V aplikaci mohou existovat dva základní typy uživatelů:
...
lokální uživatel - založen lokálně administrátorem aplikace, viz Nastavení - Uživatelé
...
The user accounts in the application can be of two basic types:
local user - created locally by the application administrator, see Settings - Users
remote user - user from remote directory, which is either:
Active Directory (AD) - viz Nastavení see Settings - Active Directory
Active Directory Federation Services (ADFS) - viz Nastavení see Settings - ADFS
Lokální uživatelé
Lokální uživatelé aplikace se přihlašují standardním přihlašovacím formulářem přímo v aplikaci. Veškeré jejich údaje jsou uloženy pouze lokálně v aplikaci. Rovněž ověření jejich přihlášení probíhá pouze lokálně, proti lokální databázi uživatelů.
Vzdálení uživatelé
Vzdálení uživatelé se mohou do aplikace přihlásit, pokud administrátor korektně nastavil buď integraci na Active Directory, nebo ADFS. Uživatelé se v tomto případě neověřují lokálně v aplikaci, ale vzdáleně dle příslušné služby.
Až v případě prvního úspěšného přihlášení vzdáleného uživatele, je tento založen v seznamu uživatelů aplikace. V tomto seznamu uživatelů jsou tak pouze uživatelé, kteří se k aplikaci alespoň jednou přihlásili. Jen pro tyto uživatele (plus uživatele lokální) se také počítá limit licence, viz Nastavení licence. Licenci tak nečerpají všichni uživatelé AD/ADFS, pokud aplikaci nepoužívají.
Pokud byl uživatel ve vzdáleném adresáři AD/ADFS smazán a v aplikaci již existoval, pak se toto automaticky neprojeví. Zůstane zde účet dle posledního úspěšného přihlášení. Pokud chce administrátor takový účet smazat i v aplikaci SOFiE, je třeba ho smazat ručně v Nastavení - Uživatelé.
Podrobnosti k přihlášení pro jednotlivé služby, viz níže:
Active Directory
Uživatelé se do aplikace přihlašují stejným formulářem jako lokální uživatelé aplikace. Jejich přihlášení však není ověřováno lokálně, ale je předáno dále patřičnému AD serveru, který ověření provede a vrátí aplikaci výsledek. Dle tohoto výsledku pak aplikace uživatele buď přihlásí, nebo nikoliv.
ADFS
V případě využití ADFS se uživatelé nepřihlašují do aplikace formulářem v aplikaci, jako uživatelé výše, ale využijí k přihlášení přímo formulář na ADFS serveru. Jsou tak z aplikace přesměrováni k přihlášení ven, na adresu ADFS serveru. Tam provedou přihlášení, a pokud je úspěšné, ADFS server je přesměruje zpět na adresu aplikace a zároveň předá aplikaci podepsanou informaci o přihlášeném uživateli. Aplikace na základě tohoto pak uživatele automaticky přihlásí.
Přihlášení do ADFS si ADFS server typicky nějaký čas pamatuje. Pokud se tedy uživatel již v nedávné době pomocí ADFS přihlašoval, může dojít k automatickému přihlášení, aniž by musel znovu zadávat své přihlašovací údaje. Tento proces je pak velmi komfortní a navíc bezpečný.
...
Local users
Local users log in to the application by using the standard login form directly in the application. All their data are stored only locally in the application. The verification of their login credentials is also only local, against the built in application database.
Remote users
Remote users can log in to the application, only if the administrator correctly configured either Active Directory or ADFS integration. In this case the user credentials are not verified locally in the application, but remotely in the appropriate remote directory.
Right after first successful login of a remote user, this user is also created in the application and visible in the list of application users. So this list only shows the users, which at least once logged into the application. And only these users (plus local users) count towards the license limit, see Settings - Configuration - License. So the user licences are not used by all existing AD/ADFS users, unless they use the application.
If a remote application user was deleted in the remote AD/ADFS directory, than this is not automatically reflected in the application. The user’s account stays in the application as it existed during his last successful login. If the administrator wants to delete such a user even in the SOFiE application, he has to delete him manually in Settings - Users.
For details about the login process for each of the remote directory services, see below:
Active Directory
The users log into the application using the same login form as the local users. The difference is, their credentials are not verified locally, but are passed to the appropriate AD server, which performs their authentication and returns the result to the application. According to this received authentication result, the application either allows the user to log in, or denies the attempt.
ADFS
When using the ADFS, the users do not log into the application using the login form in the application, but they log in using the login page of the ADFS server. They are therefore redirected from the SOFiE application to the ADFS server’s login page. There they log in, and if successful, the ADFS server redirects them back to the SOFiE application and also passes along signed information about the logged in user. The application then logs the users in automatically, using this received information.
The ADFS server typically remembers the logged in user for some time. So if the user used the ADFS login recently, it can log him in automatically, without the need for the user to enter his credentials again. This process is then very comfortable for the users and also safe.
If there is a choice and the administrator can configure both of these methods, we recommend to use the ADFS instead of the AD integration.