
Pomocí tlačítka Následující: Mapování rozšiřujících atributů uživatele přejdete na kartu Mapování rozšiřujících atributů uživatele.
Nastavení mapování rozšiřujících atributů uživatele
Na této kartě lze mapovat dalších patnáct uživatelsky vytvořených (rozšiřujících) atributů uživatelů, které nejsou zahrnuty na předchozí kartě.
Žádný z atributů není povinný. |
Pomocí tlačítka Následující: Mapování členství ve skupinách přejdete na kartu Mapování členství ve skupinách.
Nastavení mapování členství ve skupinách
Na kartě Mapování členství ve skupinách se nastaví mapování skupin ze vzdálené (externí) firmy popsané v Microsoft Entra na skupiny v Sofa. Skupiny se vybírají pomocí voličů Skupina v Sofa a Vzdálené skupiny.
Pokud chcete skupin namapovat více, otvírejte si klepnutím na tlačítko Přidat řádek další dvojice voličů.
Toto mapování není povinné, může sloužit k budoucímu rozlišení skupin procesů.
Pomocí tlačítka Následující: Mapování členství v rolích přejdete na kartu Mapování členství v rolích.
Nastavení mapování členství v rolích
Na kartě Mapování členství v rolích je možné namapovat do rolí v Sofa uživatele ze skupin ve vzdálené (externí) firmě.
Role jsou v Sofa důležité například pro využívání certifikátů nebo jejich správu. Takže pokud je zapotřebí, aby synchronizovaní uživatele využívali v Sofa podpisové certifikáty, je nutné pro ně v Microsoft Entra vytvořit vhodnou skupinu, uživatele do ní zařadit a tuto skupinu mapovat na odpovídající roli (Uživatelé certifikátů) v Sofa. Stejný postup je třeba aplikovat i u rolí Správci certifikátů a Administrátoři.
Obecně můžete, ale nemusíte využít stejnou skupinu, jako při výběru skupiny pro synchronizaci na kartě Parametry. Lze také mapovat vícero skupin z Microsoft Entra do jedné role.
Dvojice údajů se vybírají pomocí voličů Role v Sofa a Vzdálené skupiny. Pokud chcete rolí mapovat více, otvírejte si klepnutím na tlačítko Přidat řádek další dvojice voličů.
Role, které musí být obsazeny:
-
Administrátoři.
-
Správci certifikátů.
-
Uživatelé certifikátů.
Všechny ostatní role povinné nejsou a jejich obsazení záleží na funkcích Sofa a jejich nastavení.
Pomocí tlačítka Následující: Logování přejdete na kartu Logování.
Nastavení úrovně logování
Na kartě Logování vyberete, do jaké úrovně se během synchronizace mají zaznamenávat informace o průběhu procesu. Pomocí voliče Úroveň logování můžete vybrat úrovně Debug (ladicí informace), Informace a Varování
-
Varování je nejnižší stupeň logování – budou se zaznamenávat pouze varování, chyby a kritické chyby.
-
Informace je střední stupeň logování – budou se logovat informace, varování, chyby a kritické chyby.
-
Debug je nejvyšší stupeň logování – loguje se vše předchozí a zároveň se zaznamenává i debugging. Slouží jako podklad pro řešení problémů.
Vyzkoušení funkčnosti synchronizace
Uložený popis synchronizace se zobrazí jako řádková položka v okně Synchronizace.
Klepnutím kamkoliv do řádku s položkou synchronizace se tato označí jako vybraná a zároveň se v horní části okna zobrazí nástrojová lišta s tlačítky.
Doporučujeme vyzkoušet funkci sestaveného popisu synchronizace manuálním spuštěním. Na nástrojové liště klepněte na tlačítko Spustit synchronizaci. Po potvrzení dotazu Opravdu chcete spustit synchronizaci mimo časový plán? Se zobrazí zelený pruh s indikací Synchronizace byla spuštěna.
Samotný proces synchronizace chvilku trvá. O jeho výsledku se lze přesvědčit v logu, který otevřete z nástrojové lišty tlačítkem Zobrazit logy.
Jednotlivé položky logovacích operací jsou na samostatných řádcích začínajících datem a časem jejich spuštění. Pomocí trojúhelníkových značek na začátku položek je můžete rozvinout (a sbalit) ve výpis jednotlivých úkonů, které v rámci synchronizace proběhly.
Věnujte pozornost sloupci se čtveřicí grafických symbolů ve třetím sloupci. Jsou to grafické indikátory výsledku operace. Zleva doprava mají tento význam: Chyba – Kritická chyba – Informace – Varování.
Pokud to máte na kartě Parametry v nastaveních vyžádáno, přijde vám do mailu upozornění, jestliže kterýkoliv úkon v průběhu synchronizace selhal. Uživatelé obsazení v roli administrátorů dostanou po neúspěšné synchronizaci zprávu vždy. |
Úpravy nastavení synchronizace
Pokud klepnutím myší vyberete položku s popisem synchronizace, zobrazí se nástrojová lišta s tlačítky, jejichž pomocí můžete nastavené synchronizace upravovat.
-
Tlačítkem Upravit synchronizaci se otevře okno umožňující vybranou synchronizaci upravit. Okno nese sedm karet stejně jako okno Nová synchronizace. Na nich lze parametry procesu upravovat a doplňovat.
-
Tlačítkem Smazat synchronizaci celé nastavení synchronizace nevratně vymažete. Vymazání je pojištěno vaším souhlasem v dialogu s dotazem Opravdu chcete smazat synchronizaci?
-
Tlačítkem Deaktivovat synchronizaci vybranou synchronizaci nevymažete, ale dočasně potlačíte její činnost. Po potvrzení dotazu Opravdu chcete deaktivovat synchronizaci? se ve sloupci Interval spuštění vypíše indikátor Neaktivní.
-
Tlačítko Deaktivovat synchronizaci se u této položky změnilo na Aktivovat synchronizaci. Jeho pomocí činnost synchronizace obnovíte.
Nyní se mohou synchronizovaní uživatelé přihlašovat k Sofa pomocí firemního účtu Microsoft Entra. https://testsofa.602.cz/aad |