Dotyczy wersji: 2024 R1 i powyżej; autorzy: Łukasz Chechelski, Jacek Język
Wstęp
Microsoft Entra ID (wcześniej Azure Active Directory) umożliwia bezpieczne zarządzanie tożsamościami oraz kontrolę dostępu do zasobów w chmurze i aplikacji lokalnych. Dzięki integracji WEBCON BPS z Entra ID możliwe jest efektywne i zaawansowane zarządzanie tożsamością i dostępem zarówno w środowiskach hybrydowych, jak i chmurowych.
W tym artykule został poruszony temat instalacji WEBCON BPS Standalone bez lokalnej domeny Active Directory. Uwierzytelnienie oraz pobieranie listy użytkowników jest zrealizowane w oparciu o Microsoft Entra ID.
Opisana instalacja składa się z:
- WEBCON BPS 2025 Standalone zainstalowanego na maszynie z Windows Server bez Active Directory
- Serwera MSSQL, gdzie uwierzytelnienie odbywa się na podstawie loginu SQL
- Lokalnego konta serwisu i puli aplikacji
Uwierzytelnienie użytkowników do BPS oraz synchronizacja listy użytkowników odbywają się wyłącznie z wykorzystaniem Microsoft Entra ID.
Rejestracja aplikacji Microsoft Entra ID realizującej uwierzytelnienie
Aplikację w panelu zarządzania Microsoft Entra ID najlepiej skonfigurować przed instalacją WEBCON BPS. Dzięki temu, w czasie instalacji BPS możliwe będzie wprowadzenie danych dotyczących metody logowania oraz synchronizacji listy użytkowników. Niemniej konfigurację po stronie WEBCON BPS można również wykonać w dowolnym momencie po zainstalowaniu systemu, co zostało opisane w dalszej części artykułu.
Ze względów bezpieczeństwa, zalecamy utworzenie dwóch aplikacji – jednej do obsługi uwierzytelnienia, a drugiej do pobierania listy użytkowników BPS.
Zacznijmy od aplikacji do obsługi procesu uwierzytelnienia.
W oknie App registrations należy dodać nową aplikację.
W sekcji Redirect URI należy podać adres Portalu z sufiksem /signin-aad. Jeżeli adres Portalu nie jest jeszcze znany, to nic nie stoi na przeszkodzie, aby uzupełnić go po instalacji BPS.
Po zarejestrowaniu aplikacji można uzupełnić jej konfigurację.
W sekcji Authentication należy zaznaczyć obsługę ID tokens.
Po zapisaniu konfiguracji utworzona aplikacja jest gotowa do działania.
Z zakładki Overview należy skopiować wartości Tenant ID, Client ID, które będą potrzebne do skonfigurowania uwierzytelnienia po stronie WEBCON BPS.
Rejestracja aplikacji Microsoft Entra ID realizującej synchronizację listy użytkowników
Następnym etapem jest utworzenie drugiej aplikacji, która będzie obsługiwała proces pobierania listy użytkowników BPS.
Rejestrację tej aplikacji należy wykonać analogicznie do poprzedniej, niemniej w tym przypadku nie ma konieczności uzupełniania Redirect URI.
Następnie należy skonfigurować uprawnienia. Aby możliwe było pobieranie listy użytkowników i grup, aplikacja musi posiadać uprawniana User.Read.All oraz Group.Read.All.
Uprawnienia należy dodać w zakładce API permissions.
Wybierając Add a permission, następnie zakładkę Microsoft APIs, należy kliknąć opcję Microsoft Graph.
W kolejnym oknie należy wskazać Application permissions, wyszukać i wybrać uprawnienie User.Read.All.
Te same czynności należy wykonać w celu dodania uprawnienia Group.Read.All.
Po dodaniu uprawnień wymagane jest ich zatwierdzenie przez kliknięcie przycisku w obszarze Grant consent.
Kolejnym etapem będzie wygenerowanie kodu (tzw. Secret), który posłuży do konfiguracji mechanizmu po stronie WEBCON BPS.
W oknie Certificates and secrets należy wybrać New client secret, podać jego opis oraz czas wygaśnięcia.
Wygenerowany kod powinien zostać od razu zapisany w bezpiecznym miejscu, ponieważ nie ma możliwości jego podglądu po wyjściu z okna.
Ważne:
Kod jest zawsze generowany na konkretny (podawany podczas generowania kodu) okres. Po tym okresie ważność kodu wygaśnie, czego efektem będzie zatrzymanie synchronizacji listy użytkowników. Przed upływem terminu ważności kodu należy wygenerować kolejny kod na kolejny okres i dokonać jego podmiany w konfiguracji synchronizacji.
Odpowiedzialność za zarządzanie tym procesem spoczywa na administratorze konfigurującym synchronizację.
Poza Client secret, do skonfigurowania synchronizacji po stronie WEBCON BPS potrzebne będą wartości Tenant ID oraz Client ID, które można skopiować z zakładki Overview.
Konfiguracja WEBCON BPS
Konfigurację synchronizacji listy użytkowników można wykonać tuż po zainstalowaniu systemu z poziomu ustawień systemowych WEBCON BPS Designer Studio lub przy pomocy narzędzi administracyjnych instalatora (zakładka Tools for application management → Users list).
Jeśli pracujemy już z działającym systemem WEBCON BPS, możliwa jest również zmiana źródła danych użytkowników na Microsoft Entra ID, niemniej zmianę tę można dokonać już tylko przy pomocy narzędzi administracyjnych instalatora.
Przejdźmy jednak do klasycznego sposobu konfiguracji, a więc przy użyciu WEBCON BPS Designer Studio. Po zainstalowaniu i uruchomieniu WEBCON BPS Designer Studio należy zalogować się przy pomocy wbudowanego konta administracyjnego admin@system.bps, którego hasło zostało skonfigurowane na etapie instalacji systemu.
Następnie należy przejść na zakładkę System settings → Global parameters → Users and groups synchronization → Synchronization configuration.
W oknie konfiguracji jako źródło synchronizacji należy wybrać Synchronize with Microsoft Entra ID, następnie przejść na zakładkę Credentials, w której należy wprowadzić parametry Tenant ID, Client ID oraz Client secret utworzone wcześniej w trakcie rejestracji aplikacji Microsoft Entra ID realizującej synchronizację listy użytkowników.
Jeśli to konieczne, w oknie konfiguracji można ustawić dodatkowe (inne niż domyślne) parametry synchronizacji, np. harmonogram. Po zapisaniu konfiguracji pierwszą Pełną synchronizację można uruchomić ręcznie, wybierając Synchronize now.
Konfigurację dostawcy uwierzytelniania Microsoft Entra ID również przeprowadza się z poziomu WEBCON BPS Designer Studio. W zakładce System settings → Authentication providers należy wybrać opcję Microsoft Entra ID.
W oknie konfiguracji należy aktywować tę metodę uwierzytelnienia dla Studio i Portalu oraz wprowadzić parametry Tenant ID oraz Client ID utworzone wcześniej w trakcie rejestracji aplikacji Microsoft Entra ID realizującej uwierzytelnianie.
Po zakończeniu konfiguracji użytkownicy mogą uwierzytelniać się w systemie przy pomocy Microsoft Entra ID.