Configurare autentificare SSO

Configurare server SSO

Se acceseaza serverul cu un utilizator cu drepturi de administrare si se realizeaza urmatoarele actiuni:

  1. Se defineste un REALM actionand Select realm -> Add realm (se recomanda utilizarea unui nume fara spatii)

Notă

La nivelul unui REALM pot fi configurate: teme pentru interfata, optiuni de autentificare, email de pe care se va realiza comunicarea cu utilizatorii, valabilitate sesiuni si token-uri.

Informatiile necesare configurariilor ce trebuie realizate in ERP se regasesc la adresa http[s]://hostname_server_sso:port_server_sso/auth/realms/NUME_CONFIGURAT_REALM/.well-known/openid-configuration

  1. In cadrul REALM-ului definit la pasul anterior se adauga un client nou actionand Configure -> Clients -> Create si se completeaza campurile de pe ecran conform descrierii de mai jos:

Client ID

Id-ul clientului ce face legatura intre configurarea din serverul de SSO si firma din ERP (se recomanda utilizarea unei valori fara spatii)

Client Protocol

Protocolul utilizat pentru comunicarea cu serverul de ERP - alegeti valoarea openid-connect

Valid Redirect URIs

Lista cu URI-uri catre care serverul de SSO poate redirecta cererile dupa autentificare / deconectare cu succes. Se vor configura aici adrese accesibile de pe statia client: http[s]://hostname_erp:port_erp/app/sso, http[s]://hostname_erp:port_erp/app/callback sau doar http[s]://hostname_erp:port_erp/app urmata de /*

Admin URL

URL-ul de pe serverul de ERP unde serverul de SSO poate trimite cereri administrative (de exemplu: deconectarea unei liste de sesiuni sau a tuturor sesiunilor). URL-ul va avea forma http[s]://hostname_erp:port_erp/app/ si trebuie sa fie accesibil de pe masina ca gazduieste serverul de SSO.

Configurare ERP

In ERP configurarea pentru SSO se realizeaza in consola de administrare a aplicatiei, astfel:

  1. Accesati tab-ul Informatii Firme si selectati in browse firma pentru care doriti sa adaugati/modificati configurarea de SSO

  2. Actionati butonul Configurare Single Sign On

Pentru adaugarea unei noi configurari:

  • obtineti un exemplu de configurare prin actionarea butonului Descarca Exemplu

  • salvati fisierul obtinut pe disc si completati valorile din fisier conform indicatiilor si a configurarilor realizate anterior in serverul de SSO (realm, client id, etc.)

  • selectati fisierul pregatit de pe disc in campul Incarca fisier configurare si actionati butonul Incarca configurare

  • actionati butonul Test pentru verificarea fisierului incarcat

Pentru modificarea unei configurari existente:

  • descarcati fisierul de configurare curent prin actionarea butonului Descarca configurare

  • salvati fisierul obtinut pe disc si efectuati modificarile in el

  • stergeti configurarea existenta din baza de date prin actionarea butonului Sterge configurare

  • selectati fisierul de configurare modificat de pe disc in campul Incarca fisier configurare si actionati butonul Incarca configurare

  • actionati butonul Test pentru verificarea fisierului incarcat

Autentificare utilizator de tip SSO

Daca la nivelul bazei de date pe care este pornita instanta de ERP exista cel putin o configurare de tip SSO, pe pagina standard de autentificare va fi afisat un link catre pagina de SSO.

In pagina de SSO se disting doua situatii posibile:

  1. Utilizatorul nu este autentificat in serverul de SSO / sesiunea de SSO a expirat

    • se introduce codul firmei si se actioneaza butonul Login SSO

    • daca exista configurare pe firma respectiva, se realizeaza navigarea automata spre furnizorul de SSO unde se va face efectiv autentificarea cu utilizator si parola, urmand ca utilizatorul sa fie redirectionat catre arborele de functii in cazul autentificarii cu succes

    • daca nu exista configurare pe firma respectiva, sistemul emite mesaj de eroare corespunzator

  2. Utilizatorul este autentificat in serverul de SSO cu o sesiune activa

    • se poate naviga direct catre arborele de functii prin actionarea butonului Continua ca: Utilizator

    • se poate realiza deconectarea sesiunii de SSO si implicit a tuturor sesiunilor de lucru din ERP bazate pe aceasta prin actionarea butonului Logout SSO

    • pentru a se loga din nou in aplicatie utilizatorul va proceda ca la punctul 1.

Notă

Autentificarea de tip SSO este disponibila doar pentru utilizatorii configurati corespunzator, in functia Utilizatori -> Atribute campul Autentificare trebuie sa aiba valoarea SSO.

Daca utilizatorii din SSO nu exista in serverul de ERP, acestia sunt adaugati automat la prima autentificare in serverul de SSO, intr-un grup stabilit la nivelul fisierului de configurare, urmand ca drepturile specifice la nivel de functii si actiuni sa fie configurate in ERP.