/
(v2.4) Integrace SOFiE a MS Entra (Azure)
Document toolboxDocument toolbox

(v2.4) Integrace SOFiE a MS Entra (Azure)

Owned by Pavel Novák
Mar 19, 2025
3 min read

Od zavedení podpory OpenID Connect v aplikaci SOFiE ve verzi 2.3 je možné toto využít k integraci přihlašování uživatelů přes Microsoft Entra. K tomu je třeba provést následující kroky.

Postup na straně MS Entra

  • Přihlásíme se do portálu pro správu na adrese: https://entra.microsoft.com/.

  • Registrujeme novou aplikaci v menu: Aplikace → Registrace aplikací → Nová registrace.

  • Vyplníme formulář:

    • Název aplikace, např. “SOFiE”. Tento se může zobrazovat uživatelům při přihlašování.

    • Podporované typy účtu.

    • Identifikátor URI pro přesměrování.

      • Vybereme “Web” jako typ aplikace.

      • URL zatím nezadáváme.

  • Po potvrzení formuláře se zobrazí Přehled informací o nově registrované aplikaci. Odtud si poznamenáme:

    • ID aplikace (klienta). Např. “beab950f-e9bc-4d35-8d70-a8228d07e1e7”.

    • Nahoře zvolíme “Koncové body“ a zde nás zajímá položka:

      • Dokument metadat připojení OpenID. Např. “https://login.microsoftonline.com/36e241eb-b5b3-4805-a502-4c199d365104/v2.0/.well-known/openid-configuration”.

        • Otevřeme tento odkaz a v zobrazené JSON struktuře nalezneme “issuer“ a poznamenáme si hodnotu. Např. “https://login.microsoftonline.com/36e241eb-b5b3-4805-a502-4c199d365104/v2.0“. Alternativně lze obvykle odvodit z odkazu výše odříznutím toho, co v odkazu následuje za /v2.0.

    • Dále v podmenu “Certifikáty a tajné kódy” vytvoříme “+ Nový tajný kód klienta“. Ten si pojmenujeme, nastavíme dobu platnosti a potvrdíme. Následně si poznamenáme hodnotu nově vzniklého tajného kódu (nikoli ID). Např. “1_08Q~gPnEapIHyVCtoW3viRpeHy_hq5KteIyc7M“.

Tím máme k dispozici všechny potřebné údaje, které bude třeba vyplnit na straně aplikace SOFiE.

Postup na straně aplikace SOFiE

Jako admin v sekci Nastavení → OpenID Connect přidáme nového poskytovatele. Vyplníme následující formulář pomocí údajů, které jsme si poznamenali na straně MS Entra, viz výše.

image-20250221-094752.png

Po uložení by se měl nový poskytovatel objevit jako řádek v zobrazené tabulce. Dáme u něj upravit a v opět zobrazeném formuláři je nyní zobrazeno pole “Identifikátor URI pro přesměrování“. Jeho hodnotu si poznamenáme. Např. “https://test.sofie.cloud/api/user/oidc-token/95b9f531-ce81-4ddf-89b1-4a201b9f25f5“, viz:

image-20250221-095331.png

Pro dokončení integrace je toto URI ještě třeba zadat do nastavení v MS Entra.

Dokončení na straně MS Entra

V portálu MS Entra u nově registrované aplikace (viz postup nahoře) zvolíme submenu Ověřování. Zde vybereme “+ Přidat platformu“:

image-20250221-151855.png

V zobrazeném okně zvolíme Webovou aplikaci, Web a zde vyplníme URI pro přesměrování, které jsme získali v konfiguraci SOFiE (viz výše). Např. “https://test.sofie.cloud/api/user/oidc-token/95b9f531-ce81-4ddf-89b1-4a201b9f25f5“.

Přesvědčíme se, že máme zaškrtnuto “Tokeny ID” v sekci Implicitní udělení a hybridní toky (viz obrázek výše).

Toto by mělo stačit k tomu, aby nám fungovalo přihlášení do aplikace SOFiE s využitím portálu MS Entra.

Pokud chceme předávat při přihlášení i další informace o uživateli, jako například Jméno, Příjmení a členství ve skupinách, což silně doporučujeme, je třeba ještě doplnit Konfiguraci tokenů, viz obrázek níže:

image-20250221-152621.png

 

Related content