Xác thực đăng nhập Microsoft Azure

Việc xác thực đăng nhập OAuth của Microsoft Azure là một chức năng hữu ích cho phép người dùng SotaERP đăng nhập vào cơ sở dữ liệu của họ bằng tài khoản Microsoft Azure của họ.

Điều này đặc biệt hữu ích nếu tổ chức sử dụng Azure Workspace và muốn nhân viên trong tổ chức kết nối với SotaERP bằng cách sử dụng Tài khoản Microsoft của họ.

Cảnh báo

Các cơ sở dữ liệu được lưu trữ trên erp.sota-solutions.com không nên sử dụng đăng nhập OAuth cho chủ sở hữu hoặc quản trị viên của cơ sở dữ liệu vì điều này sẽ làm mất liên kết giữa cơ sở dữ liệu và tài khoản erp.sota-solutions.com của họ. Nếu OAuth được thiết lập cho người dùng đó, cơ sở dữ liệu sẽ không còn có thể được sao chép, đổi tên hoặc quản lý từ cổng thông tin erp.sota-solutions.com nữa.

Xem thêm

Cấu hình

Tích hợp chức năng đăng nhập Microsoft đòi hỏi cấu hình trên Microsoft và SotaERP.

Tham số hệ thống SotaERP

Đầu tiên kích hoạt chế độ developer mode, sau đó đi đến Settings ‣ Technical ‣ System Parameters.

Nhấp vào Create và trên biểu mẫu mới/trống xuất hiện, thêm tham số hệ thống sau auth_oauth.authorization_header vào trường Key, và đặt Value thành 1. Sau đó nhấp vào Save để hoàn tất.

Bảng điều khiển Microsoft Azure

Tạo một ứng dụng mới

Bây giờ khi các tham số hệ thống trong SotaERP đã được thiết lập, đến lúc tạo một ứng dụng tương ứng trong Microsoft Azure. Để bắt đầu tạo ứng dụng mới, hãy truy cập Cổng thông tin Azure của Microsoft. Đăng nhập bằng tài khoản Microsoft Outlook Office 365 nếu có, nếu không, đăng nhập bằng tài khoản cá nhân Microsoft.

Quan trọng

Một người dùng có quyền quản trị truy cập vào Cài đặt Azure phải kết nối và thực hiện các bước cấu hình sau đây.

Tiếp theo, điều hướng đến phần có nhãn Quản lý Microsoft Entra ID (trước đây là Azure Active Directory). Vị trí của liên kết này thường ở giữa trang.

Bây giờ, nhấp vào biểu tượng Add (+), nằm trong menu đầu trang, sau đó chọn App registration từ menu thả xuống. Trên màn hình Register an application, đổi tên trường Name thành SotaERP Login OAuth hoặc một tiêu đề tương tự. Dưới phần Supported account types, chọn tùy chọn Accounts in this organizational directory only (Default Directory only - Single tenant).

Cảnh báo

Các Loại tài khoản được hỗ trợ có thể thay đổi tùy theo loại tài khoản Microsoft và mục đích sử dụng cuối cùng của OAuth. Ví dụ: Việc đăng nhập có dành cho người dùng nội bộ trong một tổ chức hay có dành cho việc truy cập vào cổng thông tin khách hàng không? Cấu hình trên được sử dụng cho người dùng nội bộ trong một tổ chức.

Chọn Tài khoản cá nhân Microsoft nếu đối tượng mục tiêu dành cho người dùng cổng thông tin. Chọn Tài khoản trong thư mục tổ chức này chỉ (Thư mục mặc định - Một khách hàng) nếu đối tượng mục tiêu là người dùng của công ty.

Dưới phần Redirect URL, chọn Web làm nền tảng, sau đó nhập https://<SotaERP base url>/auth_oauth/signin vào trường URL. Địa chỉ cơ sở của SotaERP URL là miền canon mà bạn có thể truy cập vào SotaERP của mình (ví dụ: mydatabase.erp.sota-solutions.com nếu bạn được lưu trữ trên erp.sota-solutions.com) trong trường URL. Sau đó, nhấn vào Register, và ứng dụng sẽ được tạo ra.

Xác thực

Chỉnh sửa xác thực ứng dụng mới bằng cách nhấp vào mục menu Authentication trong menu bên trái sau khi được chuyển hướng đến cài đặt ứng dụng từ bước trước đó.

Tiếp theo, loại tokens cần thiết cho xác thực OAuth sẽ được chọn. Đây không phải là các token tiền tệ mà là các token xác thực được truyền qua lại giữa Microsoft và SotaERP. Do đó, không có chi phí cho những token này; chúng chỉ được sử dụng cho mục đích xác thực giữa hai APIs. Chọn các token mà nên được phát hành bởi điểm kết thúc ủy quyền bằng cách cuộn xuống màn hình và đánh dấu vào các ô được ghi là: Access tokens (được sử dụng cho luồng ngầm)ID tokens (được sử dụng cho luồng ngầm và lai).

Cài đặt xác thực và mã thông báo điểm cuối.

Nhấp vào Lưu để đảm bảo các cài đặt này được lưu lại.

Thu thập thông tin đăng nhập

Sau khi ứng dụng được tạo và xác thực trong bảng điều khiển Microsoft Azure, thông tin đăng nhập sẽ được thu thập tiếp theo. Để làm điều này, nhấp vào mục Tổng quan trong cột bên trái. Chọn và sao chép ID ứng dụng (client) trong cửa sổ hiển thị. Dán thông tin đăng nhập này vào clipboard / notepad, vì thông tin đăng nhập này sẽ được sử dụng trong cấu hình SotaERP sau này.

Sau khi hoàn thành bước này, nhấp vào Endpoints trên menu đầu trang và nhấp vào biểu tượng copy bên cạnh trường OAuth 2.0 authorization endpoint (v2). Dán giá trị này vào clipboard / notepad.

ID ứng dụng và thông tin xác thực điểm cuối ủy quyền OAuth 2.0 (v2).

Thiết lập SotaERP

Cuối cùng, bước cuối cùng trong cấu hình OAuth của Microsoft Azure là cấu hình một số thiết lập trong SotaERP. Điều hướng đến Settings ‣ Integrations ‣ OAuth Authentication và đánh dấu vào ô để kích hoạt tính năng đăng nhập OAuth. Nhấn vào Save để đảm bảo tiến trình được lưu lại. Sau đó, đăng nhập vào cơ sở dữ liệu khi màn hình đăng nhập tải lên.

Một lần nữa, điều hướng đến Settings ‣ Integrations ‣ OAuth Authentication và nhấp vào OAuth Providers. Bây giờ, chọn New ở góc trên bên trái và đặt tên cho nhà cung cấp là Azure.

Dán ID Ứng dụng (client) từ phần trước vào trường ID Client. Sau khi hoàn thành điều này, dán giá trị mới của Điểm cuối ủy quyền OAuth 2.0 (v2) vào trường URL Ủy quyền.

Đối với trường UserInfo URL, dán đoạn URL: https://graph.microsoft.com/oidc/userinfo vào.

Trong trường Scope, dán giá trị sau: openid profile email. Tiếp theo, logo Windows có thể được sử dụng như lớp CSS trên màn hình đăng nhập bằng cách nhập giá trị sau: fa fa-fw fa-windows, trong trường CSS class.

Kiểm tra vào ô bên cạnh trường Allowed để kích hoạt nhà cung cấp OAuth. Cuối cùng, thêm Microsoft Azure vào trường Login button label. Văn bản này sẽ xuất hiện bên cạnh biểu tượng Windows trên trang đăng nhập.

SotaERP cung cấp thiết lập trong ứng dụng Cài đặt.

Lưu các thay đổi để hoàn tất thiết lập xác thực OAuth trong SotaERP.

Luồng trải nghiệm người dùng

Để người dùng đăng nhập vào SotaERP bằng cách sử dụng Microsoft Azure, người dùng phải ở trên trang SotaERP password reset page. Điều này là cách duy nhất mà SotaERP có thể liên kết tài khoản Microsoft Azure và cho phép người dùng đăng nhập.

Ghi chú

Người dùng hiện tại phải đặt lại mật khẩu của họ để truy cập vào trang đặt lại mật khẩu của SotaERP. Người dùng mới của SotaERP phải nhấp vào liên kết mời người dùng mới đã được gửi qua email, sau đó nhấp vào Microsoft Azure. Người dùng không nên đặt mật khẩu mới.

Để đăng nhập vào SotaERP lần đầu sử dụng nhà cung cấp Microsoft Azure OAuth, điều hướng đến trang SotaERP password reset page (sử dụng liên kết mời người dùng mới). Trang đặt lại mật khẩu sẽ xuất hiện. Sau đó, nhấn vào tùy chọn được ghi là Microsoft Azure. Trang sẽ chuyển hướng đến trang đăng nhập của Microsoft.

Trang đăng nhập Microsoft Outlook.

Nhập địa chỉ email của Microsoft và nhấn vào "Tiếp theo". Theo quy trình để đăng nhập vào tài khoản. Nếu 2FA (Xác thực hai yếu tố) được bật, có thể cần một bước phụ.

Nhập thông tin đăng nhập của Microsoft.

Cuối cùng, sau khi đăng nhập vào tài khoản, trang sẽ chuyển hướng đến trang quyền hạn nơi người dùng sẽ được yêu cầu Chấp nhận các điều kiện mà ứng dụng SotaERP sẽ truy cập thông tin Microsoft của họ.

Chấp nhận các điều khoản của Microsoft để được cấp quyền truy cập vào thông tin tài khoản của bạn.