Single Sign-On

28. mai 2024


Ülevaade

Single Sign-On (SSO) abil saavad kasutajad Erplysse sisse logida ettevõtte olemasoleva identiteediplatvormi kaudu ning kasutajad ei vaja Erply jaoks eraldi parooli.

Kasutaja konto keelamine keskses identiteedisüsteemis tühistab ka tema juurdepääsu Erplyle.

Toetatud identiteedipakkujad

Praegu toetame autoriseerimisplatvormina Microsoft Entra ID-d (varasema nimega Microsoft Azure Active Directory).

Soovi korral võime uurida teisi SSO teenusepakkujaid, nagu Okta või Google Workspace.

Toetatud Erply rakendused

Single Sign-On töötab:

  • Erply tagakontor
  • Brazil POS

Muid rakendusi praegu ei toetata. Teistesse rakendustesse sisselogimiseks peavad kasutajad sisestama oma kasutajanime ja parooli ning parooliga autentimise väljalülitamine pole seetõttu võimalik

Kasutajate haldamine

Kasutajakontod, kasutajagrupid ja nende õigused tuleb seadistada Erply tagakontoris.

Kõik kasutajad tuleb Erply tagakontorisse käsitsi sisestada (Töötajad > Uus töötaja ja kasutajakonto). Nende kasutajanimi peab ühtima nende esmase e-posti aadressiga SSO süsteemis. Kuna kasutaja loomiseks on vaja parooli (kuigi seda pole vaja), soovitame selle määrata juhusliku väärtusega, mida ei salvestata kuhugi ja mida kasutajale ei avaldata.

Hetkel me sisselogimisel automaatset kasutajakontode loomist ei toeta, kuid saame vajadusel uurida. (Erply peab teadma, kuidas identiteedisüsteemi rollid vastavad Erply kasutajarühmadele.)

Seadistamise sammud

Microsoft Entra ID-s tuleb Erply olema registreerida "OpenID Connect" rakendusena. (Tulevikus võib Erply olla Azure Marketplace'ist installitav, kuid selleks pole kindlat ajakava.)

Administraator peab konfigureerima kaks ümbersuunamise URI-d. Ühe saab määrata kohe (liigiks valida “Web”), rakenduse detailandmetes saab hiljem neid juurde lisada.

Alajaotuses "Authentication" -> "Implicit grant and hybrid flows", palun pange linnuke kasti "ID tokens".

Erply seadistamise jätkamiseks on vaja kahte parameetrit:

Directory ID (Tenant ID) – identifitseerib ettevõtte

Application ID – see määratakse Erplyle, kui see registreeritakse rakendusena

Sinise menüüribaga Erply kontol avage menüüst Settings > Configuration Admin.

Kontodel, millel pole menüüriba, sisestage järgmine URL ja asendage lõpp oma kontonumbriga:

https://conf-admin-ui.erply.com/?clientCode=<teie kontonumber>

Avage "Sisselogimine ja turvaseaded".

Täitke jaotis "Single Sign-On":

  • Allow Single Sign-On: yes
  • Authority URL: https://login.microsoftonline.com/
  • Directory ID: see above
  • Application ID: see above

On veel kaks turvapiirangut, mida saab sisse lülitada. Enne nende lubamist viige siiski lõpule ühekordse sisselogimise seadistus ja veenduge, et integratsioon toimib õigesti ja et saate SSO kaudu Erplysse sisse logida. Vastasel juhul võite lukustada kõik kasutajad oma kontolt välja!

  • Tühjendage valik „Allow Password Login”: selle sätte puhul lükatakse tagasi kasutajanime ja parooliga sisselogimiskatsed teistest Erply rakendustest.
  • „Allow Only login.erply.com”: kui kasutaja pole sisse logitud, suunab see Erply tagakontori ja Brazil POS-i automaatselt ümber saidile login.erply.com

Sisselogimine

Minge aadressile https://login.erply.com/.

Valige vahekaart "SSO" ja sisestage oma Erply kontonumber.

Sisselogimisnupp suunab teid autentimiseks Microsofti serverite kaudu. Kui olete juba oma Microsofti kontoga sisse logitud, siis täiendavaid viipasid ei kuvata.

Edukaks sisselogimiseks peab teie Erply kasutajanimi olema sama, mis teie Microsofti konto e-posti aadress.

Brazil POS-il on sisselogimisekraanil lisanupp „Logi sisse aadressil login.erply.com”. Nupul klõpsates juhitakse läbi sama sisselogimisvoo. (Algkuval aadressil https://epos.erply.com/ on endiselt väljad "kasutajanimi" ja "parool", kuid kui lülitate välja "Luba parooliga sisselogimine", nagu ülal selgitatud, siis need ei tööta.)