Configurare SSO

Pe langa gestionarea credentialelor de acces ale utilizatorilor din sistem intern (in baza de date EMSYS), aplicatia permite posibilitatea autentificarii cu furnizori de identitate externi (SSO - Single Sign On).

Implementare modelului SSO implica urmatoarele:

• Configurarea unui server de identitate SSO;

• Incarcarea fisierului de configurare in consola de administrare a aplicatiei;

• Actualizarea utilizatorilor cu tip autentificare SSO.

Configurare Server SSO

Accesati serverul cu un utilizator cu drepturi de administrare si realizati urmatoarele actiuni:

1. Definiti un REALM actionand Select realm -> Add realm (recomandam utilizarea unui nume fara spatii);

Notă

La nivelul unui REALM pot fi configurate: teme pentru interfata, optiuni de autentificare, email de pe care se va realiza comunicarea cu utilizatorii, valabilitate sesiuni si token-uri.

Informatiile necesare configurariilor ce trebuie realizate in ERP se regasesc la adresa http[s]://hostname_server_sso:port_server_sso/auth/realms/NUME_CONFIGURAT_REALM/.well-known/openid-configuration

---

2. In cadrul REALM-ului definit la pasul anterior, adaugati un client nou, actionand Configure -> Clients -> Create si completati campurile de pe ecran, conform descrierii de mai jos:

• Client ID - Id-ul clientului ce face legatura intre configurarea din serverul de SSO si firma din ERP (recomandam utilizarea unei valori fara spatii);

• Client Protocol - Protocolul utilizat pentru comunicarea cu serverul de ERP - alegeti valoarea openid-connect;

• Valid Redirect URIs - Lista cu URI-uri catre care serverul de SSO poate redirecta cererile dupa autentificare/deconectare cu succes. Se vor configura aici adrese accesibile de pe statia client: http[s]://hostname_erp:port_erp/app/sso, http[s]://hostname_erp:port_erp/app/callback sau doar http[s]://hostname_erp:port_erp/app urmata de /*

• Admin URL - URL-ul de pe serverul de ERP unde serverul de SSO poate trimite cereri administrative (de exemplu: deconectarea unei liste de sesiuni sau a tuturor sesiunilor). URL-ul va avea forma http[s]://hostname_erp:port_erp/app/ si trebuie sa fie accesibil de pe masina ca gazduieste serverul de SSO.

Configurare SSO in Consola de Administrare ERP

In aplicatia ERP configurarea pentru SSO se realizeaza in Consola de Administrare, conform documentatiei Configurare Single Sign On.

Actualizare Utilizatori SSO

Autentificarea de tip SSO este disponibila doar pentru utilizatorii configurati corespunzator, si anume, in functia Administrator - > Drepturi de Acces -> Actualizare Utilizatori la atribute utilizator, campul Autentificare trebuie sa aiba valoarea SSO.

Daca utilizatorii din SSO nu exista in aplicatia EMSYS ERP, dar in serverul de SSO sunt incadrati intr-un grup stabilit la nivelul fisierului de configurare, atunci acestia la prima autentificare sunt adaugati automat in aplicatie. Ulterior autentificarii, drepturile la nivel de functii si actiuni ale acestora pot fie actualizate conform procedurii, incepand cu punctul 3.