Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Version History

« Previous Version 2 Current »

Pro jednotlivé skupiny uživatelů lze nastavit automatické mapování, které zajistí, že členství ve skupinách bude vzdáleným uživatelům automaticky nastaveno (mapováno) dle informací ze vzdáleného zdroje uživatelů (AD/ADFS/OIDC).

(Pro lokální uživatele, založené ručně administrátorem nebo přes API, je členství ve skupinách rovněž třeba nastavit ručně administrátorem nebo přes API.)

Pokud využíváme automatické mapování skupin, pak nemá vliv nastavení výchozích skupin, viz: https://wikisonpo.atlassian.net/wiki/spaces/SP/pages/3739090947/V+choz+opr+vn+n+nov+ch+u+ivatel.

K nastavování automatického mapování skupin uživatelů slouží následující formulář:

image-20250206-094356.png

Toto nastavení mapování pro konkrétní skupinu v aplikaci se skládá z jednotlivých pravidel, která určují, jaké uživatele a z jakého vzdáleného zdroje automaticky mapovat do této skupiny.

Existující pravidla v tomto seznamu lze upravit nebo smazat. Nová lze založit tlačítkem “Přidat” nad seznamem pomocí následujícího dialogu:

image-20250206-094943.png

Je zde možné určit:

Vzdálený Adresář

Výběr vzdáleného zdroje uživatelů, pro který toto pravidlo mapování platí. Může být jeden z:

  • Active Directory - klasické propojení na AD pomocí LDAP.

  • ADFS - napojení na AD pomocí moderního způsobu formou SSO portálu.

  • Konkrétní OIDC zdroj - napojení na konkrétní zdroj kompatibilní s moderním OpenID Connect protokolem (Google, Microsoft Azure, apod.).

Vzdálený adresář by měl být před použitím mapování již funkční, korektně nakonfigurovaný v aplikaci a otestovaný.

Vzdálený atribut

Určení atributu ze vzdáleného adresáře, ve kterém bude hledána skupina k mapování. Pro jednotlivé typy vzdálených zdrojů platí:

  • Active Directory: atribut určující členství ve skupinách se typicky jmenuje “memberOf” a je tak doporučeno ho použít.

  • ADFS: atribut určující členství ve skupinách se typicky jmenuje “group” a je tak doporučeno ho použít.

  • OIDC: atribut určující členství ve skupinách je specifický pro každý z OIDC zdroj, např. pro MS Entra (Azure AD) je to “groups“.

Vzdálená skupina

Přesná specifikace vzdálené skupiny, která bude hledána ve vzdáleném atributu výše.

  • Pro AD a ADFS je to typicky cesta ve formě: “CN=sofie-default,OU=Test,DC=ad,DC=sonpo,DC=cz“.

  • Pro OIDC závisí na konkrétním zdroji, např. v MS Entra se skupina určuje formou UUID, tedy např. “a46edf67-5c31-4527-b63e-56cbe6dd66a5“.

  • No labels