Integracja WEBCON BPS z Azure Active Directory

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji 2019.1.3; autor: Łukasz Chechelski 

Wstęp

WEBCON BPS 2019 wprowadza możliwość integracji z usługami w chmurze oferowanymi w ramach Microsoft Azure. Coraz popularniejszy Microsoft Azure stanowi bardzo dobrą alternatywę dla klasycznych instalacji typu „On-Premises” gwarantując wysoką dostępność usługi. W tym artykule został poruszony temat instalacji WEBCON BPS Standalone bez lokalnej domeny Active Directory. Logowanie i pobieranie listy użytkowników jest zrealizowane w oparciu o Azure Active Directory.

Opisana instalacja składa się z:

  • WEBCON BPS 2019 Standalone zainstalowanego na maszynie z Windows Server bez Active Directory.
  • Serwera MSSQL, gdzie autentykacja odbywa się na podstawie loginu SQL.
  • Lokalnego konta serwisu i puli aplikacji,
  • Logowania do BPS wyłącznie przez AAD.
  • Synchronizacji listy użytkowników z AAD.

Wymagania systemowe

Od strony instalacji on-premises muszą zostać spełnione następujące wymagania:

  • Maszyna z Windows Server 2012R2, Windows Server 2016 oraz Windows Server 2019
  • Serwer MS SQL w wersji 2012 lub nowszej. Nie musi to być dedykowana maszyna. Instalator BPS musi mieć możliwość tworzenia i modyfikacji baz na wskazanym serwerze.
  • Konta użytkowników:
    • Konto lokalne lub AD dla puli aplikacji IIS.
    • Konto dla serwisu BPS – wymagania takie same, jak dla puli aplikacji.
    • Konto – login SQL pozwalający na operowanie na bazach SQL. W czasie instalacji BPS zalecamy nadanie uprawnień sysadmin na serwerze SQL. Po zakończonej instalacji można zredukować uprawnienia do baz WEBCON BPS na poziom db_owner.

W zakresie integracji:

  • Ustalony adres URL Portalu. Od pewnego czasu Azure Active Directory wymaga podawania adresu zgodnego z protokołem HTTPS.
  • Zainstalowany na maszynie zaufany certyfikat SSL. Nie może to być certyfikat typu „self signed”.
  • Utworzone rejestrowane aplikacje w panelu zarządzania AAD. Opis tej czynności zawiera się w niniejszym artykule.

Rejestracja aplikacji AAD realizującej logowanie

Aplikacje w panelu zarządzania AAD najlepiej skonfigurować przed instalacją WEBCON BPS. Dzięki temu, w czasie instalacji BPS, będzie możliwe wprowadzenie danych dot. metody logowania oraz synchronizacji listy użytkowników. Ze względów bezpieczeństwa, zalecamy utworzenie dwóch aplikacji – jednej do obsługi autentykacji, a drugiej do pobierania listy użytkowników BPS.

Zacznijmy od aplikacji do obsługi procesu autentykacji. W oknie App registrations należy dodać nową aplikację. W sekcji Redirect URI należy podać adres Portalu z sufiksem /signin-aad. Jeżeli adres Portalu nie jest jeszcze znany, to nic nie stoi na przeszkodzie aby go uzupełnić po instalacji BPS.

Po utworzeniu rejestracji, można uzupełnić jej konfigurację. W zakładce Branding należy wprowadzić Home page URL, który będzie adresem Portalu. Jeśli adres WEBCON BPS Portal nie został jeszcze zdefiniowany, można go dodać po instalacji WEBCON BPS.

W sekcji Authentication należy zaznaczyć obsługę ID tokens.

Ostatnim punktem jest weryfikacja uprawnień. W API permissions musi być nadane uprawnienie User.Read z obszaru Azure Active Directory Graph (możliwe, że będzie już przygotowane). Dzięki temu WEBCON BPS będzie mógł uwierzytelnić użytkownika podczas logowania korzystając z danych dostarczonych przez AAD. Po dodaniu uprawnień, możliwe jest ich zatwierdzenie przez kliknięcie przycisku w obszarze Grant admin consent (…). Po każdej zmianie uprawnień, wymagane jest zatwierdzenie zmiany.

 

Wsparcie dla usługi Azure Active Directory Graph zostanie zakończone w czerwcu 2022. Zalecamy, aby do tego czasu przełączyć się na Microsoft Graph API.

 

Wymagane uprawnienia dla aplikacji logowania
Kategoria Typ Poziom
Azure Active Directory Graph Delegated User.Read

Rejestracja aplikacji AAD realizującej synchronizację listy użytkowników

Następnym etapem jest utworzenie drugiej aplikacji, która będzie obsługiwała proces pobierania listy użytkowników BPS. Rejestrację aplikacji należy skonfigurować ten sam sposób, co poprzednią.

Dodatkowo, wymagane jest zdefiniowanie uprawnień tak, aby możliwe było pobranie listy użytkowników z Azure Active Directory. Wszelkie niezbędne uprawnienia powinny być dodane w zakładce API permissions. Po dodaniu uprawnień, wymagane jest ich zatwierdzenie przez kliknięcie przycisku w obszarze Grant consent. Po każdej zmianie uprawnień, wymagane jest zatwierdzenie zmiany.

 

 

Wymagane uprawnienia dla aplikacji synchronizacji listy użytkowników
Kategoria Typ Poziom
Microsoft Graph Delegated Group.Read.All
Microsoft Graph Application Group.Read.All
Microsoft Graph Delegated User.Export.All
Microsoft Graph Application User.Export.All
Microsoft Graph Delegated User.Read
Microsoft Graph Delegated User.Read.All
Microsoft Graph Application User.Read.All
Microsoft Graph Application Directory.Read.All

 

W zakładce „Authentication” należy upewnić się, czy wskazany jest poprawny adres Portalu, oraz czy załączona jest obsługa tokenów.

Na ekranie „Certificates and secrects” wymagane jest wygenerowanie kodu (tzw. Secret) który posłuży do konfiguracji mechanizmu po stronie BPS. Wygenerowany kod powinien zostać od razu zapisany w bezpiecznym miejscu, ponieważ nie ma możliwości jego podglądu po wyjściu z ekranu.

Sekret wymagany jest tylko do aplikacji obsługującej synchronizację listy użytkowników.

Instalacja BPS

Sam proces instalacji WEBCON BPS Standalone w tym przypadku nie odbiega od tego, który został przedstawiony w tym artykule na naszym blogu technicznym lub w folderze instalacyjnym.

Dane potrzebne do instalacji dostępne są w panelu zarządzania aplikacją w zakładce Overview. W przypadku, kiedy wygenerowany kod Secret został zagubiony, nic nie stoi na przeszkodzie aby go usunąć i wygenerować nowy.

Dodatkowo trzeba podać informacje o źródle pobierania użytkowników oraz dostawcy mechanizmu uwierzytelniającego. Na ekranie konfiguracji pobierania listy użytkowników po wskazaniu źródła synchronizacji listy użytkowników, pojawi się opcja wskazania aplikacji AAD.

Do konfiguracji logowania w instalatorze WEBCON BPS wystarczy podanie ID aplikacji (klienta) oraz Directory (tenant) ID:

Po zakończonej instalacji i otwarciu witryny WEBCON BPS Portal, użytkownika powita ekran logowania zawierający zdefiniowane w instalatorze metody autentykacji. Jeżeli pojawi się komunikat o braku dostępu do aplikacji BPS, to zalecamy skorzystanie z aplikacji WEBCON BPS System Administrators. Znajduje się ona w folderze, gdzie został zainstalowany WEBCON Designer Studio.

Podsumowanie

Dzięki wprowadzeniu możliwości integracji WEBCON BPS z Azure Active Directory stawiamy krok w kierunku coraz bardziej popularnych usług chmurowych.

Już teraz możliwa jest instalacja WEBCON BPS w środowisku bez lokalnej domeny AD i SharePoint. Sama konfiguracja natomiast jest dużo prostsza, niż w przypadku rozbudowanego Active Directory Federation Services.

One thought to “Integracja WEBCON BPS z Azure Active Directory”

  1. Czy to jedyny możliwy scenariusz udostępnienia serwisu WWW WEBCON (Standalone) przez Azure AD Application Proxy?

Komentarze są zamknięte.